Configure perfis e incidentes de segurança para Microsoft Defender for Endpoint integração

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Crie um perfil e selecione Microsoft Defender for Endpoint capacidades que você deseja que o perfil execute. Você precisa definir as configurações para que o perfil possa ser acionado somente sob as condições definidas.

    Antes de Iniciar

    Função necessária: sn_si.admin, sn_si.analyst (somente leitura)

    Por Que e Quando Desempenhar Esta Tarefa

    Configure o perfil para que ele seja executado somente quando as condições especificadas forem atendidas. Se necessário, você pode selecionar um campo de entrada alternativo para o campo Item de configuração (IC) e definir condições de filtragem para que o perfil possa ser acionado automaticamente quando um incidente de segurança que atenda às condições do gatilho for criado.

    Nota:
    Você pode navegar até a página Configuração do perfil somente depois de inserir a página Detalhes do perfil.

    Procedimento

    1. Navegar até Endpoint do Microsoft Defender > Perfis de capacidade.
    2. Depois de concluir a seção Detalhes do perfil, clique em Próxima.
      Revise e configure as seções.
    3. Na seção Definir critérios de incidente (automação), selecione Definir critérios de incidente opção para acionar automaticamente Microsoft Defender for Endpoint recursos no perfil.
      Definir critérios de incidente (automação) : Defina as condições de incidente de segurança que acionariam automaticamente os recursos do Microsoft Defender para Endpoint para o perfil. Se você não selecionar Definir critérios de incidente , o perfil e os recursos subjacentes podem ser invocados manualmente a partir do incidente de segurança.
      Nota:
      Isolar host e remover os recursos de isolamento de host não podem ser acionados automaticamente.
      1. Em Condições de filtro , selecione o campo necessário.
      2. Adicionar Novos critérios e também definem OU ou E. condição.
    4. Na seção Aprovações, selecione Aprovação necessária caixa de seleção para fornecer um nível extra de controle.

      Se você selecionar esta opção, terá mais controle ao usar os recursos do Microsoft Defender for Endpoint para isolar máquinas host, restaurá-las para a rede e obter arquivos.

      A opção Aprovações na configuração do perfil aparece somente para os recursos Isolar host e Remover isolamento de host, respectivamente.

    5. Na seção Configuração adicional, selecione Definir campo alternativo opção para definir um campo de entrada alternativo.
      Configuração adicional : Quando o campo Item de configuração (IC) não é preenchido no incidente de segurança com um nome de host ou um endereço IP que corresponda ao banco de dados, você pode selecionar um campo alternativo no incidente de segurança para consultar o Microsoft Defender para APIs de endpoint.
      Nota:
      Para obter mais informações, consulte Acionar condições em um item de configuração.
      1. Selecione Definir campo alternativo opção.
      2. Selecione o campo de entrada em Campo de gatilho de IC alternativo.
    6. Na seção Marcadores, selecione Marcador de exibição para habilitar a marcação de incidentes de segurança, o nome do perfil é prefixado na habilitação do marcador.

      Opcionalmente, você pode marcar incidentes de segurança com marcadores para marcadores de perfil iniciado, perfil concluído e perfil com falha. Por padrão, esta opção está desativada para todos os perfis.

    7. Clique Concluído.