Ilmaisimien hallinta
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Valitse siirtymisruudussa Asetukset>Päätepisteen ilmaisimet> (Säännöt-kohdasta).
Valitse sen entiteettityypin välilehti, jota haluat hallita.
Päivitä ilmaisimen tiedot ja valitse Tallenna tai valitse Poista-painike , jos haluat poistaa entiteetin luettelosta.
Tuo IOC-luettelo
Voit myös ladata palvelimeen CSV-tiedoston, joka määrittää ilmaisimien määritteet, suoritettavan toiminnon ja muut tiedot.
Lataa CSV-malli, jotta tiedät tuetut sarakemääritteet.
Valitse siirtymisruudussa Asetukset>Päätepisteen ilmaisimet> (Säännöt-kohdasta).
Valitse sen entiteettityypin välilehti, jolle haluat tuoda ilmaisimet.
Valitse Tuo Valitse>tiedosto.
Valitse Tuo. Toista kaikille tuotaville tiedostoille.
Valitse Valmis.
Huomautus
Kullekin erälle voidaan ladata vain 500 ilmaisinta.
Yritettäessä tuoda tiettyjä luokkia sisältäviä ilmaisimia merkkijono on kirjoitettava Pascal-tapauskäytännöllä ja se hyväksyy vain portaalissa käytettävissä olevan luokkaluettelon.
Seuraavassa taulukossa näkyvät tuetut parametrit.
Parametri | Kirjoita | Kuvaus |
---|---|---|
indicatorType | Enum | Ilmaisimen tyyppi. Mahdollisia arvoja ovat: FileSha1, FileSha256, IpAddress, DomainName ja Url. Pakollinen |
indicatorValue | Merkkijono | Ilmaisinentiteetin käyttäjätiedot. Pakollinen |
Toiminta | Enum | Toiminto, joka suoritetaan, jos ilmaisin löydetään organisaatiosta. Mahdollisia arvoja ovat : Allowed, Audit, BlockAndRemediate, Warn ja Block. Pakollinen |
Otsikko | Merkkijono | Ilmaisinilmoituksen otsikko. Pakollinen |
Kuvaus | Merkkijono | Ilmaisimen kuvaus. Pakollinen |
expirationTime | DateTimeOffset | Ilmaisimen vanhentumisaika seuraavassa muodossa VVVV-KK-PPTHH:MM:SS.0Z. Ilmaisin poistetaan, jos vanhentumisaika kuluu ja mitä tahansa tapahtuu vanhentumisaikana, tapahtuu sekunteina (SS). Valinnainen |
Vakavuus | Enum | Ilmaisimen vakavuus. Mahdollisia arvoja ovat : Informational, Low, Medium ja High. Valinnainen |
recommendedActions | Merkkijono | Ti-ilmaisimen ilmoitus suositelluista toiminnoista. Valinnainen |
rbacGroups | Merkkijono | Pilkuin eroteltu luettelo RBAC-ryhmistä, joihin ilmaisinta sovellettaisiin. Valinnainen |
Luokka | Merkkijono | Hälytyksen luokka. Esimerkkejä: suoritus ja tunnistetietojen käyttö. Valinnainen |
mitre ainut | Merkkijono | MITRE-tekniikoiden koodi/tunnus (pilkuilla erotettu). Lisätietoja on artikkelissa Enterprise-taktiikat. Valinnainen On suositeltavaa lisätä arvo luokkaan, kun MITRE-tekniikka on käytössä. |
GenerateAlert | Merkkijono | Määrittää, luodaanko ilmoitus. Mahdollisia arvoja ovat True tai False. Valinnainen |
Huomautus
IP-osoitteiden luokitonta Inter-Domain (CIDR) -merkintätapa ei ole tuettu. Lisätietoja on kohdassa Microsoft Defender for Endpoint ilmoitusluokat on nyt tasattu MITRE ATT&CK!:n kanssa.
Katso tästä videosta, miten Microsoft Defender for Endpoint tarjoaa useita tapoja lisätä ja hallita kompromissiilmaisimia.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Ilmaisimien luominen
- Luo ilmaisimia tiedostoille
- Luo ilmaisimia IP-osoitteille ja URL-osoitteille/toimialueille
- Create varmenteisiin perustuvat ilmaisimet
- Microsoft Defender for Endpoint ja Microsoft Defender virustentorjuntaa koskevat poikkeukset
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.