Behandle indikatorer
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
VelgInnstillinger-endepunktindikatorer>> (under Regler) i navigasjonsruten.
Velg fanen for enhetstypen du vil administrere.
Oppdater detaljene for indikatoren, og velg Lagre eller velg Slett-knappen hvis du vil fjerne enheten fra listen.
Importere en liste over IOCer
Du kan også velge å laste opp en CSV-fil som definerer attributtene til indikatorer, handlingen som skal utføres og andre detaljer.
Last ned CSV-eksemplet for å få vite kolonneattributtene som støttes.
VelgInnstillinger-endepunktindikatorer>> (under Regler) i navigasjonsruten.
Velg fanen for enhetstypen du vil importere indikatorer for.
Velg Importer>Velg fil.
Velg Importer. Gjenta dette for alle filene du vil importere.
Velg Ferdig.
Obs!
Bare 500 indikatorer kan lastes opp for hver bunke.
Hvis du prøver å importere indikatorer med bestemte kategorier, må strengen skrives i Pascals sakskonvensjon og godtar bare kategorilisten som er tilgjengelig i portalen.
Tabellen nedenfor viser parameterne som støttes.
| Parameteren | Type: | Beskrivelse |
|---|---|---|
| indicatorType | Enum | Type indikator. Mulige verdier er: FileSha1, FileSha256, IpAddress, DomainName og URL. Obligatorisk |
| indicatorValue | Streng | Identiteten til indikatorenheten . Obligatorisk |
| Handling | Enum | Handlingen som utføres hvis indikatoren oppdages i organisasjonen. Mulige verdier er: Allowed, Audit, BlockAndRemediate, Warn og Block. Obligatorisk |
| Tittel | Streng | Tittel på indikatorvarsel. Obligatorisk |
| Beskrivelse | Streng | Beskrivelse av indikatoren. Obligatorisk |
| expirationTime | DateTimeOffset | Utløpstiden for indikatoren i følgende format YYYY-MM-DDTHH:MM:SS.0Z. Indikatoren slettes hvis utløpstiden går, og det som skjer ved utløpstiden, skjer ved sekundverdien (SS). Valgfri |
| Alvorlighetsgraden | Enum | Alvorsgraden for indikatoren. Mulige verdier er: Informasjon, Lav, Middels og Høy. Valgfri |
| recommendedActions | Streng | Anbefalte handlinger for TI-indikatorvarsel. Valgfri |
| rbacGroups | Streng | Kommadelt liste over RBAC-grupper indikatoren vil bli brukt på. Valgfri |
| Kategori | Streng | Kategori for varselet. Eksempler inkluderer: Kjøring og legitimasjonstilgang. Valgfri |
| mitretechniques | Streng | MITRE-teknikker kode/ID (kommadelt). Hvis du vil ha mer informasjon, kan du se Enterprise-taktikk. Valgfritt Det anbefales å legge til en verdi i kategorien når en MITRE-teknikk. |
| GenerateAlert | Streng | Om varselet skal genereres. Mulige verdier er: Sann eller Usann. Valgfri |
Obs!
Klasseløs Inter-Domain-notasjon (CIDR) for IP-adresser støttes ikke. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for endepunkt varselkategorier er nå justert med MITRE ATT&CK!.
Se denne videoen for å finne ut hvordan Microsoft Defender for endepunkt gir flere måter å legge til og administrere indikatorer for kompromiss på (IOCer).
Se også
- Opprett indikatorer
- Opprett indikatorer for filer
- Opprett indikatorer for IP-er og nettadresser/domener
- Opprett indikatorer basert på sertifikater
- Unntak for Microsoft Defender for endepunkt og Microsoft Defender Antivirus
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for