Effectuer un enrichissement manuel de l’observable dans Microsoft Defender pour point de terminaison

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Sélectionner un ou plusieurs observables et effectuer un enrichissement manuel des observables pour enrichir les observables avec des informations supplémentaires à partir de Microsoft Defender pour point de terminaison.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    L’intégration Microsoft Defender pour point de terminaison permet l’enrichissement des observables pour tous les types d’observables mappés dans le module Mappage observable-indicateur.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les informations Microsoft Defender pour point de terminaison.
    3. Cliquez sur Afficher toutes les listes connexes.
    4. Cliquez sur l’onglet Observables associés .
    5. Sélectionnez les observables.
    6. Dans la liste Actions, cliquez sur Exécuter l’enrichissement de l’élément observable.
    7. Sélectionnez une source Microsoft Defender pour point de terminaison et déplacez-la dans la colonne Sélectionné pour spécifier l’implémentation que vous souhaitez utiliser pour enrichir les observables sélectionnés.
    8. Cliquez sur Envoyer.
    9. Pour valider l’état de l’exécution, consultez les notes de travail.
    10. Pour afficher les résultats, cliquez sur l’onglet Indicateur Microsoft Defender .
      Vous pouvez utiliser la table suivante pour plus d’informations sur l’enrichissement des observables.
      Tableau 1. Indicateur Microsoft Defender
      Champ Description
      ID de l'indicateur Identité de l’entité de l’indicateur. Cliquez sur Ouvrir pour afficher l’enregistrement en détail dans l’instance ServiceNow AI Platform
      Observable L’observable associé au résultat.
      Titre Titre de l’indicateur.
      Type d'indicateur Type de l’indicateur.
      Action Action effectuée par l’indicateur.
      Action recommandée Actions recommandées pour l’indicateur.
      Fournisseur de l'intégration Intégration de la source Defender à partir de laquelle les données sont récupérées.
      Date d'expiration Délai d’expiration de l’indicateur.
      Date de récupération Date de création de l’enregistrement d’enrichissement.