Jelzők kezelése

  • Cikk

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

  1. A navigációs panelen válassza a Beállítások>Végpontok mutatói> elemet (a Szabályok területen).

  2. Válassza ki a kezelni kívánt entitástípus lapját.

  3. Frissítse a mutató részleteit, és válassza a Mentés lehetőséget, vagy válassza a Törlés gombot, ha el szeretné távolítani az entitást a listából.

IoC-k listájának importálása

Feltölthet egy CSV-fájlt is, amely meghatározza a mutatók attribútumait, a végrehajtandó műveletet és egyéb részleteket.

A támogatott oszlopattribútumok megismeréséhez töltse le a minta CSV-t.

  1. A navigációs panelen válassza a Beállítások>Végpontok mutatói> elemet (a Szabályok területen).

  2. Válassza ki annak az entitástípusnak a lapját, amelybe mutatókat szeretne importálni.

  3. Válassza a Fájl importálása>lehetőséget.

  4. Válassza az Importálás lehetőséget. Ismételje meg a műveletet az összes importálni kívánt fájl esetében.

  5. Válassza a Kész lehetőséget.

Megjegyzés:

Minden köteghez csak 500 mutató tölthető fel.

Adott kategóriákkal rendelkező mutatók importálásához a sztringet Pascal-esetkonvenciában kell megírni, és csak a portálon elérhető kategórialistát fogadja el.

Az alábbi táblázat a támogatott paramétereket mutatja be.

Paraméter Típus Leírás
indicatorType Enum A mutató típusa. Lehetséges értékek: FileSha1, FileSha256, IpAddress, DomainName és URL. Kötelező
indicatorValue Karakterlánc A Mutató entitás identitása. Kötelező
Akció Enum A mutató szervezeten belüli felderítése esetén végrehajtandó művelet. A lehetséges értékek a következők: Engedélyezett, Naplózás, BlockAndRemediate, Warn és Block. Kötelező
Cím Karakterlánc Mutatóriasztás címe. Kötelező
Leírás Karakterlánc A mutató leírása. Kötelező
expirationTime DateTimeOffset Az YYYY-MM-DDTHH:MM:SS.0Z formátumban lévő mutató lejárati ideje. A mutató törlődik, ha a lejárati idő lejár, és bármi is történik a lejárati időpontban, a másodperc (SS) értéknél következik be. Nem kötelező
Súlyossága Enum A mutató súlyossága. A lehetséges értékek a következők: Tájékoztató, Alacsony, Közepes és Magas. Nem kötelező
recommendedActions Karakterlánc A TI-mutató riasztására vonatkozó ajánlott műveletek. Nem kötelező
rbacGroups Karakterlánc Azoknak az RBAC-csoportoknak a vesszővel tagolt listája, amelyet a mutató alkalmazna. Nem kötelező
Kategória Karakterlánc A riasztás kategóriája. Ilyen például a végrehajtás és a hitelesítő adatokhoz való hozzáférés. Nem kötelező
mitretechniques Karakterlánc MITRE-technikák kódja/azonosítója (vesszővel elválasztva). További információ: Vállalati taktikák. Választható MITRE-technika esetén ajánlott értéket hozzáadni a kategóriában.
GenerateAlert Karakterlánc Azt határozza meg, hogy létre kell-e hozni a riasztást. Lehetséges értékek: Igaz vagy Hamis. Nem kötelező

Megjegyzés:

Az IP-címek osztály nélküli Inter-Domain útválasztási (CIDR) jelölése nem támogatott. További információ: Végponthoz készült Microsoft Defender riasztási kategóriák mostantól igazodnak a MITRE ATT&CK!-hoz.

Ebből a videóból megtudhatja, hogyan Végponthoz készült Microsoft Defender több módot is kínál a biztonsági rések mutatóinak (IOK) hozzáadására és kezelésére.

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.