Créer des indicateurs dans Microsoft Defender pour point de terminaison

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Créez des indicateurs à partir des observables associés de l’incident de sécurité à l’aide de .Microsoft Defender pour point de terminaison

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    L’intégration Microsoft Defender pour point de terminaison permet l’enrichissement des observables pour tous les types d’observables qui sont mappés dans le module de mappage Observable-Indicateur.

    La création d’indicateurs vous permet de définir une liste d’indicateurs pour la détection, ainsi que pour bloquer la prévention et les réponses. Vous pouvez créer les indicateurs à partir de l’observable associé de l’incident de sécurité.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez créer des indicateurs dans Microsoft Defender pour point de terminaison.
    3. Cliquez sur les listes connexes Observables associés.
    4. Ajoutez tous les observables existants ou créez de nouveaux observables.
    5. Sélectionnez les observables.
    6. Dans les actions sur les lignes sélectionnées, cliquez sur Créer un indicateur dans Microsoft Defender.
      Figure 1. Créer des indicateurs
      Créer des indicateurs dans Microsoft Defender pour point de terminaison
    7. Renseignez les champs du formulaire.
      Champ Description
      Observables sélectionnés Observables qui sont affectés. Cette action peut être utilisée pour créer des indicateurs pour plusieurs observables. Si vous souhaitez désélectionner un observable, vous pouvez le faire en désélectionnant les observables dans la liste.
      Remarque :
      Si les types d’observables pris en charge ne sont pas mappés, les indicateurs ne sont pas créés dans Microsoft Defender pour ces observables.
      Titre Titre de l’indicateur.
      Description Description de l’indicateur.
      Délai d'expiration Délai d’expiration de l’indicateur.
      Actions recommandées Actions recommandées devant être effectuées pour l’indicateur.
      Source Configuration de l’intégration pour créer l’indicateur.
      Action Actions qui seront effectuées si l’indicateur est détecté dans l’organisation. Les valeurs possibles sont les suivantes :
      • Avertissement
      • Bloc
      • Audit
      • 'BlockAndRemediate'
      • Autorisé
      Application Application Microsoft Defender pour point de terminaison associée à l’indicateur. Ce champ ne s’applique qu’à un nouvel indicateur et ne peut pas être utilisé pour un indicateur existant.
      Gravité Gravité de l’indicateur. Les valeurs possibles sont les suivantes :
      • Faible
      • Moyen
      • Élevé
      Noms de groupes RBAC Noms des groupes RBAC auxquels l’indicateur sera appliqué. Les noms sont dans une liste séparée par des virgules.
    8. Cliquez sur Créer un indicateur
    9. Validez l’activité et les messages de l’interface utilisateur.
    10. Cliquez sur l’onglet Indicateur Microsoft Defender pour afficher les résultats.