Crie e configure um perfil para pesquisa de detecções com a integração Microsoft Defender for Endpoint

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Crie e configure o perfil de pesquisa de detecções automaticamente usando o Microsoft Defender for Endpoint.

    Antes de Iniciar

    Função necessária: sn_si.admin, sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar o fluxo de trabalho Pesquisa de detecções para executar as pesquisas de detecções. Este fluxo de trabalho aceita uma lista de observáveis, encontra capacidades de implementação, cria as consultas baseadas nas configurações de pesquisa de detecções e executa as pesquisas baseadas no fluxo de trabalho configurado.

    O Microsoft Defender for Endpoint fornece um perfil de pesquisa de detecções do sistema de base que permite configurar as pesquisas de detecções automáticas. Com este perfil, você pode acessar as informações de detecções de observáveis relacionadas de uma organização e também ver as detecções de outras organizações.

    Procedimento

    1. Navegar até Integrações > Configuração de pesquisa de detecções.
    2. Clique em Nova.
    3. No formulário, preencha os campos a seguir.
      Tabela 1. Formulário Configuração de pesquisa de detecções
      Campo Descrição
      Nome Nome do perfil de pesquisa de detecções.
      Pesquisa salva Opção para salvar a configuração de pesquisa. As consultas de configuração de pesquisa salvas são consultas de exemplo. Você pode substituí-los pelos parâmetros do seu ambiente e criar configurações de pesquisa salvas adicionais conforme necessário.
      Origem da pesquisa de detecções A origem configurada para a pesquisa de detecções na integração Microsoft Defender for Endpoint.
      Pesquisar Cadeia de caracteres de pesquisa nativa que forma uma consulta.
      Ativo Opção para habilitar a configuração de pesquisa salva. Somente configurações de pesquisa ativas podem executar uma pesquisa de detecções.
      Tipo de observável Tipo de categoria de observável. Por exemplo, endereço IP, valor de hash, URL e nome de domínio.
      Máximo de observável por pesquisa Número máximo de observáveis que você pode exibir em uma consulta de pesquisa. Defina este valor como 1 para esta integração.
      Parâmetros de pesquisa de detecções Parâmetros para definir consultas mais complexas que incluem lógica e outros operadores compatíveis com o armazenamento de log especificado.
    4. Clique em Enviar.