Configurar perfis e incidentes de segurança para a integração Microsoft Defender for Endpoint

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Crie um perfil e selecione os Microsoft Defender for Endpoint recursos que você deseja que o perfil execute. Você precisa definir as configurações para que o perfil possa ser acionado somente nas condições definidas.

    Antes de Iniciar

    Função necessária: sn_si.admin, sn_si.analyst (somente leitura)

    Por Que e Quando Desempenhar Esta Tarefa

    Configure o perfil para que ele seja executado somente quando as condições especificadas forem atendidas. Se necessário, você pode selecionar um campo de entrada alternativo para o campo Item de configuração (IC) e definir condições de filtragem para que o perfil possa ser acionado automaticamente quando um incidente de segurança que atenda às condições do gatilho for criado.

    Nota:
    Você pode navegar até a página Configuração do perfil somente depois de ter inserido a página Detalhes do perfil.

    Procedimento

    1. Navegar até Microsoft Defender para Ponto de Extremidade > Perfis de capacidade.
    2. Depois de concluir a seção Detalhes do perfil, clique em Próxima.
      Revise e configure as seções.
    3. Na seção Definir critérios de incidente (Automação), selecione a opção Definir critérios de incidente para acionar automaticamente as capacidades Microsoft Defender for Endpoint no perfil.
      Definir critérios de incidente (automação): defina as condições de incidente de segurança que acionariam automaticamente as capacidades do Microsoft Defender for Endpoint para o perfil. Se você não selecionar a opção Definir critérios de incidente, o perfil e as capacidades subjacentes poderão ser invocados manualmente a partir do incidente de segurança.
      Nota:
      As capacidades de isolamento Isolar host e Remover host não podem ser acionadas automaticamente.
      1. Em Condições do filtro, selecione o campo obrigatório.
      2. Adicione novos critérios e defina também a condição OU ou E.
    4. Na seção Aprovações, marque a caixa de seleção Requer aprovação para fornecer um nível extra de controle.

      Se você selecionar esta opção, terá mais controle ao usar os recursos do Microsoft Defender for Endpoint para isolar máquinas host, restaurá-las na rede e obter arquivos.

      A opção Aprovações na configuração do perfil aparece somente para as capacidades Isolar host e Remover isolamento de host, respectivamente.

    5. Na seção Configuração adicional, selecione a opção Definir campo alternativo para definir um campo de entrada alternativo.
      Configuração adicional: quando o campo Item de configuração (IC) não estiver preenchido no incidente de segurança com um nome de host ou um endereço IP que corresponda ao banco de dados, você poderá selecionar um campo alternativo no incidente de segurança para consultar o Microsoft Defender para APIs de endpoint .
      Nota:
      Para obter mais informações, consulte Condições do gatilho em um item de configuração.
      1. Selecione a opção Definir campo alternativo.
      2. Selecione o campo de entrada em Campo de gatilho de IC alternativo.
    6. Na seção Marcadores, marque a caixa de seleção Exibir marcador para habilitar a marcação de incidentes de segurança. O nome do perfil é prefixado na habilitação do marcador.

      Opcionalmente, você pode marcar incidentes de segurança com marcadores para perfis iniciados, perfis concluídos e perfis com falha. Por padrão, esta opção está desativada para todos os perfis.

    7. Clique em Pronto.