지표 관리

  • 아티클

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

  1. 탐색 창에서 설정>엔드포인트표시기>(규칙 아래)를 선택합니다.

  2. 관리하려는 엔터티 형식의 탭을 선택합니다.

  3. 표시기의 세부 정보를 업데이트하고 저장 을 선택하거나 목록에서 엔터티를 제거하려면 삭제 단추를 선택합니다.

IoC 목록 가져오기

표시기의 특성, 수행할 작업 및 기타 세부 정보를 정의하는 CSV 파일을 업로드하도록 선택할 수도 있습니다.

샘플 CSV를 다운로드하여 지원되는 열 특성을 확인합니다.

  1. 탐색 창에서 설정>엔드포인트표시기>(규칙 아래)를 선택합니다.

  2. 표시기를 가져오려는 엔터티 형식의 탭을 선택합니다.

  3. 파일 가져오기>선택을 선택합니다.

  4. 가져오기를 선택합니다. 가져오려는 모든 파일에 대해 반복합니다.

  5. 완료를 선택합니다.

참고

각 일괄 처리에 대해 500개의 표시기만 업로드할 수 있습니다.

특정 범주가 있는 표시기를 가져오려면 문자열을 Pascal 사례 규칙으로 작성해야 하며 포털에서 사용할 수 있는 범주 목록만 허용합니다.

다음 표에서는 지원되는 매개 변수를 보여줍니다.

매개 변수 형식 설명
indicatorType 열거형 표시기의 형식입니다. 가능한 값은 FileSha1, FileSha256, IpAddress, DomainNameUrl입니다. 필수
indicatorValue String 표시기 엔터티의 ID입니다. 필수
조치 열거형 organization 표시기가 검색된 경우 수행되는 작업입니다. 가능한 값은 Allowed, Audit, BlockAndRemediate, WarnBlock입니다. 필수
title String 표시기 경고 제목입니다. 필수
description String 표시기의 설명입니다. 필수
expirationTime Datetimeoffset YYYY-MM-DDTHH:MM:SS.0Z 형식으로 표시기의 만료 시간입니다. 만료 시간이 지나고 만료 시간에 발생하는 모든 일이 초(SS) 값에서 발생하는 경우 표시기가 삭제됩니다. 선택적
심각도 열거형 표시기의 심각도입니다. 가능한 값은 Informational, Low, MediumHigh입니다. 선택적
recommendedActions String TI 표시기 경고 권장 작업입니다. 선택적
rbacGroups String 지표가 적용될 RBAC 그룹의 쉼표로 구분된 목록입니다. 선택적
범주 String 경고의 범주입니다. 예를 들어 실행 및 자격 증명 액세스가 있습니다. 선택적
mitretechniques String MITRE 기술 코드/ID(쉼표로 구분). 자세한 내용은 엔터프라이즈 전술을 참조하세요. 선택적 MITRE 기술을 사용하는 경우 범주에 값을 추가하는 것이 좋습니다.
GenerateAlert String 경고를 생성해야 하는지 여부입니다. 가능한 값은 True 또는 False입니다. 선택적

참고

IP 주소에 대한 CIDR(클래스리스 Inter-Domain 라우팅) 표기법은 지원되지 않습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 경고 범주가 이제 MITRE ATT&CK!에 맞춰지게 됨을 참조하세요.

이 비디오를 시청하여 엔드포인트용 Microsoft Defender IoC(손상 지표)를 추가하고 관리하는 여러 방법을 제공하는 방법을 알아봅니다.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.