Selecione observáveis individuais ou vários observáveis e execute uma pesquisa de detecção manual em Microsoft Defender for Endpointpara determinar a prevalência de uma ameaça ao longo do tempo.
Por Que e Quando Desempenhar Esta Tarefa
Os tipos de observáveis compatíveis são os seguintes:
Procedimento
-
Navegue até Incidentes de segurança .
-
Abra um SIR existente ou crie um novo SIR.
-
Nos links relacionados, clique em Mostrar IOC .
-
Clique nas listas relacionadas de observáveis associados.
-
Selecione os observáveis.
-
Na lista Ações, clique em Execute o aprimoramento do observável .
-
Selecione os observáveis em Ação nas linhas selecionadas e clique em Execute a Pesquisa de detecções .
Nota: A pesquisa de detecções é compatível com nome de domínio, endereço IP (V4), endereço IP (V6), hash MD5, hash SHA1, e tipos de observáveis hash SHA256, respectivamente.
-
Especifique o intervalo de tempo para a pesquisa e clique em Pesquisa .
Nota: O Microsoft Defender para Endpoint oferece suporte à pesquisa de detecções somente nos últimos 30 dias. Se sua consulta de intervalo for anterior aos últimos 30 dias, a pesquisa de detecções não recuperará nenhum dado. Se sua consulta de intervalo se sobrepor aos últimos 30 dias, as detecções de somente os últimos 30 dias serão recuperadas e, se sua consulta de intervalo estiver nos últimos 30 dias, as detecções da hora de início definida até a hora atual serão recuperadas.
-
Ao concluir a pesquisa, valide os resultados e detalhes nas listas relacionadas.
-
Clique em Detalhes da pesquisa de detecções para exibir os detalhes da pesquisa de detecções.
-
Clique em Detecção para obter detalhes e. Resultados da pesquisa de detecções guia para resultados da pesquisa.
Você pode exibir informações adicionais relacionadas ao avistamento específico no Resumo campo.