Configurer l’option Arrêter et mettre en quarantaine le fichier dans Microsoft Defender pour point de terminaison

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Arrêtez et mettez en quarantaine les fichiers à partir de la plateforme Microsoft Defender.

    Avant de commencer

    Types d’observables pris en charge : Hachage SHA1

    Tableau 1. Conditions requises pour la fonctionnalité Arrêter et mettre en quarantaine le fichier
    Entrée Description
    Commentaire (Obligatoire) Commentaire à associer à l’action)

    Rôle requis : sn_si.admin ou sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Vous pouvez exécuter l’action Arrêter et mettre en quarantaine le fichier uniquement sur les observables particuliers de type SHA1. Stockez les détails dans la table Actions supplémentaires sur le point de terminaison. Vous pouvez déclencher l’option Arrêter et mettre en quarantaine le fichier à partir de la liste connexe Détails des ordinateurs liés Microsoft Defender pour point de terminaison.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les informations sur Microsoft Defender pour point de terminaison.
    3. Dans la section Liens connexes, cliquez sur Afficher toutes les listes connexes.
    4. Cliquez sur la liste connexe Détails des ordinateurs liés à Microsoft Defender pour point de terminaison.
    5. Sélectionnez un ou plusieurs enregistrements.
    6. Dans Actions sur les lignes sélectionnées, sélectionnez l’option Arrêter et mettre le fichier en quarantaine .
    7. Validez l’activité d’automatisation et la section des activités.
    8. Affichez les données et validez les données sur les listes connexes.
    9. Affichez les activités d’automatisation de l’exécution et validez-les.