Como criar Indicadores em Microsoft Defender for Endpoint

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Crie indicadores de observáveis associados do incidente de segurança usando o Microsoft Defender for Endpoint.

    Antes de Iniciar

    Função necessária: sn_si.admin, sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    A integração Microsoft Defender for Endpoint permite o aprimoramento de observável para todos os tipos de observável que são mapeados no módulo de mapeamento Observable-Indicator.

    Criar indicadores fornece a capacidade de definir uma lista de indicadores para detecção e para bloqueio de prevenção e respostas. Você pode criar os indicadores do observável associado do incidente de segurança.

    Procedimento

    1. Navegar até Incidentes de segurança > Mostrar Todos os Incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja criar indicadores no Microsoft Defender para Endpoint.
    3. Clique nas listas relacionadas de Observáveis associados.
    4. Adicione observáveis existentes ou crie novos observáveis.
    5. Selecione os observáveis.
    6. Em Ações nas linhas selecionadas, clique em Criar indicador no Microsoft Defender.
      Figura 1. Criar Indicadores
      Criar indicadores no Microsoft Defender para endpoint
    7. No formulário, preencha os campos.
      Campo Descrição
      Observáveis selecionados Observáveis afetados. Esta ação pode ser usada para criar indicadores para vários observáveis. Se você quiser desmarcar um observável, poderá fazer isso desmarcando os observáveis na lista.
      Nota:
      Se os tipos de observáveis compatíveis não forem mapeados, os indicadores não serão criados no Microsoft Defender para esses observáveis.
      Título Título do indicador.
      Descrição Descrição do indicador.
      Tempo de expiração Tempo de expiração do indicador.
      Ações recomendadas Ações recomendadas que devem ser realizadas para o indicador.
      Origem Configuração de integração para criar o indicador.
      Ação Ações que serão realizadas se o indicador for descoberto na organização. Os valores possíveis são os seguintes:
      • Aviso
      • Bloquear
      • Auditoria
      • 'Bloquear e corrigir
      • Permitido
      Aplicação A aplicação Microsoft Defender for Endpoint que está associada ao indicador. Este campo é aplicável somente para um novo indicador e não pode ser usado para um indicador existente.
      Gravidade Severidade do indicador. Os valores possíveis são os seguintes:
      • Baixo(a)
      • Média
      • Alto
      Nomes de grupo do RBAC Nomes de grupo do RBAC aos quais o indicador seria aplicado. Os nomes estão em uma lista separada por vírgulas.
    8. Clique em Criar indicador
    9. Valide a atividade e as mensagens de IU.
    10. Clique na guia Indicador do Microsoft Defender para exibir os resultados.