Partage via

Gérer des indicateurs

  • Article

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

  1. Dans le volet de navigation, sélectionnez Paramètres Indicateurs>de >points de terminaison(sous Règles).

  2. Sélectionnez l’onglet du type d’entité que vous souhaitez gérer.

  3. Mettez à jour les détails de l’indicateur et sélectionnez Enregistrer ou sélectionnez le bouton Supprimer si vous souhaitez supprimer l’entité de la liste.

Importer une liste d’E/S

Vous pouvez également choisir de charger un fichier CSV qui définit les attributs des indicateurs, l’action à entreprendre et d’autres détails.

Téléchargez l’exemple de fichier CSV pour connaître les attributs de colonne pris en charge.

  1. Dans le volet de navigation, sélectionnez Paramètres Indicateurs>de >points de terminaison(sous Règles).

  2. Sélectionnez l’onglet du type d’entité pour lequel vous souhaitez importer des indicateurs.

  3. Sélectionnez Importer>Choisir un fichier.

  4. Sélectionnez Importer. Répétez cette opération pour tous les fichiers que vous souhaitez importer.

  5. Sélectionnez Terminé.

Remarque

Seuls 500 indicateurs peuvent être chargés pour chaque lot. La tentative d’importation d’indicateurs avec des catégories spécifiques nécessite que la chaîne soit écrite dans la convention de cas Pascal et accepte uniquement la liste de catégories disponible sur le portail.

Le tableau suivant présente les paramètres pris en charge.

Paramètre Type Description
indicatorType Énum Type de l’indicateur. Les valeurs possibles sont , FileSha1FileSha256, IpAddress, DomainNameet Url.
Obligatoire
indicatorValue String Identité de l’entité Indicateur .
Obligatoire
action Énum Action effectuée si l’indicateur est découvert dans le organization. Les valeurs possibles sont , AllowedAudit, BlockAndRemediate, Warnet Block.
Obligatoire
title String Titre de l’alerte de l’indicateur.
Obligatoire
description String Description de l’indicateur.
Obligatoire
expirationTime DateTimeOffset Heure d’expiration de l’indicateur au format YYYY-MM-DDTHH:MM:SS.0Zsuivant . L’indicateur est supprimé si le délai d’expiration s’écoule et que tout ce qui se passe à l’heure d’expiration se produit à la valeur de secondes (SS).
Optional
Sévérité Énum Gravité de l’indicateur. Les valeurs possibles sont : Informational, Low, Medium, et High
Optional
recommendedActions String Actions recommandées pour l’alerte d’indicateur TI.
Optional
rbacGroups String Liste séparée par des virgules des groupes RBAC auxquels l’indicateur serait appliqué.
Optional
category String Catégorie de l’alerte. Exemples : exécution et accès aux informations d’identification.
Optional
mitretechniques String Code/ID des techniques MITRE (séparés par des virgules). Pour plus d’informations, consultez Tactiques d’entreprise.
Optional
Il est recommandé d’ajouter une valeur dans la catégorie lorsqu’une technique MITRE est utilisée.
GenerateAlert String Indique si l’alerte doit être générée. Les valeurs possibles sont : True ou False.
Optional

Remarque

La notation CIDR (Classless Inter-Domain Routing) pour les adresses IP n’est pas prise en charge. Pour plus d’informations, consultez Microsoft Defender pour point de terminaison catégories d’alertes sont désormais alignées avec MITRE ATT&CK !.

Les indicateurs réseau ne prennent pas en charge le type d’action, BlockAndRemediate. Si un indicateur réseau est défini sur BlockAndRemediate, il n’est pas importé.

Regardez cette vidéo pour découvrir comment Microsoft Defender pour point de terminaison offre plusieurs façons d’ajouter et de gérer des indicateurs de compromission (IoC).

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.