Delen via


Indicatoren beheren

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

  1. Selecteer in het navigatiedeelvenster Instellingen>Eindpuntindicatoren>(onderRegels).

  2. Selecteer het tabblad van het entiteitstype dat u wilt beheren.

  3. Werk de details van de indicator bij en selecteer Opslaan of selecteer de knop Verwijderen als u de entiteit uit de lijst wilt verwijderen.

Een lijst met IOC's importeren

U kunt er ook voor kiezen om een CSV-bestand te uploaden waarin de kenmerken van indicatoren, de actie die moet worden uitgevoerd en andere details worden gedefinieerd.

Download het CSV-voorbeeld om de ondersteunde kolomkenmerken te kennen.

  1. Selecteer in het navigatiedeelvenster Instellingen>Eindpuntindicatoren>(onderRegels).

  2. Selecteer het tabblad van het entiteitstype waarvoor u indicatoren wilt importeren.

  3. Selecteer Importeren>Bestand kiezen.

  4. Selecteer Importeren. Herhaal dit voor alle bestanden die u wilt importeren.

  5. Selecteer Gereed.

Opmerking

Voor elke batch kunnen slechts 500 indicatoren worden geüpload. Als u probeert indicatoren met specifieke categorieën te importeren, moet de tekenreeks worden geschreven in de Pascal-caseconventie en wordt alleen de categorielijst geaccepteerd die beschikbaar is in de portal.

In de volgende tabel ziet u de ondersteunde parameters.

Parameter Type Beschrijving
indicatorType Opsomming Type van de indicator. Mogelijke waarden zijn: FileSha1, FileSha256IpAddress, DomainName, en Url.
Vereist
indicatorValue Tekenreeks Identiteit van de entiteit Indicator .
Vereist
actie Opsomming De actie die wordt uitgevoerd als de indicator wordt gedetecteerd in de organisatie. Mogelijke waarden zijn: Allowed, AuditBlockAndRemediate, Warn, en Block.
Vereist
titel Tekenreeks Titel van indicatorwaarschuwing.
Vereist
beschrijving Tekenreeks Beschrijving van de indicator.
Vereist
expirationTime DateTimeOffset De verlooptijd van de indicator in de volgende indeling YYYY-MM-DDTHH:MM:SS.0Z. De indicator wordt verwijderd als de verlooptijd is verstreken en wat er op het verlooptijd gebeurt bij de SS-waarde (seconden).
Facultatief
strengheid Opsomming De ernst van de indicator. Mogelijke waarden zijn: Informational, Low, Mediumen High.
Facultatief
recommendedActions Tekenreeks Aanbevolen acties voor ti-indicatorwaarschuwing.
Facultatief
rbacGroups Tekenreeks Door komma's gescheiden lijst met RBAC-groepen waarop de indicator zou worden toegepast.
Facultatief
categorie Tekenreeks Categorie van de waarschuwing. Voorbeelden hiervan zijn: Uitvoering en toegang tot referenties.
Facultatief
mitretechniques Tekenreeks MITRE-technieken code/id (door komma's gescheiden). Zie Enterprise-tactieken voor meer informatie.
Facultatief
Het wordt aanbevolen om een waarde in categorie toe te voegen bij een MITRE-techniek.
GenerateAlert Tekenreeks Of de waarschuwing moet worden gegenereerd. Mogelijke waarden zijn: True of False.
Facultatief

Opmerking

De CIDR-notatie (Classless Inter-Domain Routing) voor IP-adressen wordt niet ondersteund. Zie Microsoft Defender voor Eindpunt waarschuwingscategorieën nu zijn uitgelijnd met MITRE ATT&CK! voor meer informatie.

Netwerkindicatoren bieden geen ondersteuning voor het actietype, BlockAndRemediate. Als een netwerkindicator is ingesteld op BlockAndRemediate, wordt deze niet geïmporteerd.

Bekijk deze video om te leren hoe Microsoft Defender voor Eindpunt meerdere manieren biedt om Indicatoren van inbreuk (IOC's) toe te voegen en te beheren.

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.