지표 관리
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
탐색 창에서 설정>엔드포인트표시기>(규칙 아래)를 선택합니다.
관리하려는 엔터티 형식의 탭을 선택합니다.
표시기의 세부 정보를 업데이트하고 저장 을 선택하거나 목록에서 엔터티를 제거하려면 삭제 단추를 선택합니다.
IoC 목록 가져오기
표시기의 특성, 수행할 작업 및 기타 세부 정보를 정의하는 CSV 파일을 업로드하도록 선택할 수도 있습니다.
샘플 CSV를 다운로드하여 지원되는 열 특성을 확인합니다.
탐색 창에서 설정>엔드포인트표시기>(규칙 아래)를 선택합니다.
표시기를 가져오려는 엔터티 형식의 탭을 선택합니다.
파일 가져오기>선택을 선택합니다.
가져오기를 선택합니다. 가져오려는 모든 파일에 대해 반복합니다.
완료를 선택합니다.
참고
각 일괄 처리에 대해 500개의 표시기만 업로드할 수 있습니다. 특정 범주가 있는 표시기를 가져오려면 문자열을 Pascal 사례 규칙으로 작성해야 하며 포털에서 사용할 수 있는 범주 목록만 허용합니다.
다음 표에서는 지원되는 매개 변수를 보여줍니다.
매개 변수 | 형식 | 설명 |
---|---|---|
indicatorType | 열거형 | 표시기의 형식입니다. 가능한 값은 , , FileSha256 , 및 입니다FileSha1 Url . DomainName IpAddress 필수 |
indicatorValue | String |
표시기 엔터티의 ID입니다. 필수 |
조치 | 열거형 | organization 표시기가 검색된 경우 수행되는 작업입니다. 가능한 값은 , , Audit , 및 입니다Allowed Block . Warn BlockAndRemediate 필수 |
title | String | 표시기 경고 제목입니다. 필수 |
description | String | 표시기의 설명입니다. 필수 |
expirationTime | DateTimeOffset | 다음과 같은 형식 YYYY-MM-DDTHH:MM:SS.0Z 의 표시기의 만료 시간입니다. 만료 시간이 지나고 만료 시간에 발생하는 모든 일이 초(SS) 값에서 발생하는 경우 표시기가 삭제됩니다. 선택적 |
심각도 | 열거형 | 표시기의 심각도입니다. 가능한 값은 , , Low 및 입니다Informational High . Medium 선택적 |
recommendedActions | String | TI 표시기 경고 권장 작업입니다. 선택적 |
rbacGroups | String | 지표가 적용될 RBAC 그룹의 쉼표로 구분된 목록입니다. 선택적 |
범주 | String | 경고의 범주입니다. 예를 들어 실행 및 자격 증명 액세스가 있습니다. 선택적 |
mitretechniques | String | MITRE 기술 코드/ID(쉼표로 구분). 자세한 내용은 엔터프라이즈 전술을 참조하세요. 선택적 MITRE 기술을 사용하는 경우 범주에 값을 추가하는 것이 좋습니다. |
GenerateAlert | String | 경고를 생성해야 하는지 여부입니다. 가능한 값은 또는 False 입니다True . 선택적 |
참고
IP 주소에 대한 CIDR(클래스리스 Inter-Domain 라우팅) 표기법은 지원되지 않습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 경고 범주가 이제 MITRE ATT&CK!에 맞춰지게 됨을 참조하세요.
네트워크 표시기에서는 작업 유형() BlockAndRemediate
을 지원하지 않습니다. 네트워크 표시기가 로 설정된 BlockAndRemediate
경우 가져오지 않습니다.
이 비디오를 시청하여 엔드포인트용 Microsoft Defender IoC(손상 지표)를 추가하고 관리하는 여러 방법을 제공하는 방법을 알아봅니다.
참고 항목
- 지표 만들기
- 파일에 대한 지표 만들기
- IP 및 URL/도메인에 대한 지표 만들기
- 인증서를 기반으로 표시기 만들기
- 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.