Erstellen und konfigurieren Sie ein Profil für die Sichtungssuche mit Microsoft Defender for EndpointIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer
  • Erstellen und konfigurieren Sie das Sichtungssuchprofil automatisch mit Microsoft Defender for Endpoint.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können den Sichtungssuche-Workflow verwenden, um die Sichtungssuchen durchzuführen. Dieser Workflow akzeptiert eine Liste von erkennbaren Elementen, findet alle Implementierungsfähigkeiten, erstellt die Abfragen, die auf den Konfigurationen der Sichtungssuche basieren, und führt die Suchen aus, die auf dem konfigurierten Workflow basieren.

    Die Microsoft Defender for EndpointStellt ein Basissystem-Sichtungssuchprofil bereit, mit dem Sie die automatischen Sichtungssuchen konfigurieren können. Mit diesem Profil können Sie auf die zugehörigen Sichtungsinformationen erkennbarer Elemente einer Organisation zugreifen und auch die Sichtungen aus anderen Organisationen anzeigen.

    Prozedur

    1. Navigieren zu Integrationen > Sichtungssuche: Konfigurationan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die folgenden Felder aus.
      Tabelle : 1. Konfigurationsformular für Sichtungssuche
      Feld Beschreibung
      Name Name für das Sichtungssuchprofil.
      Ist gespeicherte Suche Option zum Speichern der Suchkonfiguration. Die gespeicherten Suchkonfigurationsabfragen sind Beispielabfragen. Sie können sie durch die Parameter für Ihre Umgebung ersetzen und nach Bedarf zusätzliche gespeicherte Suchkonfigurationen erstellen.
      Sichtungssuchquelle Die für die Sichtungssuche in konfigurierte Quelle Microsoft Defender for EndpointIntegration.
      Suchen Native Suchzeichenfolge, die eine Abfrage bildet.
      Aktiv Option zum Aktivieren der gespeicherten Suchkonfiguration. Nur aktive Suchkonfigurationen können eine Sichtungssuche durchführen.
      Erkennbarer Typ Typ der Kategorie des erkennbaren Elements. Beispiel: IP-Adresse, Hash-Wert, URL und Domänenname.
      Maximale Anzahl erkennbarer Elemente pro Suche Maximale Anzahl erkennbarer Elemente, die Sie in einer Suchabfrage anzeigen können. Legen Sie diesen Wert für diese Integration auf 1 fest.
      Sichtungssuchparameter Parameter zum Definieren komplexerer Abfragen, die Logik und andere Operatoren enthalten, die vom angegebenen Protokollspeicher unterstützt werden.
    4. Klicken Sie auf Absenden.