Konfigurieren Sie das Abrufen zugehöriger Computer aus der Defender-Fähigkeit in Microsoft Defender for Endpoint

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Ruft die Liste der zugehörigen Computer bestimmter erkennbarer Elemente ab.

    Vorbereitungen

    Hinweis:
    Unterstützte erkennbare Elementtypen sind Domänenname, SHA1-Hash und Anwendername.
    Erforderliche Rolle: sn_si.admin oder sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Liste der Computer abrufen, die auf die bestimmten erkennbaren Elemente zugegriffen haben. Sie können die Liste in der Tabelle „Microsoft Defender für Endpunktbezogene Computer – Details“ speichern. Sie können die Fähigkeit „zugehörige Computer aus Defender abrufen“ aus der zugehörigen Liste „zugehörige erkennbare Elemente“ auslösen.

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, den Sie mit dem Microsoft Defender für Endpunktinformationen überprüfen möchten.
      Abbildung : 1. Zugehörige Computer aus Defender abrufen
      Rufen Sie zugehörige Computer aus der Implementierung der Defender-Fähigkeit ab
    3. Klicken Sie im Abschnitt „zugehörige Links“ auf IOC anzeigen .
    4. Klicken Sie auf die zugehörige Liste der zugehörigen erkennbaren Elemente.
    5. Wählen Sie die zugehörigen erkennbaren Elemente aus.
    6. Wählen Sie in der Liste Aktionen die aus Ruft zugehörige Computer aus Defender ab Fähigkeit.
    7. Validieren Sie den Abschnitt „Automatisierungsaktivität und Aktivitäten“.
    8. Zeigen Sie die Daten an, und validieren Sie die Details zu Microsoft Defender für Endpunktbezogene Computer in den zugehörigen Listen.
    9. Zeigen Sie die Automatisierungsaktivitäten der Ausführung an, und validieren Sie sie.