Indicatoren beheren
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Selecteer in het navigatiedeelvenster Instellingen>Eindpuntindicatoren>(onderRegels).
Selecteer het tabblad van het entiteitstype dat u wilt beheren.
Werk de details van de indicator bij en selecteer Opslaan of selecteer de knop Verwijderen als u de entiteit uit de lijst wilt verwijderen.
Een lijst met IOC's importeren
U kunt er ook voor kiezen om een CSV-bestand te uploaden waarin de kenmerken van indicatoren, de actie die moet worden uitgevoerd en andere details worden gedefinieerd.
Download het CSV-voorbeeld om de ondersteunde kolomkenmerken te kennen.
Selecteer in het navigatiedeelvenster Instellingen>Eindpuntindicatoren>(onderRegels).
Selecteer het tabblad van het entiteitstype waarvoor u indicatoren wilt importeren.
Selecteer Importeren>Bestand kiezen.
Selecteer Importeren. Herhaal dit voor alle bestanden die u wilt importeren.
Selecteer Gereed.
Opmerking
Voor elke batch kunnen slechts 500 indicatoren worden geüpload. Als u probeert indicatoren met specifieke categorieën te importeren, moet de tekenreeks worden geschreven in de Pascal-caseconventie en wordt alleen de categorielijst geaccepteerd die beschikbaar is in de portal.
In de volgende tabel ziet u de ondersteunde parameters.
Parameter | Type | Beschrijving |
---|---|---|
indicatorType | Opsomming | Type van de indicator. Mogelijke waarden zijn: FileSha1 , FileSha256 IpAddress , DomainName , en Url . Vereist |
indicatorValue | Tekenreeks | Identiteit van de entiteit Indicator . Vereist |
actie | Opsomming | De actie die wordt uitgevoerd als de indicator wordt gedetecteerd in de organisatie. Mogelijke waarden zijn: Allowed , Audit BlockAndRemediate , Warn , en Block . Vereist |
titel | Tekenreeks | Titel van indicatorwaarschuwing. Vereist |
beschrijving | Tekenreeks | Beschrijving van de indicator. Vereist |
expirationTime | DateTimeOffset | De verlooptijd van de indicator in de volgende indeling YYYY-MM-DDTHH:MM:SS.0Z . De indicator wordt verwijderd als de verlooptijd is verstreken en wat er op het verlooptijd gebeurt bij de SS-waarde (seconden). Facultatief |
strengheid | Opsomming | De ernst van de indicator. Mogelijke waarden zijn: Informational , Low , Medium en High . Facultatief |
recommendedActions | Tekenreeks | Aanbevolen acties voor ti-indicatorwaarschuwing. Facultatief |
rbacGroups | Tekenreeks | Door komma's gescheiden lijst met RBAC-groepen waarop de indicator zou worden toegepast. Facultatief |
categorie | Tekenreeks | Categorie van de waarschuwing. Voorbeelden hiervan zijn: Uitvoering en toegang tot referenties. Facultatief |
mitretechniques | Tekenreeks | MITRE-technieken code/id (door komma's gescheiden). Zie Enterprise-tactieken voor meer informatie. Facultatief Het wordt aanbevolen om een waarde in categorie toe te voegen bij een MITRE-techniek. |
GenerateAlert | Tekenreeks | Of de waarschuwing moet worden gegenereerd. Mogelijke waarden zijn: True of False . Facultatief |
Opmerking
De CIDR-notatie (Classless Inter-Domain Routing) voor IP-adressen wordt niet ondersteund. Zie Microsoft Defender voor Eindpunt waarschuwingscategorieën nu zijn uitgelijnd met MITRE ATT&CK! voor meer informatie.
Netwerkindicatoren bieden geen ondersteuning voor het actietype, BlockAndRemediate
. Als een netwerkindicator is ingesteld op BlockAndRemediate
, wordt deze niet geïmporteerd.
Bekijk deze video om te leren hoe Microsoft Defender voor Eindpunt meerdere manieren biedt om Indicatoren van inbreuk (IOC's) toe te voegen en te beheren.
Zie ook
- Indicatoren maken
- Indicatoren voor bestanden maken
- Indicatoren maken voor IP's en URL's/domeinen
- Indicatoren maken op basis van certificaten
- Uitsluitingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.