Créer des indicateurs dans Microsoft Defender pour point de terminaison

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Créez des indicateurs à partir des observables associés de l’incident de sécurité à l’aide du Microsoft Defender pour point de terminaison.

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    L’intégration Microsoft Defender pour point de terminaison permet l’enrichissement des observables pour tous les types d’observables mappés dans le module de mappage Observable-Indicateur.

    Créer des indicateurs vous permettent de définir une liste d’indicateurs pour la détection, ainsi que pour la prévention et les réponses en matière de blocage. Vous pouvez créer les indicateurs à partir d’un observable associé de l’incident de sécurité.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez créer des indicateurs dans Microsoft Defender pour point de terminaison.
    3. Cliquez sur les listes connexes Observables associés.
    4. Ajoutez des observables existants ou créez-en de nouveaux.
    5. Sélectionnez les observables.
    6. Dans les actions sur les lignes sélectionnées, cliquez sur Créer un indicateur dans Microsoft Defender.
      Vue des livrables associés : Sélectionnez Créer des indicateurs dans Microsoft Defender pour point de terminaison dans la liste Actions.
    7. Renseignez les champs du formulaire.
      Champ Description
      Observables sélectionnés Observables qui sont affectés. Cette action peut être utilisée pour créer des indicateurs pour plusieurs observables. Si vous souhaitez désélectionner un observable, vous pouvez le faire en désélectionnant les observables dans la liste.
      Remarque :
      Si les types d’observables pris en charge ne sont pas mappés, les indicateurs ne sont pas créés dans Microsoft Defender pour ces observables.
      Titre Titre de l’indicateur.
      Description Description de l’indicateur.
      Délai d'expiration Délai d’expiration de l’indicateur.
      Actions recommandées Actions recommandées qui doivent être effectuées pour l’indicateur.
      Source Configuration d’intégration pour créer l’indicateur.
      Action Actions qui seront effectuées si l’indicateur est détecté dans l’organisation. Les valeurs possibles sont les suivantes :
      • Avertissement
      • Bloc
      • Audit
      • 'BlockAndRemediate
      • Autorisé
      Demande L’application Microsoft Defender pour point de terminaison associée à l’indicateur. Ce champ ne s’applique qu’à un nouvel indicateur et ne peut pas être utilisé pour un indicateur existant.
      Gravité Gravité de l’indicateur. Les valeurs possibles sont les suivantes :
      • Faible
      • Moyen
      • Élevé
      Noms de groupes RBAC Noms de groupes RBAC auxquels l’indicateur sera appliqué. Les noms sont dans une liste séparée par des virgules.
    8. Cliquer sur Créer un indicateur
    9. Validez l’activité et les messages d’interface utilisateur.
    10. Cliquez sur l’onglet Indicateur Microsoft Defender pour afficher les résultats.