Administrar indicadores
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
En el panel de navegación, seleccione Configuración>Indicadores depuntos> de conexión (en Reglas).
Seleccione la pestaña del tipo de entidad que desea administrar.
Actualice los detalles del indicador y seleccione Guardar o seleccione el botón Eliminar si desea quitar la entidad de la lista.
Importación de una lista de ioC
También puede elegir cargar un archivo CSV que defina los atributos de los indicadores, la acción que se va a realizar y otros detalles.
Descargue el archivo CSV de ejemplo para conocer los atributos de columna admitidos.
En el panel de navegación, seleccione Configuración>Indicadores depuntos> de conexión (en Reglas).
Seleccione la pestaña del tipo de entidad para la que desea importar indicadores.
Seleccione Importar>Elija archivo.
Seleccione Importar. Repita la operación para todos los archivos que quiera importar.
Seleccione Listo.
Nota:
Solo se pueden cargar 500 indicadores para cada lote. Intentar importar indicadores con categorías específicas requiere que la cadena se escriba en la convención de casos pascal y solo acepta la lista de categorías disponible en el portal.
En la tabla siguiente se muestran los parámetros admitidos.
| Parámetro | Tipo | Descripción |
|---|---|---|
| indicatorType | Enum | Tipo del indicador. Los valores posibles son: FileSha1, FileSha256, IpAddress, DomainNamey Url. Required |
| indicatorValue | Cadena | Identidad de la entidad Indicator . Required |
| acción | Enum | Acción que se realiza si el indicador se detecta en la organización. Los valores posibles son: Allowed, Audit, BlockAndRemediate, Warny Block. Required |
| title | Cadena | Título de alerta de indicador. Required |
| description | Cadena | Descripción del indicador. Required |
| expirationTime | DateTimeOffset | La hora de expiración del indicador en el formato YYYY-MM-DDTHH:MM:SS.0Zsiguiente. El indicador se elimina si transcurre el tiempo de expiración y lo que ocurra en el momento de expiración se produce en el valor de segundos (SS). Optional |
| severity | Enum | Gravedad del indicador. Los valores posibles son Informational, Low, Medium y High Optional |
| recommendedActions | Cadena | Acciones recomendadas de alerta de indicador de TI. Optional |
| rbacGroups | Cadena | Lista separada por comas de grupos de RBAC a los que se aplicaría el indicador. Optional |
| categoría | Cadena | Categoría de la alerta. Algunos ejemplos son: Ejecución y acceso a credenciales. Optional |
| mitretechniques | Cadena | Código/id de técnicas de MITRE (separados por comas). Para obtener más información, consulte Tácticas empresariales. Optional Se recomienda agregar un valor en la categoría cuando se usa una técnica MITRE. |
| GenerateAlert | Cadena | Si se debe generar la alerta. Los valores posibles son: True o False. Optional |
Nota:
No se admite la notación de enrutamiento de Inter-Domain sin clase (CIDR) para direcciones IP. Para obtener más información, consulte Microsoft Defender para punto de conexión categorías de alertas ahora están alineadas con MITRE ATT&CK!.
Los indicadores de red no admiten el tipo de acción , BlockAndRemediate. Si un indicador de red está establecido en BlockAndRemediate, no se importará.
Vea este vídeo para obtener información sobre cómo Microsoft Defender para punto de conexión proporciona varias maneras de agregar y administrar indicadores de riesgo (IO).
Vea también
- Crear indicadores
- Crear indicadores para los archivos
- Crear indicadores para direcciones IP y URL/dominios
- Creación de indicadores basados en certificados
- Exclusiones para Microsoft Defender para punto de conexión y antivirus de Microsoft Defender
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.