Executar um aprimoramento automático de observável em Microsoft Defender for Endpoint

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Execute um aprimoramento automático de observável em Microsoft Defender for Endpoint para aprimorar observáveis com informações adicionais de várias fontes.

    Antes de Iniciar

    Verifique se você habilitou a propriedade do sistema do Security Incident Response. Esta opção aciona a capacidade de enriquecimento do observável no SIR, sempre que um observável está associado a um incidente de segurança.

    Função necessária: sn_si.admin, sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar essa capacidade durante as investigações de resposta do incidente para conter uma ameaça identificada. Quando novos observáveis são associados ao incidente de segurança, você pode habilitar o enriquecimento de observáveis na capacidade do Microsoft Defender para Endpoint para ser executado automaticamente.

    Procedimento

    1. Navegar até Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que você deseja revisar com as informações do Microsoft Defender para endpoint.
    3. Valide a atividade de automação depois que os novos observáveis tiverem sido associados ao incidente de segurança.
    4. Exiba os resultados do aprimoramento na lista relacionada de Indicadores do incidente de segurança.
      Você pode usar a tabela a seguir para obter mais informações sobre o enriquecimento observável.
      Tabela 1. Indicador do Microsoft Defender
      Campo Descrição
      ID do indicador Identidade da entidade do indicador. Clique em Abrir para exibir o registro em detalhes na instância Now Platform
      Observável O observável associado ao resultado.
      Título Título do indicador.
      Tipo de Indicador Tipo do indicador.
      Ação Ação realizada pelo indicador.
      Ação recomendada Ações recomendadas para o indicador.
      Fornecedor de integração Integração de origem do Defender da qual os dados são recuperados.
      Data de Vencimento Tempo de expiração do indicador.
      Data de recuperação Data em que o registro de aprimoramento foi criado.