Indikatoren in Microsoft Defender for Endpoint erstellen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Erstellen Sie Indikatoren aus zugeordneten erkennbaren Elementen des Security Incidents mithilfe von Microsoft Defender for Endpoint.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Die Microsoft Defender for EndpointDie Integration ermöglicht die Ergänzung erkennbarer Elemente für alle Typen erkennbarer Elemente, die im Zuordnungsmodul „erkennbares Element – Indikator“ zugeordnet sind.

    Durch das Erstellen von Indikatoren können Sie eine Liste von Indikatoren für die Erkennung und das Blockieren von Prävention und Antworten festlegen. Sie können die Indikatoren aus dem zugehörigen erkennbaren Element des Security Incidents erstellen.

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie Indikatoren in Microsoft Defender für Endpunkt erstellen möchten.
    3. Klicken Sie auf die zugehörigen Listen erkennbarer Elemente.
    4. Fügen Sie alle vorhandenen erkennbaren Elemente hinzu, oder erstellen Sie neue erkennbare Elemente.
    5. Wählen Sie die erkennbaren Elemente aus.
    6. Von Aktionen Klicken Sie in ausgewählten Zeilen auf Erstellen Sie einen Indikator in Microsoft Defender .
      Ansicht zugeordneter Leistungen: Wählen Sie Indikatoren in Microsoft Defender für Endpunkt erstellen aus der Liste Aktionen aus.
    7. Füllen Sie im Formular die Felder aus.
      Feld Beschreibung
      Ausgewählte Erkennbare Elemente Betroffene erkennbare Elemente. Diese Aktion kann verwendet werden, um Indikatoren für mehrere erkennbare Elemente zu erstellen. Wenn Sie die Auswahl eines erkennbaren Elements aufheben möchten, können Sie dies tun, indem Sie die Auswahl der erkennbaren Elemente aus der Liste aufheben.
      Hinweis:
      Wenn die unterstützten Typen erkennbarer Elemente nicht zugeordnet sind, werden die Indikatoren nicht in Microsoft Defender für solche erkennbaren Elemente erstellt.
      Titel Titel für den Indikator.
      Beschreibung Beschreibung für den Indikator.
      Ablaufzeit Ablaufzeit für den Indikator.
      Empfohlene Aktionen Empfohlene Aktionen, die für den Indikator ausgeführt werden müssen.
      Quelle Integrationskonfiguration zum Erstellen des Indikators.
      Aktion Aktionen, die ausgeführt werden, wenn der Indikator in der Organisation erkannt wird. Die möglichen Werte sind wie folgt:
      • Warnung
      • Blockieren
      • Audit
      • „BlockundNachbessern
      • Zulässig
      Anwendung Der Microsoft Defender für die Endpunktanwendung, die dem Indikator zugeordnet ist. Dieses Feld gilt nur für einen neuen Indikator und kann nicht für einen vorhandenen Indikator verwendet werden.
      Schweregrad Schweregrad des Indikators. Die möglichen Werte sind wie folgt:
      • Niedrig
      • Mittel 
      • Hoch
      RBAC-Gruppennamen RBAC-Gruppennamen, auf die der Indikator angewendet wird. Die Namen befinden sich in einer kommagetrennten Liste.
    8. Klicken Sie Auf Erstellen Sie Einen Indikator
    9. Validieren Sie die Aktivität und UI-Nachrichten.
    10. Klicken Sie auf Microsoft Defender-Indikator Registerkarte zum Anzeigen der Ergebnisse.