Erstellen Sie ein Fähigkeitsprofil für die Microsoft Defender for Endpoint -Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Erstellen Sie ein Profil, und wählen Sie die Fähigkeiten Microsoft Defender for Endpoint aus, die das Profil ausführen soll.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Profile werden erstellt, um die Fähigkeiten zu vereinen oder zu gruppieren, was Analysten bei der Durchführung der Untersuchung oder Korrektur helfen würde. Sie können dem Profil die folgenden Fähigkeiten hinzufügen:
    • Hostdetails abrufen
    • Angemeldete Anwender abrufen
    • Host isolieren
    • Isolation entfernen
    Sie können die Fähigkeiten „Host isolieren“ und „Hostisolierung entfernen“ nicht mit anderen Fähigkeiten verbinden, während Sie ein Profil erstellen. Profile für diese Fähigkeiten müssen einzeln erstellt werden. Während hingegen die Fähigkeiten „Hostdetails abrufen“ und „Angemeldete Benutzer abrufen“ zusammengefasst werden können. Sie können Profile einzeln erstellen oder sie je nach Anforderung vollständig oder in Teilen zusammenfassen.
    Hinweis:
    Nachdem eine Fähigkeit in ein Profil aufgenommen wurde, kann sie nicht in ein anderes Profil aus derselben Quelle aufgenommen werden.

    Prozedur

    1. Navigieren zu Microsoft Defender für Endpunkt > Fähigkeitsprofile.

      Die Liste der Microsoft Defender for Endpoint-Fähigkeitsprofile wird angezeigt.

      Abbildung : 1. Profilkonfiguration
      Erstellen Sie ein neues Fähigkeitsprofil für die Microsoft Defender for Endpoint-Integration
    2. Klicken Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Fähigkeitsprofil“
      Feld Beschreibung
      Name Name für das Fähigkeitsprofil Microsoft Defender for Endpoint. Anhand dieses Namens können Sie den Profiltyp identifizieren und beschreiben.
      Beschreibung Zusätzliche Informationen zum Profil, die das Profil weiter beschreiben.
      Quelle Name der Quelle Microsoft Defender for Endpoint. Nur konfigurierte Quellen sind in der Liste verfügbar.
      Microsoft Defender for Endpoint-Fähigkeiten Fähigkeiten des Profils Microsoft Defender for Endpoint. Wählen Sie die gewünschten Fähigkeiten für dieses Profil aus der Spalte Verfügbar aus, und verschieben Sie sie in die Spalte Ausgewählt.
      Reihenfolge Flow-Priorität. Der Standardwert ist 100. Der Wert dieses Felds gibt die Reihenfolge an, in der Flows ausgeführt werden, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam nutzen.

      Der Flow mit der niedrigsten Nummer hat die höchste Priorität.

      Um die Reihenfolge des Vorgangs festzulegen, geben Sie einen Wert ein. Zum Beispiel 100, 200, 300, 400.
      Aktiv Option, um anzugeben, dass das Profil aktiv ist. Nachdem das Profil aktiv ist, wird das Profil automatisch ausgelöst, wenn ein Security Incident erstellt wird, der den Filterbedingungen entspricht, die Sie in der Konfiguration angegeben haben.
    4. Klicken Sie auf, um mit der Profilkonfiguration fortzufahren Weiter.

    Nächste Maßnahme

    Der nächste Schritt besteht in der Konfiguration Ihres Profils. Bevor Sie die Einstellungen für das Profil konfigurieren, sollten Sie die Wie-Profile sowie die konfigurierten und auslösenden Bedingungen überprüfen. Weitere Informationen finden Sie unter Auslösebedingungen in einem Konfigurationselement.