Gerenciar indicadores
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
No painel de navegação, selecione Configurações>Indicadoresde Pontos> de Extremidade (em Regras).
Selecione a guia do tipo de entidade que você deseja gerenciar.
Atualize os detalhes do indicador e selecione Salvar ou selecione o botão Excluir se quiser remover a entidade da lista.
Importar uma lista de IoCs
Você também pode optar por carregar um arquivo CSV que define os atributos dos indicadores, a ação a ser tomada e outros detalhes.
Baixe o CSV de exemplo para saber os atributos de coluna com suporte.
No painel de navegação, selecione Configurações>Indicadoresde Pontos> de Extremidade (em Regras).
Selecione a guia do tipo de entidade para a qual você gostaria de importar indicadores.
Selecione Importar>Escolher arquivo.
Selecione Importar. Repita para todos os arquivos que você gostaria de importar.
Selecione Concluído.
Observação
Somente 500 indicadores podem ser carregados para cada lote.
Tentar importar indicadores com categorias específicas requer que a cadeia de caracteres seja gravada na convenção de casos pascal e aceita apenas a lista de categorias disponível no portal.
A tabela a seguir mostra os parâmetros com suporte.
Parâmetro | Tipo | Descrição |
---|---|---|
indicatorType | Enum | Tipo do indicador. Os valores possíveis são: FileSha1, FileSha256, IpAddress, DomainName e Url. Required |
indicatorValue | Cadeia de caracteres | Identidade da entidade Indicador . Required |
ação | Enum | A ação que será tomada se o indicador for descoberto na organização. Os valores possíveis são: Permitido, Audit, BlockAndRemediate, Warn e Block. Required |
title | Cadeia de caracteres | Título de alerta de indicador. Required |
description | Cadeia de caracteres | Descrição do indicador. Required |
expirationTime | DateTimeOffset | O tempo de expiração do indicador no seguinte formato YYYY-MM-DDTHH:MM:SS.0Z. O indicador será excluído se o tempo de expiração passar e o que acontecer no tempo de expiração ocorrer no valor SS (segundos). Opcional |
severity | Enum | A gravidade do indicador. Os valores possíveis são: informativos, baixos, médios e altos. Opcional |
recommendedActions | Cadeia de caracteres | Ações recomendadas de alerta de indicador de TI. Opcional |
rbacGroups | Cadeia de caracteres | Lista separada por vírgula de grupos RBAC aos qual o indicador seria aplicado. Opcional |
category | Cadeia de caracteres | Categoria do alerta. Exemplos incluem: execução e acesso à credencial. Opcional |
mitretechniques | Cadeia de caracteres | Código/id de técnicas MITRE (vírgula separada). Para obter mais informações, consulte Táticas enterprise. Opcional É recomendável adicionar um valor na categoria quando uma técnica MITRE. |
GenerateAlert | Cadeia de caracteres | Se o alerta deve ser gerado. Os valores possíveis são: True ou False. Opcional |
Observação
Não há suporte para a notação cidr (roteamento de Inter-Domain sem classe) para endereços IP. Para obter mais informações, consulte Microsoft Defender para Ponto de Extremidade categorias de alerta agora estão alinhadas com o MITRE ATT&CK!.
Assista a este vídeo para saber como Microsoft Defender para Ponto de Extremidade fornece várias maneiras de adicionar e gerenciar indicadores de comprometimento (IoCs).
Confira também
- Criar indicadores
- Criar indicadores para arquivos
- Criar indicadores para IPs e URLs/domínios
- Create indicadores com base em certificados
- Exclusões para antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.