Auslöserbedingungen in einem Konfigurationselement

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Nachdem Sie ein Profil erstellt und ausgewählt haben Microsoft Defender for EndpointFähigkeiten, die das Profil ausführen soll, konfigurieren Sie die Profileinstellungen so, dass das Profil nur ausgeführt wird, wenn eine Reihe bestimmter Bedingungen erfüllt ist.

    So lösen Sie Bedingungen in einem Konfigurationselement aus

    Sie können Auslöserbedingungen festlegen, damit das Profil automatisch ausgeführt wird, wenn ein Security Incident erstellt wird, der der Auslöserbedingung entspricht. Wenn die Auslöserbedingung nicht festgelegt ist, können diese Profile manuell ausgeführt werden, indem Sie im Security Incident auf das Formular „EDR-Profil(e) ausführen“ klicken und das Profil auswählen.

    Standardmäßig verwendet die Integration das Feld Konfigurationselement (CI) im Security Incident. Dieser Wert wird verwendet, um die IDs Ihrer Assets mit den in gespeicherten Informationen abzugleichen Now Platform Configuration Management Database (CMDB). Wenn ein Security Incident erstellt wird und ein Profil entweder automatisch oder manuell ausgeführt wird, wird der CMDBWird gesucht, um den Hostnamen oder die IP-Adresse basierend auf dem Wert des CI-Felds abzurufen. Der Hostname oder die IP-Adresse wird verwendet, um die Service Desk-Mitarbeiter-ID auf aufzulösen Microsoft Defender for EndpointUm den Endpunkt zu identifizieren.

    In einem idealen Szenario wird ein übereinstimmender Wert in der Datenbank gefunden, und Daten werden aus gesammelt Microsoft Defender for EndpointKonsole für das übereinstimmende Asset. Die Daten für verschiedene Fähigkeiten werden in abgerufen Now Platform Configuration Management Database (CMDB)Instanz und wird in den zugehörigen Listen eines Security Incidents angezeigt. Wenn das Feld Konfigurationselement (CI) im Security Incident nicht mit einem Hostnamen oder einer IP-Adresse ausgefüllt ist, die der Datenbank entspricht, können Sie ein alternatives Feld für den Security Incident auswählen, das entweder den Hostnamen oder die IP enthält, um die Lösung der Agenten-ID durchzuführen.

    Während des Konfigurationsschritts des Profil-Setups können Sie ein alternatives CI-Feld für die Endpunktidentifizierung auswählen, um sicherzustellen, dass Sie den Endpunkt auf identifizieren können Microsoft Defender for Endpoint. Sie können jedes Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich anwenderdefinierter Felder, die Sie erstellen. Indem Sie dieses alternative CI-Feld als Sicherung auswählen, stellen Sie sicher, dass Ihre Profile auch dann ausgeführt werden, wenn das CI-Feld bei der Incident-Erstellung nicht im zugehörigen Security Incident ausgefüllt ist.

    Hinweis:
    Die alternativen CI-Felder werden nur für Fähigkeiten berücksichtigt, die einem Profil hinzugefügt werden könnten. Diese Fähigkeiten umfassen „Hostdetails abrufen“, „angemeldete Anwender abrufen“, „Host isolieren“ und „Isolierung entfernen“. Für alle zusätzlichen Aktionen muss das alternative CI im Modul „Standardeinstellungen“ konfiguriert werden.