Selecione observáveis individuais ou múltiplos e execute uma pesquisa de detecções manual em Microsoft Defender for Endpoint para determinar a predominância de uma ameaça ao longo do tempo.
Por Que e Quando Desempenhar Esta Tarefa
Os tipos de observável compatíveis são os seguintes:
Procedimento
-
Navegue até Incidentes de segurança.
-
Abra um SIR existente ou crie um novo SIR.
-
Nos links relacionados, clique em Mostrar IoC.
-
Clique nas listas relacionadas a Observáveis associados.
-
Selecione os observáveis.
-
Na lista Ações, clique em Executar aprimoramento de observável.
-
Selecione os observáveis em Ação nas linhas selecionadase clique em Executar Pesquisa de detecções.
Nota: A pesquisa de detecções é compatível com os tipos de observáveis nome de domínio, endereço IP (V4), endereço IP (V6), hash MD5, hash SHA1 e hash SHA256, respectivamente.
-
Especifique o intervalo de tempo para a pesquisa e clique em Pesquisar.
Nota: O Microsoft Defender para endpoint oferece suporte à pesquisa de detecções somente nos últimos 30 dias. Se a consulta de intervalo for anterior aos últimos 30 dias, a pesquisa de detecções não recuperará nenhum dado. Se a consulta de intervalo se sobrepuser aos últimos 30 dias, as vistas somente dos últimos 30 dias serão recuperadas e, se a consulta de intervalo estiver nos últimos 30 dias, as vistas da hora de início definida até a hora atual serão recuperadas.
-
Ao concluir a pesquisa, valide os resultados e os detalhes nas listas relacionadas.
-
Clique em Detalhes da pesquisa de detecções para exibir os detalhes da pesquisa de detecções.
-
Clique na guia Detecção para obter detalhes e na guia Resultados da pesquisa de detecções para obter os resultados da pesquisa.
Você pode exibir informações adicionais relacionadas à detecção específica no campo Resumo.