Gerir indicadores
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
No painel de navegação, selecione Definições>Indicadores dePontos Finais> (em Regras).
Selecione o separador do tipo de entidade que pretende gerir.
Atualize os detalhes do indicador e selecione Guardar ou selecione o botão Eliminar se quiser remover a entidade da lista.
Importar uma lista de IoCs
Também pode optar por carregar um ficheiro CSV que defina os atributos dos indicadores, a ação a executar e outros detalhes.
Transfira o CSV de exemplo para conhecer os atributos de coluna suportados.
No painel de navegação, selecione Definições>Indicadores dePontos Finais> (em Regras).
Selecione o separador do tipo de entidade para o qual pretende importar indicadores.
Selecione Importar>Escolher ficheiro.
Selecione Importar. Repita para todos os ficheiros que pretende importar.
Selecione Concluído.
Nota
Apenas podem ser carregados 500 indicadores para cada lote. Tentar importar indicadores com categorias específicas requer que a cadeia seja escrita na convenção do caso Pascal e só aceita a lista de categorias disponível no portal.
A tabela seguinte mostra os parâmetros suportados.
| Parâmetro | Tipo | Descrição |
|---|---|---|
| indicatorType | Enumeração | Tipo do indicador. Os valores possíveis são: FileSha1, , FileSha256IpAddress, , DomainNamee Url. Obrigatório |
| indicatorValue | Cadeia | Identidade da entidade Indicador . Obrigatório |
| ação | Enumeração | A ação que é efetuada se o indicador for detetado na organização. Os valores possíveis são: Allowed, , AuditBlockAndRemediate, , Warne Block. Obrigatório |
| título | Cadeia | Título do alerta de indicador. Obrigatório |
| descrição | Cadeia | Descrição do indicador. Obrigatório |
| expirationTime | DateTimeOffset | O tempo de expiração do indicador no seguinte formato YYYY-MM-DDTHH:MM:SS.0Z. O indicador é eliminado se o tempo de expiração passar e o que acontecer no tempo de expiração ocorrer no valor de segundos (SS). Opcional |
| gravidade | Enumeração | A gravidade do indicador. Os valores possíveis são: Informational, Low, Mediume High. Opcional |
| recommendedActions | Cadeia | Ações recomendadas do alerta do indicador TI. Opcional |
| rbacGroups | Cadeia | Lista separada por vírgulas de grupos RBAC a que o indicador seria aplicado. Opcional |
| categoria | Cadeia | Categoria do alerta. Os exemplos incluem: Execução e acesso a credenciais. Opcional |
| mitretechniques | Cadeia | MITRE techniques code/id (separado por vírgulas). Para obter mais informações, veja Táticas empresariais. Opcional É recomendado adicionar um valor na categoria quando uma técnica MITRE. |
| GenerateAlert | Cadeia | Se o alerta deve ser gerado. Os Valores Possíveis são: True ou False. Opcional |
Nota
A notação CIDR (Classless Inter-Domain Routing) para endereços IP não é suportada. Para obter mais informações, veja Microsoft Defender para Endpoint categorias de alerta estão agora alinhadas com MITRE ATT&CK!.
Os indicadores de rede não suportam o tipo de ação . BlockAndRemediate Se um indicador de rede estiver definido como BlockAndRemediate, não será importado.
Veja este vídeo para saber como Microsoft Defender para Endpoint fornece várias formas de adicionar e gerir Indicadores de compromisso (IoCs).
Consulte também
- Criar indicadores
- Criar indicadores para ficheiros
- Criar indicadores para IPs e URLs/domínios
- Criar indicadores com base em certificados
- Exclusões do Antivírus de Microsoft Defender para Endpoint e Microsoft Defender
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.