Správa indikátorů
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
V navigačním podokně vyberteIndikátory koncových bodů>nastavení>(v části Pravidla).
Vyberte kartu typu entity, kterou chcete spravovat.
Aktualizujte podrobnosti indikátoru a vyberte Uložit nebo vyberte tlačítko Odstranit , pokud chcete entitu ze seznamu odebrat.
Import seznamu ioC
Můžete také nahrát soubor CSV, který definuje atributy indikátorů, akci, která se má provést, a další podrobnosti.
Stáhněte si ukázkový soubor CSV a seznamte se s podporovanými atributy sloupců.
V navigačním podokně vyberteIndikátory koncových bodů>nastavení>(v části Pravidla).
Vyberte kartu typu entity, pro který chcete importovat indikátory.
Vyberte Importovat>Zvolit soubor.
Vyberte Importovat. Tento postup opakujte pro všechny soubory, které chcete importovat.
Vyberte Hotovo.
Poznámka
Pro každou dávku je možné nahrát pouze 500 indikátorů.
Pokus o import indikátorů s konkrétními kategoriemi vyžaduje, aby byl řetězec napsán v konvenci případů Pascalu a přijímá pouze seznam kategorií, který je k dispozici na portálu.
Následující tabulka uvádí podporované parametry.
| Parametr | Typ | Popis |
|---|---|---|
| typ indikátoru | Výčtu | Typ ukazatele Možné hodnoty jsou : FileSha1, FileSha256, IpAddress, DomainName a Url. Povinný |
| indicatorValue | String | Identita entity indikátoru Povinný |
| Akce | Výčtu | Akce, která se provede, pokud je indikátor zjištěn v organizaci. Možné hodnoty jsou : Povoleno, Audit, BlockAndRemediate, Warn a Block. Povinný |
| Název | String | Název upozornění indikátoru. Povinný |
| description | String | Popis ukazatele Povinný |
| expirationTime | Datetimeoffset | Doba vypršení platnosti indikátoru v následujícím formátu RRRR-MM-DDTHH:MM:SS.0Z. Indikátor se odstraní, pokud uplyne doba vypršení platnosti a cokoli se stane v době vypršení platnosti, dojde k hodnotě sekund (SS). Nepovinný |
| Závažnosti | Výčtu | Závažnost ukazatele. Možné hodnoty jsou: Informační, Nízká, Střední a Vysoká. Nepovinný |
| recommendedActions | String | Doporučené akce pro upozornění indikátoru TI. Nepovinný |
| rbacGroups | String | Seznam skupin RBAC oddělených čárkami, pro které by se ukazatel použil. Nepovinný |
| Kategorie | String | Kategorie výstrahy. Mezi příklady patří: Spuštění a přístup k přihlašovacím údajům. Nepovinný |
| mitretechniques | String | Kód/id technik MITRE (oddělené čárkami). Další informace najdete v tématu Taktika enterprise. Volitelné Při technice MITRE se doporučuje přidat hodnotu do kategorie. |
| GenerateAlert | String | Jestli se má výstraha vygenerovat. Možné hodnoty jsou: True nebo False. Nepovinný |
Poznámka
Zápis CIDR (Classless Inter-Domain Routing) pro IP adresy se nepodporuje. Další informace najdete v tématu Microsoft Defender for Endpoint kategorie upozornění jsou teď v souladu s MITRE ATT&CK!.
V tomto videu se dozvíte, jak Microsoft Defender for Endpoint nabízí několik způsobů, jak přidat a spravovat indikátory ohrožení (IoC).
Viz také
- Vytváření indikátorů
- Vytváření indikátorů pro soubory
- Vytváření indikátorů pro IP adresy a adresy URL / domény
- Create indikátory založené na certifikátech
- Vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro