Erstellen und konfigurieren Sie ein Profil für die Sichtungssuche mit der Microsoft Defender for Endpoint -Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Erstellen und konfigurieren Sie das Sichtungssuchprofil automatisch mit Microsoft Defender for Endpoint.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können den Sichtungssuch-Workflow verwenden, um Sichtungssuchen durchzuführen. Dieser Workflow akzeptiert eine Liste von erkennbaren Elementen, sucht nach Implementierungsfähigkeiten, erstellt die Abfragen, die auf den Sichtungssuchkonfigurationen basieren, und führt die Suchvorgänge aus, die auf dem konfigurierten Workflow basieren.

    Microsoft Defender for Endpoint stellt ein Basissystem-Sichtungssuchprofil bereit, mit dem Sie die automatischen Sichtungssuchen konfigurieren können. Mit diesem Profil können Sie auf die zugehörigen Sichtungsinformationen für erkennbare Elemente einer Organisation zugreifen und auch die Sichtungen anderer Organisationen anzeigen.

    Prozedur

    1. Navigieren zu Integrationen > Sichtungssuche: Konfiguration.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die folgenden Felder des Formulars aus.
      Tabelle : 1. Formular „Sichtungssuchkonfiguration“
      Feld Beschreibung
      Name Name für das Sichtungssuchprofil.
      Ist gespeicherte Suche Option zum Speichern der Suchkonfiguration. Die gespeicherten Suchkonfigurationsabfragen sind Beispielabfragen. Sie können sie durch die Parameter für Ihre Umgebung ersetzen und nach Bedarf zusätzliche gespeicherte Suchkonfigurationen erstellen.
      Sichtungssuchquelle Die für die Sichtungssuche in der Microsoft Defender for Endpoint -Integration konfigurierte Quelle.
      Suchen Native Suchzeichenfolge, die eine Abfrage bildet.
      Aktiv Option zum Aktivieren der gespeicherten Suchkonfiguration. Nur aktive Suchkonfigurationen können eine Sichtungssuche durchführen.
      Erkennbarer Typ Typ der erkennbaren Kategorie. Zum Beispiel IP-Adresse, Hash-Wert, URL und Domänenname.
      Maximales erkennbares Element pro Suche Maximale Anzahl von erkennbaren Elementen, die Sie in einer Suchabfrage anzeigen können. Legen Sie diesen Wert für diese Integration auf 1 fest.
      Sichtungssuchparameter Parameter zum Definieren komplexerer Abfragen, die Logik und andere Operatoren enthalten, die vom angegebenen Protokollspeicher unterstützt werden.
    4. Klicken Sie auf Absenden.