Sélectionnez un ou plusieurs observables et effectuez une recherche de perception manuelle pour Microsoft Defender pour point de terminaison déterminer la récurrence d’une menace dans le temps.
Pourquoi et quand exécuter cette tâche
Les types d’observables pris en charge sont les suivants :
Procédure
-
Accédez aux incidents de sécurité.
-
Ouvrez un SIR existant ou créez-en un nouveau.
-
Dans les liens connexes, cliquez sur Afficher IoC.
-
Cliquez sur les listes connexes Observables associés.
-
Sélectionnez les observables.
-
Dans la liste Actions, cliquez sur Exécuter l’enrichissement des observables.
-
Sélectionnez les observables sous Action sur les lignes sélectionnées, puis cliquez sur Exécuter la recherche de perceptions.
Remarque : La recherche de perception est prise en charge pour les types d’observables Nom de domaine, Adresse IP (V4), Adresse IP (V6), Hachage MD5, Hachage SHA1 et Hachage SHA256 respectivement.
-
Spécifiez le délai de la recherche, puis cliquez sur Rechercher.
Remarque : Microsoft Defender pour point de terminaison prend en charge la recherche de perception uniquement pour les 30 derniers jours. Si votre requête de plage est antérieure aux 30 derniers jours, la recherche de perception ne récupère aucune donnée. Si votre requête de plage chevauche les 30 derniers jours, les observations des 30 derniers jours seulement sont récupérées, et si votre requête de plage est dans les 30 derniers jours, les observations de l’heure de début définie à l’heure actuelle sont récupérées.
-
Une fois la recherche terminée, validez les résultats et les détails dans les listes connexes.
-
Cliquez sur Détails de la recherche de perception pour afficher les détails de la recherche de perception.
-
Cliquez sur l’onglet Perception pour plus de détails et sur l’onglet Résultats de recherche de perceptions pour obtenir les résultats de la recherche.
Vous pouvez afficher des informations supplémentaires relatives à l’observation particulière dans le champ Résumé .