Indikatoren in Microsoft Defender for Endpoint erstellen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Erstellen Sie mithilfe von Microsoft Defender for EndpointIndikatoren aus zugeordneten erkennbaren Elementen des Security Incident.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Die Microsoft Defender for Endpoint -Integration ermöglicht die Ergänzung erkennbarer Elemente für alle erkennbaren Typen, die im Zuordnungsmodul „Erkennbares Indikator“ zugeordnet sind.

    Indikatoren erstellen bietet Ihnen die Möglichkeit, eine Liste von Indikatoren für die Erkennung sowie für die Verhinderung und Reaktion von Blockierungen festzulegen. Sie können die Indikatoren aus dem zugeordneten erkennbaren Element des Security Incident erstellen.

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie Indikatoren in Microsoft Defender für Endpunkt erstellen möchten.
    3. Klicken Sie auf die zugehörigen Listen Zugeordnete erkennbare Elemente.
    4. Fügen Sie vorhandene erkennbare Elemente hinzu, oder erstellen Sie neue erkennbare Elemente.
    5. Wählen Sie die erkennbaren Elemente aus.
    6. Klicken Sie in den Aktionen für ausgewählte Zeilen auf Indikator in Microsoft Defender erstellen.
      Abbildung : 1. Indikatoren erstellen
      Erstellen Sie Indikatoren in Microsoft Defender für Endpunkt
    7. Füllen Sie die Felder des Formulars aus.
      Feld Beschreibung
      Ausgewählte erkennbare Elemente Betroffene erkennbare Elemente. Diese Aktion kann verwendet werden, um Indikatoren für mehrere erkennbare Elemente zu erstellen. Wenn Sie die Auswahl eines erkennbaren Elements aufheben möchten, können Sie dies tun, indem Sie die Auswahl der erkennbaren Elemente in der Liste aufheben.
      Hinweis:
      Wenn die unterstützten erkennbaren Typen nicht zugeordnet sind, werden die Indikatoren in Microsoft Defender für solche erkennbaren Elemente nicht erstellt.
      Titel Titel für den Indikator.
      Beschreibung Beschreibung für den Indikator.
      Ablaufzeit Ablaufzeit für den Indikator.
      Empfohlene Aktionen Empfohlene Aktionen, die für den Indikator ausgeführt werden müssen.
      Quelle Integrationskonfiguration zum Erstellen des Indikators.
      Aktion Aktionen, die ausgeführt werden, wenn der Indikator in der Organisation erkannt wird. Mögliche Werte:
      • Warnen
      • Blockieren
      • Audit
      • 'BlockierenUndKorrektur
      • Zulässig
      Anwendung Die Microsoft Defender for Endpoint-Anwendung, die dem Indikator zugeordnet ist. Dieses Feld gilt nur für einen neuen Indikator und kann nicht für einen vorhandenen Indikator verwendet werden.
      Schweregrad Schweregrad des Indikators. Mögliche Werte:
      • Niedrig
      • Zuverlässige Anzeige
      • Hoch
      RBAC-Gruppennamen RBAC-Gruppennamen, auf die der Indikator angewendet würde. Die Namen befinden sich in einer durch Kommas getrennten Liste.
    8. Klicken Sie auf Indikator erstellen
    9. Validieren Sie die Aktivitäts- und UI-Nachrichten.
    10. Klicken Sie auf die Registerkarte Microsoft Defender-Indikator, um die Ergebnisse anzuzeigen.