Sélectionnez un ou plusieurs observables et effectuez une recherche de perception manuelle pour Microsoft Defender pour point de terminaison déterminer la prévalence d’une menace au fil du temps.
Pourquoi et quand exécuter cette tâche
Les types d’observables pris en charge sont les suivants :
Procédure
-
Accédez aux incidents de sécurité.
-
Ouvrez un SIR existant ou créez-en un nouveau.
-
Dans les liens connexes, cliquez sur Afficher l’IoC.
-
Cliquez sur les listes connexes Observables associés.
-
Sélectionnez les observables.
-
Dans la liste Actions, cliquez sur Exécuter l’enrichissement de l’élément observable.
-
Sélectionnez les observables sous Action sur les lignes sélectionnées, puis cliquez sur Exécuter la recherche de perceptions.
Remarque : La recherche de perception est prise en charge pour les types d’observables de nom de domaine, d’adresse IP (V4), d’adresse IP (V6), de hachage MD5, de hachage SHA1 et de hachage SHA256.
-
Indiquez la période de la recherche, puis cliquez sur Rechercher.
Remarque : Microsoft Defender pour point de terminaison ne prend en charge la recherche de perception que pour les 30 derniers jours. Si votre requête de plage est antérieure aux 30 derniers jours, la recherche de perception ne récupère aucune donnée. Si votre requête de plage chevauche les 30 derniers jours, les observations des 30 derniers jours uniquement sont récupérées. Si votre requête de plage se rapporte aux 30 derniers jours, les observations comprises entre l’heure de début définie et l’heure actuelle sont récupérées.
-
Une fois la recherche terminée, validez les résultats et les détails dans les listes connexes.
-
Cliquez sur Détails de recherche de perceptions pour afficher les détails de la recherche de perceptions.
-
Cliquez sur l’onglet Perception pour plus d’informations et sur l’onglet Résultats de recherche de perceptions pour les résultats de recherche.
Vous pouvez afficher des informations supplémentaires relatives à l’observation particulière dans le champ Résumé .