Indicatoren beheren
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Selecteer in het navigatiedeelvenster Instellingen>Eindpuntindicatoren>(onderRegels).
Selecteer het tabblad van het entiteitstype dat u wilt beheren.
Werk de details van de indicator bij en selecteer Opslaan of selecteer de knop Verwijderen als u de entiteit uit de lijst wilt verwijderen.
Een lijst met IOC's importeren
U kunt er ook voor kiezen om een CSV-bestand te uploaden waarin de kenmerken van indicatoren, de actie die moet worden uitgevoerd en andere details worden gedefinieerd.
Download het CSV-voorbeeld om de ondersteunde kolomkenmerken te kennen.
Selecteer in het navigatiedeelvenster Instellingen>Eindpuntindicatoren>(onderRegels).
Selecteer het tabblad van het entiteitstype waarvoor u indicatoren wilt importeren.
Selecteer Importeren>Bestand kiezen.
Selecteer Importeren. Herhaal dit voor alle bestanden die u wilt importeren.
Selecteer Gereed.
Opmerking
Voor elke batch kunnen slechts 500 indicatoren worden geüpload.
Als u probeert indicatoren met specifieke categorieën te importeren, moet de tekenreeks worden geschreven in de Pascal-caseconventie en wordt alleen de categorielijst geaccepteerd die beschikbaar is in de portal.
In de volgende tabel ziet u de ondersteunde parameters.
Parameter | Type | Omschrijving |
---|---|---|
indicatorType | Enum | Type van de indicator. Mogelijke waarden zijn: FileSha1, FileSha256, IpAddress, DomainName en URL. Vereist |
indicatorValue | Tekenreeks | Identiteit van de entiteit Indicator . Vereist |
actie | Enum | De actie die wordt uitgevoerd als de indicator wordt gedetecteerd in de organisatie. Mogelijke waarden zijn: Toegestaan, Audit, BlockAndRemediate, Warn en Block. Vereist |
Titel | Tekenreeks | Titel van indicatorwaarschuwing. Vereist |
beschrijving | Tekenreeks | Beschrijving van de indicator. Vereist |
expirationTime | DateTimeOffset | De verlooptijd van de indicator in de volgende indeling JJJJ-MM-DDTHH:MM:SS.0Z. De indicator wordt verwijderd als de verlooptijd is verstreken en wat er op het verlooptijd gebeurt bij de SS-waarde (seconden). Optionele |
Ernst | Enum | De ernst van de indicator. Mogelijke waarden zijn: Informatief, Laag, Gemiddeld en Hoog. Optionele |
recommendedActions | Tekenreeks | Aanbevolen acties voor ti-indicatorwaarschuwing. Optionele |
rbacGroups | Tekenreeks | Door komma's gescheiden lijst met RBAC-groepen waarop de indicator zou worden toegepast. Optionele |
Categorie | Tekenreeks | Categorie van de waarschuwing. Voorbeelden hiervan zijn: Uitvoering en toegang tot referenties. Optionele |
mitretechniques | Tekenreeks | MITRE-technieken code/id (door komma's gescheiden). Zie Enterprise-tactieken voor meer informatie. Optionele Het wordt aanbevolen om een waarde in categorie toe te voegen bij een MITRE-techniek. |
GenerateAlert | Tekenreeks | Of de waarschuwing moet worden gegenereerd. Mogelijke waarden zijn: Waar of Onwaar. Optionele |
Opmerking
De CIDR-notatie (Classless Inter-Domain Routing) voor IP-adressen wordt niet ondersteund. Zie Microsoft Defender voor Eindpunt waarschuwingscategorieën nu zijn uitgelijnd met MITRE ATT&CK! voor meer informatie.
Bekijk deze video om te leren hoe Microsoft Defender voor Eindpunt meerdere manieren biedt om Indicatoren van inbreuk (IOC's) toe te voegen en te beheren.
Zie ook
- Indicatoren maken
- Indicatoren voor bestanden maken
- Indicatoren maken voor IP's en URL's/domeinen
- Creatie indicatoren op basis van certificaten
- Uitsluitingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.