Ilmaisimien hallinta
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Valitse siirtymisruudussa Asetukset>Päätepisteen ilmaisimet> (Säännöt-kohdasta).
Valitse sen entiteettityypin välilehti, jota haluat hallita.
Päivitä ilmaisimen tiedot ja valitse Tallenna tai valitse Poista-painike , jos haluat poistaa entiteetin luettelosta.
Tuo IOC-luettelo
Voit myös ladata palvelimeen CSV-tiedoston, joka määrittää ilmaisimien määritteet, suoritettavan toiminnon ja muut tiedot.
Lataa CSV-malli, jotta tiedät tuetut sarakemääritteet.
Valitse siirtymisruudussa Asetukset>Päätepisteen ilmaisimet> (Säännöt-kohdasta).
Valitse sen entiteettityypin välilehti, jolle haluat tuoda ilmaisimet.
Valitse Tuo Valitse>tiedosto.
Valitse Tuo. Toista kaikille tuotaville tiedostoille.
Valitse Valmis.
Huomautus
Kullekin erälle voidaan ladata vain 500 ilmaisinta. Yritettäessä tuoda tiettyjä luokkia sisältäviä ilmaisimia merkkijono on kirjoitettava Pascal-tapauskäytännöllä ja se hyväksyy vain portaalissa käytettävissä olevan luokkaluettelon.
Seuraavassa taulukossa näkyvät tuetut parametrit.
| Parametri | Kirjoita | Kuvaus |
|---|---|---|
| indicatorType | Luettelointi | Ilmaisimen tyyppi. Mahdollisia arvoja ovat : FileSha1, FileSha256, IpAddress, , DomainNameja Url. Pakollinen |
| indicatorValue | Merkkijono | Ilmaisinentiteetin käyttäjätiedot. Pakollinen |
| toiminta | Luettelointi | Toiminto, joka suoritetaan, jos ilmaisin löydetään organisaatiosta. Mahdollisia arvoja ovat : Allowed, Audit, BlockAndRemediate, , Warnja Block. Pakollinen |
| nimike | Merkkijono | Ilmaisinilmoituksen otsikko. Pakollinen |
| kuvaus | Merkkijono | Ilmaisimen kuvaus. Pakollinen |
| expirationTime | DateTimeOffset | Ilmaisimen vanhentumisaika seuraavassa muodossa YYYY-MM-DDTHH:MM:SS.0Z. Ilmaisin poistetaan, jos vanhentumisaika kuluu ja mitä tahansa tapahtuu vanhentumisaikana, tapahtuu sekunteina (SS). Valinnainen |
| vakavuus | Luettelointi | Ilmaisimen vakavuus. Mahdollisia arvoja ovat : Informational, Low, Medium, ja High. Valinnainen |
| recommendedActions | Merkkijono | Ti-ilmaisimen ilmoitus suositelluista toiminnoista. Valinnainen |
| rbacGroups | Merkkijono | Pilkuin eroteltu luettelo RBAC-ryhmistä, joihin ilmaisinta sovellettaisiin. Valinnainen |
| luokka | Merkkijono | Hälytyksen luokka. Esimerkkejä: suoritus ja tunnistetietojen käyttö. Valinnainen |
| mitre ainut | Merkkijono | MITRE-tekniikoiden koodi/tunnus (pilkuilla erotettu). Lisätietoja on artikkelissa Enterprise-taktiikat. Valinnainen On suositeltavaa lisätä arvo luokkaan, kun MITRE-tekniikka on käytössä. |
| GenerateAlert | Merkkijono | Määrittää, luodaanko ilmoitus. Mahdollisia arvoja ovat: True tai False. Valinnainen |
Huomautus
IP-osoitteiden luokitonta Inter-Domain (CIDR) -merkintätapa ei ole tuettu. Lisätietoja on kohdassa Microsoft Defender for Endpoint ilmoitusluokat on nyt tasattu MITRE ATT&CK!:n kanssa.
Verkon ilmaisimet eivät tue toimintotyyppiä BlockAndRemediate. Jos verkkoilmaisimen asetuksena BlockAndRemediateon , sitä ei tuoda.
Katso tästä videosta, miten Microsoft Defender for Endpoint tarjoaa useita tapoja lisätä ja hallita kompromissiilmaisimia.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Ilmaisimien luominen
- Luo ilmaisimia tiedostoille
- Luo ilmaisimia IP-osoitteille ja URL-osoitteille/toimialueille
- Varmenteisiin perustuvien ilmaisimien luominen
- Microsoft Defender for Endpoint ja Microsoft Defender virustentorjuntaa koskevat poikkeukset
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.