Konfigurieren Sie die Fähigkeit „Host isolieren“ in Microsoft Defender for Endpoint

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Isolieren Sie den Host basierend auf der Schwere des Angriffs vom Zugriff auf das Netzwerk in Microsoft Defender for Endpoint. Durch die Isolierung des Hosts vom Netzwerk können Sie weitere böswillige Aktivitäten oder potenzielle Angriffe auf andere Hosts verhindern.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin oder sn_si.analyst

    Tabelle : 1. Anforderungen für die Fähigkeit „Host isolieren“.
    Fähigkeit Erforderlich Beschreibung
    Host isolieren Isolierungstyp (Erforderlich) Typ der Isolierung (Vollständig oder Selektiv).
    Anmerkung (Erforderlich) Kommentar, der der Aktion zugeordnet werden soll.

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, den Sie mit den Microsoft Defender for Endpoint-Informationen überprüfen möchten.
    3. Klicken Sie im Abschnitt Zugehörige Links auf EDR-Profil(e) ausführen.
    4. Wählen Sie ein Profil mit der Fähigkeit Host isolieren aus der Liste der verfügbaren Profile aus, und klicken Sie auf Absenden.
      Abbildung : 1. Host isolieren
      Isolieren Sie die Hostfähigkeit in Microsoft Defender für Endpunkt
      Alternativ können Sie die folgenden Schritte ausführen:
      1. Klicken Sie im Abschnitt „ Zugehörige Listen“ auf Allezugehörigen Listen anzeigen.
      2. Klicken Sie auf die zugehörige Liste Configuration Item.
      3. Wählen Sie Host isolieren aus, und wählen Sie die entsprechenden Fähigkeiten aus.
    5. Validieren Sie die Automatisierungsaktivität und den Aktivitätenbereich, und stellen Sie sicher, dass die Daten den Erwartungen entsprechen.
    6. Zeigen Sie die Daten an, und validieren Sie die Details des isolierten Hosts in den zugehörigen Listen.