Administrer indikatorer
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Vælg Indstillinger>Slutpunktsindikatorer> (under Regler) i navigationsruden.
Vælg fanen for den objekttype, du vil administrere.
Opdater oplysningerne om indikatoren, og vælg Gem eller vælg knappen Slet , hvis du vil fjerne enheden fra listen.
Importér en liste over IoCs
Du kan også vælge at uploade en CSV-fil, der definerer indikatorernes attributter, den handling, der skal udføres, og andre oplysninger.
Download CSV-eksemplet for at få kendskab til de understøttede kolonneattributter.
Vælg Indstillinger>Slutpunktsindikatorer> (under Regler) i navigationsruden.
Vælg fanen for den objekttype, du vil importere indikatorer for.
Vælg Importér>Vælg fil.
Vælg Importér. Gentag for alle de filer, du vil importere.
Vælg Udført.
Bemærk!
Der kan kun uploades 500 indikatorer for hvert batch.
Hvis du forsøger at importere indikatorer med bestemte kategorier, skal strengen skrives i Pascal-sagskonventionen og accepterer kun den kategoriliste, der er tilgængelig på portalen.
I følgende tabel vises de understøttede parametre.
| Parameter | Type | Beskrivelse |
|---|---|---|
| indicatorType | Enum | Indikatorens type. Mulige værdier er: FileSha1, FileSha256, IpAddress, DomainName og URL. Påkrævet |
| indicatorValue | String | Id for indikatorenheden . Påkrævet |
| Handling | Enum | Den handling, der udføres, hvis indikatoren registreres i organisationen. Mulige værdier er: Allowed, Audit, BlockAndRemediate, Warn og Block. Påkrævet |
| Titel | String | Titel på indikatoradvarsel. Påkrævet |
| Beskrivelse | String | Beskrivelse af indikatoren. Påkrævet |
| expirationTime | DateTimeOffset | Indikatorens udløbstid i følgende format YYYY-MM-DDTHH:MM:SS.0Z. Indikatoren slettes, hvis udløbstiden passerer, og det, der sker på udløbstidspunktet, sker ved sekundværdien (SS). Valgfrit |
| Sværhedsgraden | Enum | Indikatorens alvorsgrad. De mulige værdier er: Informational, Low, Medium og High. Valgfrit |
| recommendedActions | String | Anbefalede handlinger for ti-indikatorbeskeder. Valgfrit |
| rbacGroups | String | Kommasepareret liste over RBAC-grupper, som indikatoren anvendes på. Valgfrit |
| Kategori | String | Kategorien for beskeden. Eksempler omfatter: Udførelse og adgang til legitimationsoplysninger. Valgfrit |
| mitretechniques | String | MITRE-teknikker kode/id (kommasepareret). Du kan få flere oplysninger under Virksomhedstaktik. Valgfri Det anbefales at tilføje en værdi i kategorien, når en MITRE-teknik. |
| GenerateAlert | String | Angiver, om beskeden skal genereres. Mulige værdier er: Sand eller Falsk. Valgfrit |
Bemærk!
CIDR-notation (Classless Inter-Domain Routing) for IP-adresser understøttes ikke. Du kan få flere oplysninger under Microsoft Defender for Endpoint beskedkategorier nu er justeret i forhold til MITRE ATT&CK!.
Se denne video for at få mere at vide om, hvordan Microsoft Defender for Endpoint giver flere måder at tilføje og administrere indikatorer for kompromitteret (IoCs).
Se også
- Opret indikatorer
- Opret indikatorer for filer
- Opret indikatorer for IP'er og URL-adresser/domæner
- Create indikatorer baseret på certifikater
- Undtagelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om