Indikatoren verwalten

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

1. Wählen Sie im Navigationsbereich Einstellungen>Endpunktindikatoren>(unterRegeln) aus.

2. Wählen Sie die Registerkarte des Entitätstyps aus, den Sie verwalten möchten.

3. Aktualisieren Sie die Details des Indikators, und wählen Sie Speichern oder die Schaltfläche Löschen aus, wenn Sie die Entität aus der Liste entfernen möchten.

Importieren einer Liste von IoCs

Sie können auch eine CSV-Datei hochladen, die die Attribute von Indikatoren, die auszuführende Aktion und andere Details definiert.

Laden Sie die CSV-Beispieldatei herunter, um die unterstützten Spaltenattribute zu kennen.

1. Wählen Sie im Navigationsbereich Einstellungen>Endpunktindikatoren>(unterRegeln) aus.

2. Wählen Sie die Registerkarte des Entitätstyps aus, für den Sie Indikatoren importieren möchten.

3. Wählen Sie Importieren>Datei auswählen aus.

4. Wählen Sie Importieren aus. Wiederholen Sie dies für alle Dateien, die Sie importieren möchten.

5. Wählen Sie Fertig aus.

Hinweis

Für jeden Batch können nur 500 Indikatoren hochgeladen werden.

Beim Versuch, Indikatoren mit bestimmten Kategorien zu importieren, muss die Zeichenfolge in der Pascal-Fallkonvention geschrieben werden und akzeptiert nur die im Portal verfügbare Kategorieliste.

In der folgenden Tabelle sind die unterstützten Parameter aufgeführt.

Parameter	Typ	Beschreibung
indicatorType	Enum	Typ des Indikators. Mögliche Werte sind: FileSha1, FileSha256, IpAddress, DomainName und Url. Erforderlich
indicatorValue	String	Identität der Indikatorentität . Erforderlich
Aktion	Enum	Die Aktion, die ausgeführt wird, wenn der Indikator im organization erkannt wird. Mögliche Werte sind : Allowed, Audit, BlockAndRemediate, Warn und Block. Erforderlich
title	String	Indikatorwarnungstitel. Erforderlich
description	String	Beschreibung des Indikators. Erforderlich
expirationTime	DateTimeOffset	Die Ablaufzeit des Indikators im folgenden Format JJJJ-MM-TTTHH:MM:SS.0Z. Der Indikator wird gelöscht, wenn die Ablaufzeit verstreicht und alles, was während der Ablaufzeit geschieht, tritt auf den Sekundenwert (SS) ein. Optional
Schweregrad	Enum	Der Schweregrad des Indikators. Mögliche Werte sind: Informational, Low, Medium und High. Optional
recommendedActions	String	Empfohlene Aktionen für TI-Indikatorwarnungen. Optional
rbacGroups	String	Durch Trennzeichen getrennte Liste der RBAC-Gruppen, auf die der Indikator angewendet wird. Optional
category	String	Die Kategorie der Warnung. Beispiele hierfür sind: Ausführungs- und Anmeldeinformationszugriff. Optional
mitretechniques	String	MITRE-Techniken Code/ID (durch Trennzeichen getrennt). Weitere Informationen finden Sie unter Unternehmenstaktiken. Optional Es wird empfohlen, bei einer MITRE-Technik einen Wert in der Kategorie hinzuzufügen.
GenerateAlert	String	Gibt an, ob die Warnung generiert werden soll. Mögliche Werte: True oder False. Optional

Hinweis

Die CIDR-Notation (Classless Inter-Domain Routing) für IP-Adressen wird nicht unterstützt. Weitere Informationen finden Sie unter Microsoft Defender for Endpoint Warnungskategorien jetzt an MITRE ATT&CK! ausgerichtet sind.

Sehen Sie sich dieses Video an, um zu erfahren, wie Microsoft Defender for Endpoint mehrere Möglichkeiten zum Hinzufügen und Verwalten von Indikatoren für Gefährdung (Indicators of Compromise, IoCs) bietet.

Siehe auch

• Indikatoren erstellen
• Erstellen von Indikatoren für Dateien
• Erstellen von Indikatoren für IPs und URLs/Domänen
• Create indikatoren basierend auf Zertifikaten
• Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.