Konfigurieren Sie die Fähigkeit Zugehörige Computer aus Defender-Fähigkeit abrufen in Microsoft Defender for Endpoint

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Ruft die Liste der zugehörigen Computer bestimmter erkennbarer Elemente ab.

    Vorbereitungen

    Unterstützte erkennbare Typen: Domänenname, SHA1-Hash und Benutzername

    Erforderliche Rolle: sn_si.admin oder sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Liste der Computer abrufen, die auf die bestimmten erkennbaren Elemente zugegriffen haben. Sie können die Liste in der Microsoft Defender for Endpoint-Tabelle „Details zugehöriger Computer“ speichern. Sie können die Fähigkeit „Zugehörige Computer aus Defender abrufen“ über die zugehörige Liste „Zugeordnete erkennbare Elemente“ auslösen.

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, den Sie mit den Microsoft Defender for Endpoint-Informationen überprüfen möchten.
      Abbildung : 1. Rufen Sie zugehörige Computer von Defender ab
      Ruft zugehörige Computer aus der Implementierung der Defender-Fähigkeit ab
    3. Klicken Sie im Abschnitt „Zugehörige Links“ auf IoC anzeigen.
    4. Klicken Sie auf die zugehörige Liste Zugeordnete erkennbare Elemente.
    5. Wählen Sie die zugeordneten erkennbaren Elemente aus.
    6. Wählen Sie in der Liste „Aktionen“ die Fähigkeit Zugehörige Computer aus Defender abrufen aus.
    7. Validieren Sie die Automatisierungsaktivität und den Aktivitätenbereich.
    8. Zeigen Sie die Daten an, und validieren Sie die Microsoft Defender for Endpoint-bezogenen Computerdetails in den zugehörigen Listen.
    9. Zeigen Sie die Automatisierungsaktivitäten der Ausführung an, und validieren Sie sie.