Configurar Obter máquinas relacionadas da capacidade do Defender no Microsoft Defender for Endpoint

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Obtenha a lista de máquinas relacionadas de observáveis específicos.

    Antes de Iniciar

    Tipos de observável compatíveis: nome de domínio, hash SHA1 e nome de usuário

    Função necessária: sn_si.admin ou sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode recuperar a lista de máquinas que acessaram os observáveis específicos. Você pode armazenar a lista na tabela Detalhes de máquinas relacionadas ao Microsoft Defender for Endpoint. Você pode acionar a capacidade Obter máquinas relacionadas do Defender na lista relacionada Observáveis associados.

    Procedimento

    1. Navegar até Incidentes de segurança > Mostrar Todos os Incidentes.
    2. Selecione o incidente de segurança que você deseja revisar com as informações do Microsoft Defender for Endpoint.
      Figura 1. Obter máquinas relacionadas do Defender
      Obter máquinas relacionadas da implementação da capacidade do Defender
    3. Na seção Links relacionados, clique em Mostrar IoC.
    4. Clique na lista relacionada Observáveis associados.
    5. Selecione os observáveis associados.
    6. Na lista Ações, selecione o recurso Obter máquinas relacionadas do Defender.
    7. Valide a atividade de automação e a seção de atividades.
    8. Exiba os dados e valide os detalhes do Microsoft Defender para máquinas relacionadas ao endpoint nas listas relacionadas.
    9. Exiba as atividades de automação da execução e valide-as.