Configurer les profils et les incidents de sécurité pour l’intégration Microsoft Defender pour point de terminaison

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Créez un profil et sélectionnez les Microsoft Defender pour point de terminaison options que vous souhaitez qu’il exécute. Vous devez configurer les paramètres de manière à ce que le profil ne puisse être déclenché que dans les conditions définies.

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.analyst (lecture seule)

    Pourquoi et quand exécuter cette tâche

    Configurez le profil de manière à ce qu’il s’exécute uniquement lorsque les conditions que vous spécifiez sont remplies. Si nécessaire, vous pouvez sélectionner un autre champ d’entrée pour le champ Élément de configuration (CI) et définir des conditions de filtrage afin que le profil puisse être déclenché automatiquement lors de la création d’un incident de sécurité répondant aux conditions de déclenchement.

    Remarque :
    Vous ne pouvez accéder à la page Configuration du profil qu’après avoir accédé à la page Détails du profil.

    Procédure

    1. Accédez à la Microsoft Defender pour point de terminaison > Profils d’aptitude.
    2. Après avoir rempli la section Détails du profil, cliquez sur Suivant.
      Examinez et configurez les sections.
    3. Dans la section Définir des critères d’incident (automatisation), sélectionnez l’option Définir des critères d’incident pour déclencher Microsoft Defender pour point de terminaison automatiquement les options du profil.
      Définir des critères d’incident (automatisation) : définissez les conditions d’incident de sécurité qui déclencheraient automatiquement les options Microsoft Defender pour point de terminaison pour le profil. Si vous ne sélectionnez pas l’option Définir un critère d’incident , le profil et les options sous-jacentes peuvent être invoqués manuellement à partir de l’incident de sécurité.
      Remarque :
      Les options Isoler l’hôte et Supprimer l’isolement de l’hôte ne peuvent pas être déclenchées automatiquement.
      1. Dans les Conditions de filtre, sélectionnez le champ requis.
      2. Ajoutez de nouveaux critères et définissez également la conditionOU ou ET.
    4. Dans la section Approbations, cochez la case Exiger l’approbation pour fournir un niveau de contrôle supplémentaire.

      Si vous sélectionnez cette option, vous avez plus de contrôle lors de l’utilisation des fonctionnalités de Microsoft Defender pour point de terminaison pour isoler les ordinateurs hôtes, les restaurer sur le réseau, obtenir des fichiers.

      L’option Approbations de la configuration du profil s’affiche uniquement pour les options Isoler l’hôte et Supprimer l’isolement de l’hôte, respectivement.

    5. Dans la section Configuration supplémentaire, sélectionnez l’option Définir un champ alternatif pour définir un autre champ d’entrée.
      Configuration supplémentaire : lorsque le champ Élément de configuration (CI) n’est pas renseigné sur l’incident de sécurité avec un nom d’hôte ou une adresse IP qui correspond à la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité pour interroger les API de Microsoft Defender pour point de terminaison.
      Remarque :
      Pour plus d'informations, consultez Conditions de déclenchement dans un élément de configuration.
      1. Sélectionnez l’option Définir un autre champ .
      2. Sélectionner le champ d’entrée dans le Champ de déclenchement CI alternatif.
    6. Dans la section Balises, cochez la case Balise d’affichage pour activer le balisage des incidents de sécurité, le nom du profil est préfixé lors de l’activation de la balise.

      Vous pouvez éventuellement baliser les incidents de sécurité avec des balises pour les balises de profil initié, de profil terminé et de profil ayant échoué. Par défaut, cette option est désactivée pour tous les profils.

    7. Cliquer sur Fermer.