Configure perfis e incidentes de segurança para Microsoft Defender for Endpointintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura
  • Crie um perfil e selecione Microsoft Defender for Endpointcapacidades que você deseja que o perfil execute. Você precisa definir as configurações para que o perfil possa ser acionado somente sob as condições definidas.

    Antes de Iniciar

    Função necessária: sn_si.admin, sn_si.analista (somente leitura)

    Por Que e Quando Desempenhar Esta Tarefa

    Configure o perfil para que ele seja executado somente quando as condições especificadas forem atendidas. Se necessário, você pode selecionar um campo de entrada alternativo para o campo Item de configuração (IC) e definir condições de filtragem para que o perfil possa ser acionado automaticamente quando um incidente de segurança que atenda às condições do gatilho for criado.

    Nota:
    Você pode navegar até a página Configuração do perfil somente depois de inserir a página Detalhes do perfil.

    Procedimento

    1. Navegar até Endpoint do Microsoft Defender > Perfis de capacidade.
    2. Após concluir a seção Detalhes do perfil, clique em Avançar.
      Revise e configure as seções.
    3. Na seção Definir critérios de incidente (automação), selecione Definir critérios de incidente opção para acionar automaticamente Microsoft Defender for Endpointcapacidades no perfil.
      Definir critérios de incidente (automação) : Defina as condições de incidente de segurança que acionariam automaticamente as capacidades do Microsoft Defender para endpoint para o perfil. Se você não selecionar Definir critérios de incidente , o perfil e as capacidades subjacentes podem ser invocados manualmente a partir do incidente de segurança.
      Nota:
      As capacidades de isolar host e remover isolamento de host não podem ser acionadas automaticamente.
      1. Em Condições de filtro , selecione o campo obrigatório.
      2. Adicionar Novos critérios e também definir o. OU ou o. E. condição.
    4. Na seção Aprovações, selecione Aprovação necessária caixa de seleção para fornecer um nível extra de controle.

      Se você selecionar esta opção, terá mais controle ao usar os recursos do Microsoft Defender for Endpoint para isolar máquinas host, restaurá-las para a rede e obter arquivos.

      A opção Aprovações na configuração do perfil aparece somente para as capacidades Isolar host e Remover isolamento de host, respectivamente.

    5. Na seção Configuração adicional, selecione Definir campo alternativo opção para definir um campo de entrada alternativo.
      Configuração adicional : Quando o campo Item de configuração (IC) não é preenchido no incidente de segurança com um nome de host ou um endereço IP que corresponda ao banco de dados, você pode selecionar um campo alternativo no incidente de segurança para consultar o Microsoft Defender para APIs de endpoint.
      Nota:
      Para obter mais informações, consulte Acionar condições em um item de configuração.
      1. Selecione Definir campo alternativo opção.
      2. Selecione o campo de entrada no Campo de gatilho de IC alternativo.
    6. Na seção Marcadores, selecione Marcador de exibição para habilitar incidentes de segurança de marcação, o nome do perfil é prefixado ao habilitar o marcador.

      Opcionalmente, você pode marcar incidentes de segurança com marcadores para marcadores de perfil iniciado, perfil concluído e perfil com falha. Por padrão, esta opção está desativada para todos os perfis.

    7. Clicar Concluído.