Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Sichtungssuche in durch Microsoft Defender for Endpoint Dient zur Bestimmung der Verbreitung einer Bedrohung im Zeitverlauf.
Warum und wann dieser Vorgang ausgeführt wird
Die folgenden Typen erkennbarer Elemente werden unterstützt:
Prozedur
-
Navigieren Sie zu Security Incidents .
-
Öffnen Sie einen vorhandenen SIR, oder erstellen Sie einen neuen SIR.
-
Klicken Sie in den zugehörigen Links auf IOC anzeigen .
-
Klicken Sie auf die zugehörigen Listen der zugehörigen erkennbaren Elemente.
-
Wählen Sie die erkennbaren Elemente aus.
-
Klicken Sie in der Liste Aktionen auf Ergänzung Erkennbarer Elemente Ausführen .
-
Wählen Sie die erkennbaren Elemente unter aus Aktion Klicken Sie auf ausgewählte Zeilen, und klicken Sie auf Sichtungssuche Ausführen .
Hinweis: Sichtungssuche wird für Domänennamen, IP-Adresse (V4), IP-Adresse (V6), MD5-Hash, SHA1-Hash, erkennbare Elemente vom Typ SHA256 und SHA256.
-
Geben Sie den Zeitrahmen für die Suche an, und klicken Sie auf Suchen .
Hinweis: Microsoft Defender for Endpoint unterstützt Sichtungssuche nur für die letzten 30 Tage. Wenn Ihre Bereichsabfrage vor den letzten 30 Tagen liegt, ruft die Sichtungssuche keine Daten ab. Wenn sich Ihre Bereichsabfrage mit den letzten 30 Tagen überschneidet, werden nur Sichtungen aus den letzten 30 Tagen abgerufen, und wenn Ihre Bereichsabfrage innerhalb der letzten 30 Tage liegt, werden die Sichtungen von der definierten Startzeit bis zur aktuellen Uhrzeit abgerufen.
-
Validieren Sie nach Abschluss der Suche die Ergebnisse und Details in den zugehörigen Listen.
-
Klicken Sie Auf Sichtungssuchdetails Zum Anzeigen der Sichtungssuchdetails.
-
Klicken Sie auf Sichtung Registerkarte für Details und Sichtungssuchergebnisse Registerkarte für Suchergebnisse.
Sie können zusätzliche Informationen zu der jeweiligen Sichtung in anzeigen Zusammenfassung Feld.