Configurer l’option Arrêter et mettre en quarantaine le fichier dans Microsoft Defender pour point de terminaison

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Arrêtez et mettez en quarantaine les fichiers de la plateforme Microsoft Defender.

    Avant de commencer

    Types d’observables pris en charge : hachage SHA1.

    Tableau 1. Exigences relatives à l’option Arrêter et mettre en quarantaine les fichiers
    Entrée Description
    Commentaire (Obligatoire) Commentaire à associer à l’action)

    Rôle requis : sn_si.admin ou sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Vous pouvez exécuter l’action Arrêter et mettre en quarantaine le fichier sur les observables particuliers de type SHA1 uniquement. Stockez les détails dans la table Actions supplémentaires sur le point de terminaison. Vous pouvez déclencher l’aptitude Arrêter et mettre en quarantaine le fichier à partir de la liste connexe Détails des ordinateurs associés Microsoft Defender pour point de terminaison.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les informations sur Microsoft Defender pour point de terminaison.
    3. Dans la section Liens connexes, cliquez sur Afficher toutes les listes connexes.
    4. Cliquez sur la liste connexe Détails des ordinateurs connexes Microsoft Defender pour point de terminaison.
    5. Sélectionnez un ou plusieurs enregistrements.
    6. Dans les actions sur les lignes sélectionnées, sélectionnez l’option Arrêter et mettre en quarantaine le fichier .
    7. Validez l’activité et la section Activités d’automatisation.
    8. Affichez les données et validez les données sur les listes connexes.
    9. Affichez les activités d’automatisation de l’exécution et validez-les.