Jelzők kezelése
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
A navigációs panelen válassza a Beállítások>Végpontok mutatói> elemet (a Szabályok területen).
Válassza ki a kezelni kívánt entitástípus lapját.
Frissítse a mutató részleteit, és válassza a Mentés lehetőséget, vagy válassza a Törlés gombot, ha el szeretné távolítani az entitást a listából.
IoC-k listájának importálása
Feltölthet egy CSV-fájlt is, amely meghatározza a mutatók attribútumait, a végrehajtandó műveletet és egyéb részleteket.
A támogatott oszlopattribútumok megismeréséhez töltse le a minta CSV-t.
A navigációs panelen válassza a Beállítások>Végpontok mutatói> elemet (a Szabályok területen).
Válassza ki annak az entitástípusnak a lapját, amelybe mutatókat szeretne importálni.
Válassza a Fájl importálása>lehetőséget.
Válassza az Importálás lehetőséget. Ismételje meg a műveletet az összes importálni kívánt fájl esetében.
Válassza a Kész lehetőséget.
Megjegyzés:
Minden köteghez csak 500 mutató tölthető fel. Adott kategóriákkal rendelkező mutatók importálásához a sztringet Pascal-esetkonvenciában kell megírni, és csak a portálon elérhető kategórialistát fogadja el.
Az alábbi táblázat a támogatott paramétereket mutatja be.
| Paraméter | Típus | Leírás |
|---|---|---|
| indicatorType | Enumerálás | A mutató típusa. Lehetséges értékek: FileSha1, FileSha256, IpAddress, DomainNameés Url. Kötelező |
| indicatorValue | Karakterlánc | A Mutató entitás identitása. Kötelező |
| akció | Enumerálás | A mutató szervezeten belüli felderítése esetén végrehajtandó művelet. Lehetséges értékek: Allowed, Audit, BlockAndRemediate, Warnés Block. Kötelező |
| cím | Karakterlánc | Mutatóriasztás címe. Kötelező |
| leírás | Karakterlánc | A mutató leírása. Kötelező |
| expirationTime | DateTimeOffset | A mutató lejárati ideje a következő formátumban YYYY-MM-DDTHH:MM:SS.0Z: . A mutató törlődik, ha a lejárati idő lejár, és bármi is történik a lejárati időpontban, a másodperc (SS) értéknél következik be. Nem kötelező |
| súlyosság | Enumerálás | A mutató súlyossága. Lehetséges értékek: Informational, Low, Mediumés High. Nem kötelező |
| recommendedActions | Karakterlánc | A TI-mutató riasztására vonatkozó ajánlott műveletek. Nem kötelező |
| rbacGroups | Karakterlánc | Azoknak az RBAC-csoportoknak a vesszővel tagolt listája, amelyet a mutató alkalmazna. Nem kötelező |
| kategória | Karakterlánc | A riasztás kategóriája. Ilyen például a végrehajtás és a hitelesítő adatokhoz való hozzáférés. Nem kötelező |
| mitretechniques | Karakterlánc | MITRE-technikák kódja/azonosítója (vesszővel elválasztva). További információ: Vállalati taktikák. Nem kötelező MITRE-technika esetén ajánlott értéket hozzáadni a kategóriában. |
| GenerateAlert | Karakterlánc | Azt határozza meg, hogy létre kell-e hozni a riasztást. Lehetséges értékek: True vagy False. Nem kötelező |
Megjegyzés:
Az IP-címek osztály nélküli Inter-Domain útválasztási (CIDR) jelölése nem támogatott. További információ: Végponthoz készült Microsoft Defender riasztási kategóriák mostantól igazodnak a MITRE ATT&CK!-hoz.
A hálózati jelzők nem támogatják a művelettípust( BlockAndRemediate). Ha egy hálózati jelző értékre BlockAndRemediatevan állítva, az nem importálódik.
Ebből a videóból megtudhatja, hogyan Végponthoz készült Microsoft Defender több módot is kínál a biztonsági rések mutatóinak (IOK) hozzáadására és kezelésére.
Lásd még
- Jelzők létrehozása
- Jelzők létrehozása fájlokhoz
- Jelzők létrehozása IP-khez és URL-ekhez/tartományokhoz
- Mutatók létrehozása tanúsítványok alapján
- A Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásai
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.