Configurer les profils et les incidents de sécurité pour l’intégration Microsoft Defender pour point de terminaison

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Créez un profil et sélectionnez les Microsoft Defender pour point de terminaison options que vous souhaitez que le profil exécute. Vous devez configurer les paramètres afin que le profil ne puisse être déclenché que dans les conditions définies.

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.analyst (lecture seule)

    Pourquoi et quand exécuter cette tâche

    Configurez le profil pour qu’il s’exécute uniquement lorsque les conditions que vous spécifiez sont remplies. Si nécessaire, vous pouvez sélectionner un autre champ d’entrée pour le champ Élément de configuration (CI) et définir des conditions de filtrage afin que le profil puisse être déclenché automatiquement lors de la création d’un incident de sécurité répondant aux conditions de déclenchement.

    Remarque :
    Vous pouvez accéder à la page Configuration du profil uniquement après avoir accédé à la page Détails du profil.

    Procédure

    1. Accédez à la Microsoft Defender pour point de terminaison > Profils d’aptitude.
    2. Après avoir renseigné la section Détails du profil, cliquez sur Suivant.
      Examinez et configurez les sections.
    3. Dans la section Définir des critères d’incident (automatisation), sélectionnez l’option Définir des critères d’incident pour déclencher Microsoft Defender pour point de terminaison automatiquement les options du profil.
      Définir des critères d’incident (automatisation) : définissez les conditions d’incident de sécurité qui déclencheraient automatiquement les options Microsoft Defender pour point de terminaison pour le profil. Si vous ne sélectionnez pas l’option Définir des critères d’incident , le profil et les options sous-jacentes peuvent être invoqués manuellement à partir de l’incident de sécurité.
      Remarque :
      Les options Isoler l’hôte et Supprimer l’isolement de l’hôte ne peuvent pas être déclenchées automatiquement.
      1. Dans Conditions de filtre, sélectionnez le champ requis.
      2. Ajoutez de nouveaux critères et définissez également la conditionOU ou ET.
    4. Dans la section Approbations, cochez la case Exiger l’approbation pour fournir un niveau de contrôle supplémentaire.

      Si vous sélectionnez cette option, vous avez plus de contrôle lors de l’utilisation des fonctionnalités de Microsoft Defender for Endpoint pour isoler les ordinateurs hôtes, les restaurer sur le réseau et obtenir des fichiers.

      L’option Approbations de la configuration de profil s’affiche uniquement pour les options Isoler l’hôte et Supprimer l’isolement de l’hôte, respectivement.

    5. Dans la section Configuration supplémentaire, sélectionnez l’option Définir un champ alternatif pour définir un champ d’entrée alternatif.
      Configuration supplémentaire : lorsque le champ Élément de configuration (CI) n’est pas renseigné sur l’incident de sécurité avec un nom d’hôte ou une adresse IP qui correspond à la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité pour interroger les API Microsoft Defender pour point de terminaison.
      Remarque :
      Pour plus d'informations, consultez Conditions de déclenchement dans un élément de configuration.
      1. Sélectionnez l’option Définir un champ alternatif .
      2. Sélectionner le champ d’entrée à partir de Champ de déclenchement CI alternatif.
    6. Dans la section Balises, cochez la case Afficher la balise pour activer le balisage des incidents de sécurité, le nom du profil est précédé lors de l’activation de la balise.

      Vous pouvez éventuellement baliser les incidents de sécurité avec des balises pour le profil initié, le profil terminé et les balises pour le profil ayant échoué. Par défaut, cette option est désactivée pour tous les profils.

    7. Cliquer sur Fermer.