Executar um aprimoramento observável automático no Microsoft Defender for Endpoint

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Execute um aprimoramento observável automático em Microsoft Defender for Endpoint para aprimorar observáveis com informações adicionais de várias fontes.

    Antes de Iniciar

    Verifique se você habilitou a propriedade do sistema do Security Incident Response. Esta opção aciona a capacidade de aprimoramento do observável no SIR, sempre que um observável estiver associado a um incidente de segurança.

    Função necessária: sn_si.admin, sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar esta capacidade durante as investigações de resposta do incidente para conter uma ameaça identificada. Quando novos observáveis são associados ao incidente de segurança, você pode habilitar o enriquecimento do observável na capacidade do Microsoft Defender para Endpoint para ser executado automaticamente.

    Procedimento

    1. Navegar até Incidentes de segurança > Mostrar Todos os Incidentes.
    2. Selecione o incidente de segurança que você deseja revisar com as informações do Microsoft Defender for Endpoint.
    3. Valide a atividade de automação depois que os novos observáveis forem associados ao incidente de segurança.
    4. Exiba os resultados do aprimoramento na lista relacionada Indicadores do incidente de segurança.
      Você pode usar a tabela a seguir para obter mais informações sobre o aprimoramento observável.
      Tabela 1. Indicador do Microsoft Defender
      Campo Descrição
      ID do indicador Identidade da entidade Indicador. Clique em Abrir para exibir o registro em detalhes na instância Now Platform
      Observável O observável associado ao resultado.
      Título Título do indicador.
      Tipo de Indicador Tipo do indicador.
      Ação Ação realizada pelo indicador.
      Ação recomendada Ações recomendadas para o indicador.
      Fornecedor de integração Integração de origem do Defender da qual os dados são recuperados.
      Data de vencimento Tempo de expiração do indicador.
      Data de recuperação Data em que o registro de aprimoramento é criado.