Créer et configurer un profil pour la recherche d’observations avec l’intégration Microsoft Defender pour point de terminaison

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Créez et configurez automatiquement le profil de recherche d’observations à l’aide de .Microsoft Defender pour point de terminaison

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser le workflow de recherche de perceptions pour effectuer les recherches de perceptions. Ce workflow accepte une liste d’observables, trouve toutes les options d’implémentation, crée les requêtes basées sur les configurations de recherche de perception et exécute les recherches basées sur le workflow configuré.

    Le Microsoft Defender pour point de terminaison fournit un profil de recherche de perception du système de base qui vous permet de configurer les recherches de perception automatiques. Avec ce profil, vous pouvez accéder aux informations sur les observations observables connexes d’une organisation et également voir les observations d’autres organisations.

    Procédure

    1. Accédez à la Intégrations > Configuration de la recherche de détections.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs suivants du formulaire.
      Tableau 1. Formulaire Configuration de la recherche de perceptions
      Champ Description
      Nom Nom du profil de recherche de perceptions.
      Est une recherche enregistrée Option permettant d’enregistrer la configuration de la recherche. Les requêtes de configuration de recherche enregistrées sont des exemples de requêtes. Vous pouvez les remplacer par les paramètres de votre environnement et créer des configurations de recherche enregistrées supplémentaires si nécessaire.
      Source de recherche de perceptions La source configurée pour la recherche d’observations en Microsoft Defender pour point de terminaison intégration.
      Rechercher Chaîne de recherche native qui forme une requête.
      Actif Option permettant d’activer la configuration de recherche enregistrée. Seules les configurations de recherche actives peuvent effectuer une recherche d’observations.
      Type d'observable Type de catégorie de l’observable. Par exemple, l’adresse IP, la valeur de hachage, l’URL et le nom de domaine.
      Nombre maximum d’observables par recherche Nombre maximal d’observables que vous pouvez afficher à partir d’une requête de recherche. Définissez cette valeur sur 1 pour cette intégration.
      Paramètres de la recherche de perceptions Paramètres pour définir des requêtes plus complexes qui incluent la logique et d’autres opérateurs pris en charge par le magasin de journaux spécifié.
    4. Cliquez sur Envoyer.