インジケーターの管理

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

  1. ナビゲーション ウィンドウで、[ 設定>] [エンドポイント>インジケーター ] ( [ルール] の下) を選択します。

  2. 管理するエンティティの種類のタブを選択します。

  3. 一覧からエンティティを削除する場合は、インジケーターの詳細を更新し、[ 保存 ] をクリックするか、[ 削除 ] ボタンをクリックします。

IoC の一覧をインポートする

インジケーターの属性、実行するアクション、その他の詳細を定義する CSV ファイルをアップロードすることもできます。

サンプル CSV をダウンロードして、サポートされている列属性を確認します。

  1. ナビゲーション ウィンドウで、[ 設定>] [エンドポイント>インジケーター ] ( [ルール] の下) を選択します。

  2. インジケーターをインポートするエンティティの種類のタブを選択します。

  3. [インポート][ファイルの選択] の順に選択します>。

  4. [インポート] を選択します。 インポートするすべてのファイルに対してこれを行います。

  5. [完了] を選択します。

注:

バッチごとにアップロードできるインジケーターは 500 個のみです。

特定のカテゴリのインジケーターをインポートしようとすると、文字列はパスカルの大文字と小文字の規則で記述する必要があり、ポータルで使用できるカテゴリ リストのみを受け入れます。

次の表は、サポートされているパラメーターを示しています。

パラメーター 説明
indicatorType 列挙 インジケーターの種類。 使用可能な値は、"FileSha1"、"FileSha256"、"IpAddress"、"DomainName"、および "Url" です。 必須
indicatorValue 文字列 Indicator エンティティの ID。 必須
action 列挙 インジケーターがorganizationで検出された場合に実行されるアクション。 使用可能な値は、"Allowed"、"Audit"、"BlockAndRemediate"、"Warn"、および "Block" です。 必須
title String インジケーター アラート タイトル。 必須
説明 String インジケーターの説明。 必須
expirationTime DateTimeOffset YYYY-MM-DDTHH:MM:SS.0Z 形式のインジケーターの有効期限。 有効期限が経過し、有効期限時に何が起こっても秒 (SS) 値で発生した場合、インジケーターは削除されます。 Optional
severity 列挙 インジケーターの重大度。 使用可能な値は、"Informational"、"Low"、"Medium"、"High" です。 Optional
recommendedActions 文字列 TI インジケーター アラート推奨アクション。 Optional
rbacGroups 文字列 インジケーターが適用される RBAC グループのコンマ区切りの一覧。 Optional
category 文字列 アラートのカテゴリ。 たとえば、実行と資格情報のアクセスです。 Optional
mitretechniques 文字列 MITRE 手法のコード/ID (コンマ区切り)。 詳細については、「 エンタープライズ戦術」を参照してください。 オプション MITRE 手法の場合は、カテゴリに値を追加することをお勧めします。
GenerateAlert 文字列 アラートを生成する必要があるかどうか。 指定できる値は True または False です。 Optional

注:

IP アドレスのクラスレス Inter-Domain ルーティング (CIDR) 表記はサポートされていません。 詳細については、「Microsoft Defender for Endpointアラート カテゴリが MITRE ATT&CK! と一致するようになりました」を参照してください。

このビデオでは、Microsoft Defender for Endpointが侵害のインジケーター (IoC) を追加および管理する複数の方法を提供する方法について説明します。

関連項目

ヒント

詳細については、こちらをご覧ください。 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティに参加します。