Selecione um ou vários observáveis e execute uma pesquisa de vista manual em Microsoft Defender for Endpoint para determinar a predominância de uma ameaça ao longo do tempo.
Por Que e Quando Desempenhar Esta Tarefa
Os tipos de observável compatíveis são os seguintes:
Procedimento
-
Navegue até Incidentes de segurança.
-
Abra um SIR existente ou crie um novo SIR.
-
Nos links relacionados, clique em Mostrar IoC.
-
Clique nas listas relacionadas de Observáveis associados.
-
Selecione os observáveis.
-
Na lista Ações, clique em Executar aprimoramento de observável.
-
Selecione os observáveis em Ação nas linhas selecionadas e clique em Executar pesquisa de detecções.
Nota: A pesquisa de vista é compatível com os tipos de observáveis Nome de domínio, endereço IP (V4), endereço IP (V6), hash MD5, hash SHA1 e hash SHA256, respectivamente.
-
Especifique o intervalo de tempo da pesquisa e clique em Pesquisar.
Nota: O Microsoft Defender para endpoint oferece suporte à pesquisa de vista somente nos últimos 30 dias. Se sua consulta de intervalo for anterior aos últimos 30 dias, a pesquisa de vista não recuperará nenhum dado. Se sua consulta de intervalo se sobrepuser aos últimos 30 dias, as vistas somente dos últimos 30 dias serão recuperadas e, se sua consulta de intervalo estiver nos últimos 30 dias, as vistas da hora de início definida até a hora atual serão recuperadas.
-
Ao concluir a pesquisa, valide os resultados e os detalhes nas listas relacionadas.
-
Clique em Detalhes da pesquisa de detecções para exibir os detalhes da pesquisa de detecções.
-
Clique na guia Vista para obter detalhes e na guia Resultados da pesquisa de Vistas para obter os resultados da pesquisa.
Você pode exibir informações adicionais relacionadas à vista específica no campo Resumo.