Configurer l’aptitude Obtenir les ordinateurs connexes à partir de Defender dans Microsoft Defender pour point de terminaison

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Obtenir la liste des ordinateurs connexes d’observables spécifiques.

    Avant de commencer

    Types d’observables pris en charge : nom de domaine, hachage SHA1 et nom d’utilisateur

    Rôle requis : sn_si.admin ou sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Vous pouvez récupérer la liste des ordinateurs qui ont accédé aux observables particuliers. Vous pouvez stocker la liste dans la table Détails des ordinateurs liés Microsoft Defender pour point de terminaison. Vous pouvez déclencher l’option Obtenir les ordinateurs connexes à partir de Defender à partir de la liste connexe Observables associés.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les informations sur Microsoft Defender pour point de terminaison.
      Figure 1. Obtenir les ordinateurs connexes à partir de Defender
      Implémentation de l’aptitude Obtenir les ordinateurs connexes à partir de Defender
    3. Dans la section Liens connexes, cliquez sur Afficher IoC.
    4. Cliquez sur la liste connexe Observables associés.
    5. Sélectionnez les observables associés.
    6. Dans la liste Actions, sélectionnez l’option Obtenir les ordinateurs connexes à partir de Defender .
    7. Validez l’activité d’automatisation et la section des activités.
    8. Affichez les données et validez les détails de Microsoft Defender pour les ordinateurs associés au point de terminaison sur les listes connexes.
    9. Affichez les activités d’automatisation de l’exécution et validez-les.