Execute um aprimoramento automático do observável em Microsoft Defender for Endpoint

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Execute um aprimoramento automático do observável em Microsoft Defender for Endpointpara enriquecer observáveis com informações adicionais de várias fontes.

    Antes de Iniciar

    Verifique se você habilitou o. Resposta a incidentes de segurança propriedade do sistema. Esta opção aciona a capacidade de aprimoramento do observável no SIR, sempre que um observável estiver associado a um incidente de segurança.

    Função necessária: sn_si.admin, sn_si.analista

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar essa capacidade durante as investigações de resposta a incidentes para conter uma ameaça identificada. Quando novos observáveis são associados ao incidente de segurança, você pode habilitar o aprimoramento de observável no Microsoft Defender para capacidade de Endpoint para execução automática.

    Procedimento

    1. Navegar até Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que você deseja revisar com o Microsoft Defender para obter informações de endpoint.
    3. Valide a atividade de automação depois que os novos observáveis forem associados ao incidente de segurança.
    4. Exiba os resultados do aprimoramento na lista relacionada de indicadores do incidente de segurança.
      Você pode usar a tabela a seguir para obter mais informações sobre o aprimoramento do observável.
      Tabela 1. Indicador do Microsoft Defender
      Campo Descrição
      ID do indicador Identidade da entidade do indicador. Clique em Aberto para exibir o registro em detalhes no Now Platforminstância
      Observável O observável associado ao resultado.
      Título Título do indicador.
      Tipo de indicador Tipo do indicador.
      Ação Ação realizada pelo indicador.
      Ação recomendada Ações recomendadas para o indicador.
      Fornecedor de integração Integração de origem do Defender a partir da qual os dados são recuperados.
      Data de vencimento Tempo de expiração do indicador.
      Data de recuperação Data em que o registro de aprimoramento foi criado.