Configurar a capacidade de parar e colocar arquivo em quarentena no Microsoft Defender for Endpoint

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Interrompa e coloque em quarentena arquivos da plataforma Microsoft Defender.

    Antes de Iniciar

    Tipos de observável compatíveis: hash SHA1.

    Tabela 1. Requisitos para a capacidade de parar e colocar arquivo em quarentena
    Entrada Descrição
    Comentário (Obrigatório) Comentário a ser associado à ação)

    Função necessária: sn_si.admin ou sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode executar a ação Interromper e colocar arquivo em quarentena somente nos observáveis específicos do tipo SHA1. Armazene os detalhes na tabela Ações adicionais no endpoint. Você pode acionar a capacidade Interromper e colocar arquivo em quarentena na lista relacionada de detalhes do Microsoft Defender para máquinas relacionadas ao endpoint.

    Procedimento

    1. Navegar até Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que você deseja revisar com as informações do Microsoft Defender para endpoint.
    3. Na seção de links relacionados, clique em Mostrar todas as listas relacionadas.
    4. Clique na lista relacionada Detalhes do Microsoft Defender para Endpoint Related Machines.
    5. Selecione um ou mais registros.
    6. Em Ações em linhas selecionadas, selecione a capacidade Parar e colocar arquivo em quarentena.
    7. Valide a atividade de automação e a seção de atividades.
    8. Exiba os dados e valide os dados nas listas relacionadas.
    9. Exibir as atividades de automação da execução e validá-las.