Konfigurieren Sie Profile und Security Incidents für die -Integration Microsoft Defender for Endpoint .

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie ein Profil, und wählen Sie die Microsoft Defender for Endpoint -Fähigkeiten aus, die das Profil ausführen soll. Sie müssen die Einstellungen so konfigurieren, dass das Profil nur unter den definierten Bedingungen ausgelöst werden kann.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, sn_si.analyst (schreibgeschützt)

    Warum und wann dieser Vorgang ausgeführt wird

    Konfigurieren Sie das Profil so, dass es nur ausgeführt wird, wenn die von Ihnen angegebenen Bedingungen erfüllt sind. Bei Bedarf können Sie ein alternatives Eingabefeld für das Feld Configuration Item (CI) auswählen und Filterbedingungen festlegen, damit das Profil automatisch ausgelöst wird, wenn ein Security Incident erstellt wird, der die Auslöserbedingungen erfüllt.

    Hinweis:
    Sie können zur Seite „Profilkonfiguration“ nur navigieren, nachdem Sie die Seite „Profildetails“ aufgerufen haben.

    Prozedur

    1. Navigieren zu Microsoft Defender für Endpunkt > Fähigkeitsprofile.
    2. Klicken Sie, nachdem Sie den Abschnitt Profildetails abgeschlossen haben, auf Weiter.
      Überprüfen und konfigurieren Sie die Abschnitte.
    3. Wählen Sie im Abschnitt „Kriterien für Incidents definieren (Automatisierung)“ die Option „Kriterien für Incidents definieren“ aus, um Microsoft Defender for Endpoint -Funktionen im Profil automatisch auszulösen.
      Incident-Kriterien definieren (Automatisierung): Definieren Sie die Bedingungen für Security Incidents, die automatisch die Microsoft Defender for Endpoint-Fähigkeiten für das Profil auslösen. Wenn Sie die Option „Incident-Kriterien definieren“ nicht auswählen, können das Profil und die zugrunde liegenden Fähigkeiten manuell über den Security Incident aufgerufen werden.
      Hinweis:
      Die Funktionen „Host isolieren“ und „Host isolieren“ können nicht automatisch ausgelöst werden.
      1. Wählen Sie in den Filterbedingungendas Pflichtfeld aus.
      2. Fügen Sie neue Kriterien hinzu, und definieren Sie auch die ODER- oder die UND- Bedingung.
    4. Aktivieren Sie im Abschnitt „Genehmigungen“ das Kontrollkästchen Genehmigung erforderlich, um eine zusätzliche Kontrollebene bereitzustellen.

      Wenn Sie diese Option auswählen, haben Sie mehr Kontrolle, wenn Sie die Microsoft Defender für Endpunkt-Fähigkeiten zum Isolieren von Hostcomputern, Wiederherstellen im Netzwerk oder Abrufen von Dateien verwenden.

      Die Option „Genehmigungen“ in der Profilkonfiguration wird nur für die Funktionen „Host isolieren“ und „Hostisolierung entfernen“ angezeigt.

    5. Wählen Sie im Abschnitt „Zusätzliche Konfiguration“ die Option Alternatives Feld definieren aus, um ein alternatives Eingabefeld zu definieren.
      Zusätzliche Konfiguration: Wenn das Feld Configuration Item (CI) im Security Incident nicht mit einem Hostnamen oder einer IP-Adresse ausgefüllt ist, die der Datenbank entspricht, können Sie ein alternatives Feld im Security Incident auswählen, um die Microsoft Defender für Endpunkt-APIs abzufragen .
      Hinweis:
      Weitere Informationen finden Sie unter Auslösebedingungen in einem Configuration Item.
      1. Wählen Sie die Option Alternatives Feld definieren aus.
      2. Wählen Sie das Eingabefeld aus Alternatives CI-Auslöserfeld.
    6. Aktivieren Sie im Abschnitt „Tags“ das Kontrollkästchen Tag anzeigen, um die Kennzeichnung von Security Incidents zu aktivieren. Bei Aktivierung des Tags wird der Profilname vorangestellt.

      Optional können Sie Security Incidents mit Tags für „Profil initiiert“, „Profil abgeschlossen“ und „Profil fehlgeschlagen“ kennzeichnen. Standardmäßig ist diese Option für alle Profile deaktiviert.

    7. Klicken Fertig.