インジケーターの管理

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

  1. ナビゲーション ウィンドウで、[ 設定>] [エンドポイント>インジケーター ] ( [ルール] の下) を選択します。

  2. 管理するエンティティの種類のタブを選択します。

  3. インジケーターの詳細を更新し、一覧からエンティティを削除する場合は、[保存] を選択するか、[削除] ボタンを選択します。

IoC の一覧をインポートする

インジケーターの属性、実行するアクション、その他の詳細を定義する CSV ファイルをアップロードすることもできます。

サンプル CSV をダウンロードして、サポートされている列属性を確認します。

  1. ナビゲーション ウィンドウで、[ 設定>] [エンドポイント>インジケーター ] ( [ルール] の下) を選択します。

  2. インジケーターをインポートするエンティティの種類のタブを選択します。

  3. [インポート][ファイルの選択] の順に選択します>。

  4. [インポート] を選択します。 インポートするすべてのファイルに対して繰り返します。

  5. [完了] を選択します。

注:

バッチごとにアップロードできるインジケーターは 500 個のみです。

特定のカテゴリのインジケーターをインポートしようとすると、文字列はパスカルの大文字と小文字の規則で記述する必要があり、ポータルで使用できるカテゴリ リストのみを受け入れます。

次の表は、サポートされているパラメーターを示しています。

パラメーター 説明
indicatorType 列挙 インジケーターの種類。 指定できる値は、 FileSha1FileSha256IpAddressDomainNameUrl です必須
indicatorValue String Indicator エンティティの ID。 必須
action 列挙 インジケーターがorganizationで検出された場合に実行されるアクション。 使用可能な値は、 許可監査BlockAndRemediateWarnBlock です必須
title String インジケーター アラート タイトル。 必須
説明 String インジケーターの説明。 必須
expirationTime DateTimeOffset YYYY-MM-DDTHH:MM:SS.0Z 形式のインジケーターの有効期限。 有効期限が経過し、有効期限時に何が起こっても秒 (SS) 値で発生した場合、インジケーターは削除されます。 Optional
severity 列挙 インジケーターの重大度。 使用可能な値は、 InformationalLowMediumHigh ですOptional
recommendedActions String TI インジケーター アラート推奨アクション。 Optional
rbacGroups String インジケーターが適用される RBAC グループのコンマ区切りの一覧。 Optional
category String アラートのカテゴリ。 たとえば、実行と資格情報のアクセスです。 Optional
mitretechniques String MITRE 手法のコード/ID (コンマ区切り)。 詳細については、「 エンタープライズ戦術」を参照してください。 オプション MITRE 手法の場合は、カテゴリに値を追加することをお勧めします。
GenerateAlert String アラートを生成する必要があるかどうか。 指定できる値は True または False です。 Optional

注:

IP アドレスのクラスレス Inter-Domain ルーティング (CIDR) 表記はサポートされていません。 詳細については、「MICROSOFT DEFENDER FOR ENDPOINTアラート カテゴリが MITRE ATT&CK!と一致するようになりました」を参照してください。

このビデオでは、Microsoft Defender for Endpointが侵害のインジケーター (IoC) を追加および管理する複数の方法を提供する方法について説明します。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。