Indicatoren beheren

  • Artikel

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

  1. Selecteer in het navigatiedeelvenster Instellingen>Eindpuntindicatoren>(onderRegels).

  2. Selecteer het tabblad van het entiteitstype dat u wilt beheren.

  3. Werk de details van de indicator bij en selecteer Opslaan of selecteer de knop Verwijderen als u de entiteit uit de lijst wilt verwijderen.

Een lijst met IOC's importeren

U kunt er ook voor kiezen om een CSV-bestand te uploaden waarin de kenmerken van indicatoren, de actie die moet worden uitgevoerd en andere details worden gedefinieerd.

Download het CSV-voorbeeld om de ondersteunde kolomkenmerken te kennen.

  1. Selecteer in het navigatiedeelvenster Instellingen>Eindpuntindicatoren>(onderRegels).

  2. Selecteer het tabblad van het entiteitstype waarvoor u indicatoren wilt importeren.

  3. Selecteer Importeren>Bestand kiezen.

  4. Selecteer Importeren. Herhaal dit voor alle bestanden die u wilt importeren.

  5. Selecteer Gereed.

Opmerking

Voor elke batch kunnen slechts 500 indicatoren worden geüpload.

Als u probeert indicatoren met specifieke categorieën te importeren, moet de tekenreeks worden geschreven in de Pascal-caseconventie en wordt alleen de categorielijst geaccepteerd die beschikbaar is in de portal.

In de volgende tabel ziet u de ondersteunde parameters.

Parameter Type Omschrijving
indicatorType Enum Type van de indicator. Mogelijke waarden zijn: FileSha1, FileSha256, IpAddress, DomainName en URL. Vereist
indicatorValue Tekenreeks Identiteit van de entiteit Indicator . Vereist
actie Enum De actie die wordt uitgevoerd als de indicator wordt gedetecteerd in de organisatie. Mogelijke waarden zijn: Toegestaan, Audit, BlockAndRemediate, Warn en Block. Vereist
Titel Tekenreeks Titel van indicatorwaarschuwing. Vereist
beschrijving Tekenreeks Beschrijving van de indicator. Vereist
expirationTime DateTimeOffset De verlooptijd van de indicator in de volgende indeling JJJJ-MM-DDTHH:MM:SS.0Z. De indicator wordt verwijderd als de verlooptijd is verstreken en wat er op het verlooptijd gebeurt bij de SS-waarde (seconden). Optionele
Ernst Enum De ernst van de indicator. Mogelijke waarden zijn: Informatief, Laag, Gemiddeld en Hoog. Optionele
recommendedActions Tekenreeks Aanbevolen acties voor ti-indicatorwaarschuwing. Optionele
rbacGroups Tekenreeks Door komma's gescheiden lijst met RBAC-groepen waarop de indicator zou worden toegepast. Optionele
Categorie Tekenreeks Categorie van de waarschuwing. Voorbeelden hiervan zijn: Uitvoering en toegang tot referenties. Optionele
mitretechniques Tekenreeks MITRE-technieken code/id (door komma's gescheiden). Zie Enterprise-tactieken voor meer informatie. Optionele Het wordt aanbevolen om een waarde in categorie toe te voegen bij een MITRE-techniek.
GenerateAlert Tekenreeks Of de waarschuwing moet worden gegenereerd. Mogelijke waarden zijn: Waar of Onwaar. Optionele

Opmerking

De CIDR-notatie (Classless Inter-Domain Routing) voor IP-adressen wordt niet ondersteund. Zie Microsoft Defender voor Eindpunt waarschuwingscategorieën nu zijn uitgelijnd met MITRE ATT&CK! voor meer informatie.

Bekijk deze video om te leren hoe Microsoft Defender voor Eindpunt meerdere manieren biedt om Indicatoren van inbreuk (IOC's) toe te voegen en te beheren.

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.