Configurar Obter máquinas relacionadas da capacidade do Defender no Microsoft Defender for Endpoint

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Obtenha a lista de máquinas relacionadas de observáveis específicos.

    Antes de Iniciar

    Nota:
    Os tipos de observável compatíveis são Nome de domínio, hash SHA1 e Nome de usuário.
    Função necessária: sn_si.admin ou sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode recuperar a lista de máquinas que acessaram os observáveis específicos. Você pode armazenar a lista na tabela Detalhes do Microsoft Defender for Endpoint Related Machines. Você pode acionar a capacidade Obter máquinas relacionadas do Defender na lista relacionada Observáveis associados.

    Procedimento

    1. Navegar até Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que você deseja revisar com as informações do Microsoft Defender para endpoint.
      Figura 1. Obter máquinas relacionadas do Defender
      Obter máquinas relacionadas da implementação da capacidade do Defender
    3. Na seção Links relacionados, clique em Mostrar IoC.
    4. Clique na lista relacionada Observáveis associados.
    5. Selecione os observáveis associados.
    6. Na lista Ações, selecione a capacidade Obter máquinas relacionadas do Defender.
    7. Valide a atividade de automação e a seção de atividades.
    8. Exiba os dados e valide os detalhes do Microsoft Defender para máquinas relacionadas ao endpoint nas listas relacionadas.
    9. Exibir as atividades de automação da execução e validá-las.