Indikatoren in Microsoft Defender for Endpoint erstellen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Erstellen Sie mit Microsoft Defender for EndpointIndikatoren aus zugehörigen erkennbaren Elementen des Security Incident.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Die Microsoft Defender for Endpoint -Integration ermöglicht die Anreicherung erkennbarer Elemente für alle Typen erkennbarer Elemente, die im Zuordnungsmodul „Erkennbares Element – Indikator“ zugeordnet sind.

    Das Erstellen von Indikatoren bietet Ihnen die Möglichkeit, eine Liste von Indikatoren für die Erkennung und das Blockieren von Prävention und Reaktionen festzulegen. Sie können die Indikatoren aus dem zugehörigen erkennbaren Element des Security Incident erstellen.

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie Indikatoren in Microsoft Defender für Endpunkt erstellen möchten.
    3. Klicken Sie auf die zugehörigen Listen Zugeordnete erkennbare Elemente.
    4. Fügen Sie vorhandene erkennbare Elemente hinzu, oder erstellen Sie neue erkennbare Elemente.
    5. Wählen Sie die erkennbaren Elemente aus.
    6. Klicken Sie in den Aktionen für ausgewählte Zeilen auf Indikator in Microsoft Defender erstellen.
      Ansicht „Zugeordnete Ergebnisse“: Wählen Sie in der Liste Aktionen die Option Indikatoren in Microsoft Defender für Endpunkt erstellen aus.
    7. Füllen Sie die Felder des Formulars aus.
      Feld Beschreibung
      Ausgewählte erkennbare Elemente Betroffene erkennbare Elemente. Diese Aktion kann verwendet werden, um Indikatoren für mehrere erkennbare Elemente zu erstellen. Wenn Sie die Auswahl eines erkennbaren Elements aufheben möchten, können Sie dies tun, indem Sie die Auswahl der erkennbaren Elemente aus der Liste aufheben.
      Hinweis:
      Wenn die unterstützten erkennbaren Elemente nicht zugeordnet sind, werden die Indikatoren für solche erkennbaren Elemente nicht in Microsoft Defender erstellt.
      Titel Titel für den Indikator.
      Beschreibung Beschreibung für den Indikator.
      Ablaufzeit Ablaufzeit für den Indikator.
      Empfohlene Aktionen Empfohlene Aktionen, die für den Indikator ausgeführt werden müssen.
      Quelle Integrationskonfiguration zum Erstellen des Indikators.
      Aktion Aktionen, die ausgeführt werden, wenn der Indikator in der Organisation erkannt wird. Die möglichen Werte lauten wie folgt:
      • Warnen
      • Block
      • Audit
      • BlockierenUndNachbessern
      • Zulässig
      Anwendung Die Microsoft Defender für Endpunkt-Anwendung, die dem Indikator zugeordnet ist. Dieses Feld gilt nur für einen neuen Indikator und kann nicht für einen vorhandenen Indikator verwendet werden.
      Schweregrad Schweregrad des Indikators. Die möglichen Werte lauten wie folgt:
      • Niedrig
      • Zuverlässige Anzeige
      • Hoch
      RBAC-Gruppennamen RBAC-Gruppennamen, auf die der Indikator angewendet würde. Die Namen befinden sich in einer durch Kommas getrennten Liste.
    8. Klicken Sie auf Indikator erstellen
    9. Validieren Sie die Aktivität und die UI-Nachrichten.
    10. Klicken Sie auf die Registerkarte Microsoft Defender-Indikator, um die Ergebnisse anzuzeigen.