Selecione observáveis individuais ou múltiplos e execute um aprimoramento de observável manual para aprimorar observáveis com informações adicionais de Microsoft Defender for Endpoint.
Antes de Iniciar
Função necessária: sn_si.analyst
Por Que e Quando Desempenhar Esta Tarefa
A integração Microsoft Defender for Endpoint permite o aprimoramento de observável para todos os tipos de observável que são mapeados no módulo Mapeamento de observável-indicador.
Procedimento
-
Navegar até .
-
Selecione o incidente de segurança que você deseja revisar com as informações do Microsoft Defender para endpoint.
-
Clique em Mostrar todas as listas relacionadas.
-
Clique na guia Observáveis associados.
-
Selecione os observáveis.
-
Na lista Ações, clique em Executar aprimoramento de observável.
-
Selecione um Microsoft Defender para origem do endpoint e mova-o para a coluna Selecionado para especificar qual implementação você deseja usar para aprimorar os observáveis selecionados.
-
Clique em Enviar.
-
Para validar o status da execução, exiba as anotações de trabalho.
-
Para exibir os resultados, clique na guia Indicador do Microsoft Defender.
Você pode usar a tabela a seguir para obter mais informações sobre o enriquecimento observável.