Führen Sie eine automatische Ergänzung erkennbarer Elemente in durch Microsoft Defender for Endpoint

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Führen Sie eine automatische Ergänzung erkennbarer Elemente in durch Microsoft Defender for Endpoint Dient zum Anreichern erkennbarer Elemente mit zusätzlichen Informationen aus verschiedenen Quellen.

    Vorbereitungen

    Überprüfen Sie, ob Sie aktiviert haben Security Incident Response Systemeigenschaft. Diese Option löst die Ergänzungsfunktion für erkennbare Elemente in SIR aus, wenn ein erkennbares Element einem Security Incident zugeordnet ist.

    Erforderliche Rolle: sn_si.admin, sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können diese Fähigkeit während Untersuchungen zur Reaktion auf Incidents verwenden, um eine identifizierte Bedrohung einzudämmen. Wenn dem Security Incident neue erkennbare Elemente zugeordnet sind, können Sie die Ergänzung erkennbarer Elemente in der Microsoft Defender for Endpoint-Fähigkeit aktivieren, dass sie automatisch ausgeführt wird.

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, den Sie mit den Informationen zu Microsoft Defender for Endpoint überprüfen möchten.
    3. Validiert die Automatisierungsaktivität, sobald die neuen erkennbaren Elemente dem Security Incident zugeordnet wurden.
    4. Zeigen Sie die Ergebnisse und Ergänzungsergebnisse in der zugehörigen Liste Indikatoren des Security Incidents an.
      In der folgenden Tabelle finden Sie weitere Informationen zur Ergänzung erkennbarer Elemente.
      Tabelle : 1. Microsoft Defender-Indikator
      Feld Beschreibung
      Indikator-ID Identität der Indikatorentität. Klicken Sie Auf Öffnen Um den Datensatz im Detail anzuzeigen ServiceNow AI Platform Instanz
      Erkennbares Element Das dem Ergebnis zugeordnete erkennbare Element.
      Titel Titel für den Indikator.
      Indikatortyp Typ des Indikators.
      Aktion Vom Indikator ausgeführte Aktion.
      Empfohlene Aktion Empfohlene Aktionen für den Indikator.
      Integrationslieferant Defender-Quellintegration, aus der die Daten abgerufen werden.
      Ablaufdatum Ablaufzeit für den Indikator.
      Abrufdatum Datum, an dem der Ergänzungsdatensatz erstellt wird.