Réalisation d’un enrichissement automatique de l’observable dans Microsoft Defender pour point de terminaison

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Procédez à un enrichissement automatique des observables dans Microsoft Defender pour point de terminaison pour enrichir les observables avec des informations supplémentaires tirées de diverses sources.

    Avant de commencer

    Vérifiez que vous avez activé la propriété système Réponse aux incidents de sécurité . Cette option déclenche la fonctionnalité d’enrichissement des observables dans SIR, chaque fois qu’un observable est associé à un incident de sécurité.

    Rôle requis : sn_si.admin, sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser cette fonctionnalité pendant les enquêtes de réponse aux incidents pour contenir une menace identifiée. Lorsque de nouveaux observables sont associés à l’incident de sécurité, vous pouvez activer l’exécution automatique de la fonctionnalité d’enrichissement des observables dans Microsoft Defender pour point de terminaison.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les informations Microsoft Defender pour point de terminaison.
    3. Validez l’activité d’automatisation une fois que les nouveaux observables ont été associés à l’incident de sécurité.
    4. Affichez les résultats de l’enrichissement dans la liste connexe Indicateurs de l’incident de sécurité.
      Vous pouvez utiliser la table suivante pour plus d’informations sur l’enrichissement des observables.
      Tableau 1. Indicateur Microsoft Defender
      Champ Description
      ID de l'indicateur Identité de l’entité de l’indicateur. Cliquez sur Ouvrir pour afficher l’enregistrement en détail dans l’instance Now Platform
      Observable L’observable associé au résultat.
      Titre Titre de l’indicateur.
      Type d'indicateur Type de l’indicateur.
      Action Action effectuée par l’indicateur.
      Action recommandée Actions recommandées pour l’indicateur.
      Fournisseur de l'intégration Intégration de la source Defender à partir de laquelle les données sont récupérées.
      Date d'expiration Délai d’expiration de l’indicateur.
      Date de récupération Date de création de l’enregistrement d’enrichissement.