Execute um aprimoramento de observável automático em Microsoft Defender for Endpoint

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Execute um aprimoramento de observável automático em Microsoft Defender for Endpoint enriquecer observáveis com informações adicionais de várias fontes.

    Antes de Iniciar

    Verifique se você habilitou o. Resposta a incidentes de segurança propriedade do sistema. Esta opção aciona a capacidade de aprimoramento de observável no SIR, sempre que um observável é associado a um incidente de segurança.

    Função necessária: sn_si.admin, sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar esse recurso durante as investigações de resposta a incidentes para conter uma ameaça identificada. Quando novos observáveis são associados ao incidente de segurança, você pode habilitar o aprimoramento de observável no Microsoft Defender para o recurso Endpoint para ser executado automaticamente.

    Procedimento

    1. Navegar até Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que você deseja revisar com as informações do Microsoft Defender para Endpoint.
    3. Valide a atividade de automação depois que os novos observáveis forem associados ao incidente de segurança.
    4. Exiba os resultados do aprimoramento na lista relacionada de indicadores do incidente de segurança.
      Você pode usar a tabela a seguir para obter mais informações sobre o aprimoramento do observável.
      Tabela 1. Indicador do Microsoft Defender
      Campo Descrição
      ID do indicador Identidade da entidade do indicador. Clique em Aberto para exibir o registro em detalhes no ServiceNow AI Platform instância
      Observável O observável associado ao resultado.
      Título Título do indicador.
      Tipo de indicador Tipo do indicador.
      Ação Ação realizada pelo indicador.
      Ação recomendada Ações recomendadas para o indicador.
      Fornecedor de integração Integração de origem do Defender a partir da qual os dados são recuperados.
      Data de Vencimento Tempo de expiração do indicador.
      Data de recuperação Data em que o registro de aprimoramento é criado.