Indikatoren in Microsoft Defender for Endpoint erstellen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Erstellen Sie mithilfe von Indikatoren aus zugeordneten erkennbaren Elementen des Security Incident Microsoft Defender for Endpoint.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Die Microsoft Defender for Endpoint Die Integration ermöglicht die Ergänzung erkennbarer Elemente für alle Typen erkennbarer Elemente, die im Zuordnungsmodul „erkennbares Element – Indikator“ zugeordnet sind.

    Mit Indikatoren erstellen können Sie eine Liste von Indikatoren für die Erkennung und das Blockieren von Prävention und Antworten festlegen. Sie können die Indikatoren aus dem zugehörigen erkennbaren Element des Security Incidents erstellen.

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie Indikatoren in Microsoft Defender for Endpoint erstellen möchten.
    3. Klicken Sie auf die zugehörigen Listen der zugehörigen erkennbaren Elemente.
    4. Fügen Sie vorhandene erkennbare Elemente hinzu, oder erstellen Sie neue erkennbare Elemente.
    5. Wählen Sie die erkennbaren Elemente aus.
    6. Von Aktionen Klicken Sie in ausgewählten Zeilen auf Erstellen Sie einen Indikator in Microsoft Defender .
      Ansicht zugeordneter Leistungen: Wählen Sie Indikatoren in Microsoft Defender für Endpunkt erstellen aus der Liste Aktionen aus.
    7. Füllen Sie im Formular die Felder aus.
      Feld Beschreibung
      Ausgewählte Erkennbare Elemente Betroffene erkennbare Elemente. Diese Aktion kann verwendet werden, um Indikatoren für mehrere erkennbare Elemente zu erstellen. Wenn Sie die Auswahl eines erkennbaren Elements aufheben möchten, können Sie dies tun, indem Sie die Auswahl der erkennbaren Elemente aus der Liste aufheben.
      Hinweis:
      Wenn die unterstützten Typen erkennbarer Elemente nicht zugeordnet sind, werden die Indikatoren nicht in Microsoft Defender für solche erkennbaren Elemente erstellt.
      Titel Titel für den Indikator.
      Beschreibung Beschreibung für den Indikator.
      Ablaufzeit Ablaufzeit für den Indikator.
      Empfohlene Aktionen Empfohlene Aktionen, die für den Indikator ausgeführt werden müssen.
      Quelle Integrationskonfiguration zum Erstellen des Indikators.
      Aktion Aktionen, die ausgeführt werden, wenn der Indikator in der Organisation erkannt wird. Die möglichen Werte lauten wie folgt:
      • Warnen
      • Blockieren
      • Audit
      • „BlockAndNachNachbessern
      • Zulässig
      Anwendung Die Microsoft Defender for Endpoint-Anwendung, die dem Indikator zugeordnet ist. Dieses Feld gilt nur für einen neuen Indikator und kann nicht für einen vorhandenen Indikator verwendet werden.
      Schweregrad Schweregrad des Indikators. Die möglichen Werte lauten wie folgt:
      • Niedrig
      • Zuverlässige Anzeige
      • Hoch
      RBAC-Gruppennamen RBAC-Gruppennamen, auf die der Indikator angewendet wird. Die Namen befinden sich in einer kommagetrennten Liste.
    8. Klicken Sie Auf Indikator Erstellen
    9. Validieren Sie die Aktivität und UI-Nachrichten.
    10. Klicken Sie auf Microsoft Defender-Indikator Registerkarte zum Anzeigen der Ergebnisse.