Configurer l’option Obtenir les ordinateurs associés à partir de Defender dans Microsoft Defender pour point de terminaison

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Obtenez la liste des machines connexes d’observables spécifiques.

    Avant de commencer

    Remarque :
    Les types observables pris en charge sont le nom de domaine, le hachage SHA1 et le nom d’utilisateur.
    Rôle requis : sn_si.admin ou sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Vous pouvez récupérer la liste des machines qui ont accédé aux observables particuliers. Vous pouvez stocker la liste dans la table Détails des ordinateurs connexes de Microsoft Defender for Endpoint. Vous pouvez déclencher la fonctionnalité Obtenir les ordinateurs associés à partir de Defender à partir de la liste connexe Observables associés.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les informations Microsoft Defender pour point de terminaison.
      Figure 1. Obtenir les ordinateurs associés à partir de Defender
      Obtenir les ordinateurs associés à partir de l’implémentation de l’aptitude Defender
    3. Dans la section Liens connexes, cliquez sur Afficher IoC.
    4. Cliquez sur la liste connexe Observables associés.
    5. Sélectionner les observables associés.
    6. Dans la liste Actions, sélectionnez l’aptitude Obtenir les ordinateurs associés à partir de Defender .
    7. Validez l’activité d’automatisation et la section activités.
    8. Affichez les données et validez les détails des ordinateurs associés à Microsoft Defender for Endpoint sur les listes connexes.
    9. Affichez les activités d’automatisation de l’exécution et validez-les.