Sélectionnez un ou plusieurs observables et procédez à un enrichissement manuel des observables pour enrichir les observables avec des informations supplémentaires tirées de Microsoft Defender for Endpoint.
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
L’intégration Microsoft Defender for Endpoint permet l’enrichissement des observables pour tous les types d’observables mappés dans le module Mappage observable-indicateur.
Procédure
-
Accédez à la .
-
Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les informations de Microsoft Defender for Endpoint.
-
Cliquez sur Afficher toutes les listes connexes.
-
Cliquez sur l’onglet Observables associés .
-
Sélectionnez les observables.
-
Dans la liste Actions, cliquez sur Exécuter l’enrichissement de l’élément observable.
-
Sélectionnez une source Microsoft Defender for Endpoint et déplacez-la dans la colonne Sélectionné pour spécifier l’implémentation que vous souhaitez utiliser pour enrichir les observables sélectionnés.
-
Cliquez sur Envoyer.
-
Pour valider l’état de l’exécution, consultez les notes de travail.
-
Pour afficher les résultats, cliquez sur l’onglet Indicateur Microsoft Defender .
Vous pouvez utiliser la table suivante pour plus d’informations sur l’enrichissement des observables.