Zarządzaj wskaźnikami
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
W okienku nawigacji wybierz pozycję Ustawienia>Wskaźniki punktów końcowych> (w obszarze Reguły).
Wybierz kartę typu jednostki, którą chcesz zarządzać.
Zaktualizuj szczegóły wskaźnika i wybierz pozycję Zapisz lub wybierz przycisk Usuń , jeśli chcesz usunąć jednostkę z listy.
Importowanie listy IoCs
Możesz również przekazać plik CSV, który definiuje atrybuty wskaźników, akcję do wykonania i inne szczegóły.
Pobierz przykładowy plik CSV, aby poznać obsługiwane atrybuty kolumn.
W okienku nawigacji wybierz pozycję Ustawienia>Wskaźniki punktów końcowych> (w obszarze Reguły).
Wybierz kartę typu jednostki, dla którą chcesz zaimportować wskaźniki.
Wybierz pozycję Importuj>Wybierz plik.
Wybierz pozycję Importuj. Powtórz dla wszystkich plików, które chcesz zaimportować.
Wybierz pozycję Gotowe.
Uwaga
Dla każdej partii można przekazać tylko 500 wskaźników. Próba zaimportowania wskaźników z określonymi kategoriami wymaga, aby ciąg został zapisany w konwencji przypadków Pascala i akceptował tylko listę kategorii dostępną w portalu.
W poniższej tabeli przedstawiono obsługiwane parametry.
| Parametr | Wpisać | Opis |
|---|---|---|
| indicatorType | Wyliczenie | Typ wskaźnika. Możliwe wartości to: FileSha1, FileSha256, IpAddress, DomainName, i Url. Wymagany |
| indicatorValue | Ciąg | Tożsamość jednostki Wskaźnik . Wymagany |
| akcja | Wyliczenie | Akcja wykonywana w przypadku wykrycia wskaźnika w organizacji. Możliwe wartości to: Allowed, Audit, BlockAndRemediate, Warn, i Block. Wymagany |
| tytuł | Ciąg | Tytuł alertu wskaźnika. Wymagany |
| opis | Ciąg | Opis wskaźnika. Wymagany |
| expirationTime | DateTimeOffset | Czas wygaśnięcia wskaźnika w następującym formacie YYYY-MM-DDTHH:MM:SS.0Z. Wskaźnik zostanie usunięty, jeśli czas wygaśnięcia upłynął, a cokolwiek się stanie w czasie wygaśnięcia, przypada na wartość sekund (SS). Fakultatywny |
| dotkliwość | Wyliczenie | Ważność wskaźnika. Możliwe wartości to: Informational, Low, Medium, i High. Fakultatywny |
| recommendedActions | Ciąg | Zalecane akcje alertu wskaźnika TI. Fakultatywny |
| rbacGroups | Ciąg | Rozdzielana przecinkami lista grup RBAC, do których wskaźnik zostanie zastosowany. Fakultatywny |
| kategoria | Ciąg | Kategoria alertu. Przykłady: wykonywanie i dostęp poświadczeń. Fakultatywny |
| mitretechniques | Ciąg | Kod/identyfikator technik MITRE (rozdzielany przecinkami). Aby uzyskać więcej informacji, zobacz Taktyka przedsiębiorstwa. Fakultatywny Zaleca się dodanie wartości w kategorii, gdy technika MITRE. |
| GenerateAlert | Ciąg | Czy alert powinien zostać wygenerowany. Możliwe wartości to: True lub False. Fakultatywny |
Uwaga
Bezklasowa notacja routingu Inter-Domain (CIDR) dla adresów IP nie jest obsługiwana. Aby uzyskać więcej informacji, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender kategorie alertów są teraz zgodne z programem MITRE ATT&CK!.
Wskaźniki sieciowe nie obsługują typu akcji . BlockAndRemediate Jeśli wskaźnik sieci jest ustawiony na BlockAndRemediatewartość , nie zostanie zaimportowany.
Obejrzyj ten film wideo, aby dowiedzieć się, jak Ochrona punktu końcowego w usłudze Microsoft Defender oferuje wiele sposobów dodawania wskaźników naruszenia zabezpieczeń i zarządzania nimi.
Zobacz też
- Utwórz wskaźniki
- Utwórz wskaźniki dla plików
- Utwórz wskaźniki adresów IP i adresów URL/domen
- Tworzenie wskaźników na podstawie certyfikatów
- Wykluczenia dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.