Réaliser un enrichissement automatique des observables dans Microsoft Defender pour point de terminaison

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Effectuez un enrichissement automatique des observables dans pour enrichir les observables avec Microsoft Defender pour point de terminaison des informations supplémentaires provenant de diverses sources.

    Avant de commencer

    Vérifiez que vous avez activé la propriété système Réponse aux incidents de sécurité . Cette option déclenche l’aptitude d’enrichissement des observables dans SIR, chaque fois qu’un observable est associé à un incident de sécurité.

    Rôle requis : sn_si.admin, sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser cette fonctionnalité pendant les enquêtes de réponse aux incidents pour contenir une menace identifiée. Lorsque de nouveaux observables sont associés à l’incident de sécurité, vous pouvez activer l’exécution automatique de l’enrichissement des observables dans Microsoft Defender pour point de terminaison.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les informations sur Microsoft Defender pour point de terminaison.
    3. Validez l’activité d’automatisation une fois que les nouveaux observables ont été associés à l’incident de sécurité.
    4. Affichez les résultats de l’enrichissement dans la liste connexe Indicateurs de l’incident de sécurité.
      Vous pouvez utiliser la table suivante pour plus d’informations sur l’enrichissement des observables.
      Tableau 1. Indicateur Microsoft Defender
      Champ Description
      ID de l'indicateur Identité de l’entité de l’indicateur. Cliquez sur Ouvrir pour afficher l’enregistrement en détail dans l’instance Now Platform
      Observable Observable associé au résultat.
      Titre Titre de l’indicateur.
      Type d'indicateur Type de l’indicateur.
      Action Action effectuée par l’indicateur.
      Action recommandée Actions recommandées pour l’indicateur.
      Fournisseur de l'intégration Intégration source Defender à partir de laquelle les données sont récupérées.
      Date d'expiration Délai d’expiration de l’indicateur.
      Date de récupération Date de création de l’enregistrement d’enrichissement.