Effectuer un enrichissement manuel de l’observable dans Microsoft Defender pour point de terminaison

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Sélectionnez un ou plusieurs observables et procédez à un enrichissement manuel des observables pour enrichir les observables avec des informations supplémentaires provenant de .Microsoft Defender pour point de terminaison

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    L’intégration Microsoft Defender pour point de terminaison permet l’enrichissement des observables pour tous les types d’observables qui sont mappés dans le module Mappage observable-indicateur.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les informations sur Microsoft Defender pour point de terminaison.
    3. Cliquez sur Afficher toutes les listes connexes.
    4. Cliquez sur l’onglet Observables associés .
    5. Sélectionnez les observables.
    6. Dans la liste Actions, cliquez sur Exécuter l’enrichissement des observables.
    7. Sélectionnez une source Microsoft Defender pour point de terminaison et déplacez-la vers la colonne Sélectionné pour spécifier l’implémentation que vous souhaitez utiliser pour enrichir les observables sélectionnés.
    8. Cliquez sur Envoyer.
    9. Pour valider l’état de l’exécution, affichez les notes de travail.
    10. Pour afficher les résultats, cliquez sur l’onglet Indicateur Microsoft Defender .
      Vous pouvez utiliser la table suivante pour plus d’informations sur l’enrichissement des observables.
      Tableau 1. Indicateur Microsoft Defender
      Champ Description
      ID de l'indicateur Identité de l’entité de l’indicateur. Cliquez sur Ouvrir pour afficher l’enregistrement en détail dans l’instance Now Platform
      Observable Observable associé au résultat.
      Titre Titre de l’indicateur.
      Type d'indicateur Type de l’indicateur.
      Action Action effectuée par l’indicateur.
      Action recommandée Actions recommandées pour l’indicateur.
      Fournisseur de l'intégration Intégration source Defender à partir de laquelle les données sont récupérées.
      Date d'expiration Délai d’expiration de l’indicateur.
      Date de récupération Date de création de l’enregistrement d’enrichissement.