Führen Sie eine automatische Ergänzung erkennbarer Elemente in durch Microsoft Defender for Endpoint

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 1 Minute Lesedauer

    • Führen Sie eine automatische Ergänzung erkennbarer Elemente in durch Microsoft Defender for Endpoint Dient zum Anreichern erkennbarer Elemente mit zusätzlichen Informationen aus verschiedenen Quellen.

    Vorbereitungen

    Stellen Sie sicher, dass Sie aktiviert haben Antwort Auf Security Incidents Systemeigenschaft. Diese Option löst die Ergänzungsfunktion für erkennbare Elemente in SIR aus, wenn ein erkennbares Element einem Security Incident zugeordnet ist.

    Erforderliche Rolle: sn_si.admin, sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können diese Fähigkeit bei Untersuchungen zur Reaktion auf Incidents verwenden, um eine identifizierte Bedrohung einzudämmen. Wenn dem Security Incident neue erkennbare Elemente zugeordnet sind, können Sie die Ergänzung erkennbarer Elemente in der Funktionalität „Microsoft Defender for Endpoint“ aktivieren, um automatisch auszuführen.

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, den Sie mit dem Microsoft Defender für Endpunktinformationen überprüfen möchten.
    3. Validieren Sie die Automatisierungsaktivität, sobald die neuen erkennbaren Elemente dem Security Incident zugeordnet wurden.
    4. Zeigen Sie die Ergebnisse der Ergänzungsergebnisse in der zugehörigen Liste „Indikatoren“ des Security Incidents an.
      Sie können die folgende Tabelle verwenden, um weitere Informationen zur Ergänzung erkennbarer Elemente zu erhalten.
      Tabelle : 1. Microsoft Defender-Indikator
      Feld Beschreibung
      Indikator-ID Identität der Indikatorentität. Klicken Sie Auf Offen Dient zum Anzeigen des Datensatzes im Detail ServiceNow AI Platform Instanz
      Erkennbares Element Das dem Ergebnis zugeordnete erkennbare Element.
      Titel Titel für den Indikator.
      Indikatortyp Typ des Indikators.
      Aktion Vom Indikator ausgeführte Aktion.
      Empfohlene Aktion Empfohlene Aktionen für den Indikator.
      Integrationslieferant Defender-Quellintegration, aus der die Daten abgerufen werden.
      Ablaufdatum Ablaufzeit für den Indikator.
      Abrufdatum Datum, an dem der Ergänzungsdatensatz erstellt wird.