Nach Abschluss der Installation müssen Sie zusätzliche Konfigurationseinstellungen vornehmen.

Nachdem Sie die Installation abgeschlossen haben, finden Sie das Modul „Standardeinstellungen“ unter der Anwendung Microsoft Defender for Endpoint im linken Navigationsbereich. Sie enthält die Standardeinstellungen für verschiedene Microsoft Defender for Endpoint -Funktionalitäten.

Erforderliche Rolle: sn_si.admin, sn_si.analyst (schreibgeschützt).

Zusätzliche Konfigurationen

Im Folgenden finden Sie zusätzliche Konfigurationseinstellungen:

• Genehmigung: Diese Genehmigung gilt speziell für die Aktion „Host isolieren“, die Aktion „Hostisolierung entfernen“ und zusätzliche Aktionen wie „Ausführung der App einschränken“, „App-Beschränkung entfernen“ und „Antivirus-Scan ausführen“. Sie können diese Genehmigung nur verwenden, wenn Aktionen direkt von der zugehörigen Liste ausgelöst werden und keine Profile vorhanden sind. Wenn für diese Fähigkeiten Profile vorhanden sind, hat die Genehmigungskonfiguration im Profil Vorrang.
  • Genehmigungerforderlich: Wenn Sie „Genehmigung erforderlich“ aktivieren, ist das Feld Genehmigerim Formular verfügbar.
  • Genehmiger: Liste der Genehmigergruppen. Nachdem Sie eine Anforderung übermittelt haben, ist zum Abschließen der Anforderung eine Genehmigung durch die Gruppe erforderlich.
• Alternatives CI: Durch Aktivieren dieses Kontrollkästchens wird die Liste der Felder angezeigt, in denen ein alternatives CI an die Fähigkeit übergeben werden kann. Standardmäßig verwendet die Integration das Feld Configuration Item (CI) im Security Incident. Diese Konfiguration gilt nur für die Fähigkeit „Zusätzliche Aktionen für Endpunkt ausführen“. Verwenden Sie diese Konfiguration, um ein alternatives CI-Eingabefeld nur für die Fähigkeit „Zusätzliche Aktionen für Endpunkt ausführen“ zu definieren. Verwenden Sie für die anderen Fähigkeiten die Konfiguration im Profilabschnitt. Wenn die Profile kein alternatives CI definieren, übernehmen die Fähigkeiten das CI-Feld aus dem Formular „Security Incident“.
• Eingabe für die Auflösung der Agent-ID: Standardmäßig werden IP und Hostname zum Abrufen der Agent-ID verwendet. Wenn Sie nur eine davon verwenden möchten, legen Sie das Eingabefeld entweder auf „IP“ oder „Hostname“ fest.
• Zeitüberschreitung:
  • Zeitüberschreitung bei Host-Isolierung (in Minuten): Gibt den Ausführungsschwellenwert für die Fähigkeiten „Host isolieren“ an.
  • Zeitüberschreitung fürIsolation entfernen (in Minuten): Gibt den Ausführungsschwellenwert für die Fähigkeit „Zeitüberschreitung für Isolierung entfernen“ an.
  • Zeitüberschreitung bei der Ausführung von Apps einschränken (in Minuten): Gibt den Ausführungsschwellenwert für die Fähigkeit „Ausführung von Apps einschränken“ an.
  • Zeitüberschreitung beim Entfernen der App-Beschränkung (in Minuten): Gibt den Ausführungsschwellenwert für die Fähigkeit „App-Beschränkung entfernen“ an.
  • Zeitüberschreitung bei der Ausführung des Antivirus-Scans (in Minuten): Gibt den Ausführungsschwellenwert für die Funktion „Antivirus-Scan ausführen“ an.
  • Zeitüberschreitung beim Stoppen und Platzieren von Dateien (in Minuten): Gibt den Ausführungsschwellenwert für die Funktion „Datei anhalten und unter Quarantäne stellen“ an.