Управление индикаторами
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
В области навигации выберите Параметры Индикаторы>конечных> точек(в разделе Правила).
Выберите вкладку типа сущности, которым вы хотите управлять.
Обновите сведения о индикаторе и нажмите кнопку Сохранить или нажмите кнопку Удалить , чтобы удалить сущность из списка.
Импорт списка операций ввода-вывода
Вы также можете отправить CSV-файл, определяющий атрибуты индикаторов, выполняемое действие и другие сведения.
Скачайте пример CSV, чтобы узнать поддерживаемые атрибуты столбца.
В области навигации выберите Параметры Индикаторы>конечных> точек(в разделе Правила).
Выберите вкладку типа сущности, для которую вы хотите импортировать индикаторы.
Выберите Импорт>Выберите файл.
Нажмите Импорт. Повторите для всех файлов, которые вы хотите импортировать.
Нажмите кнопку Готово.
Примечание.
Для каждого пакета можно отправить только 500 индикаторов. При попытке импортировать индикаторы с определенными категориями требуется, чтобы строка была написана в соглашении о регистрах Pascal, и принимает только список категорий, доступный на портале.
В следующей таблице показаны поддерживаемые параметры.
| Параметр | Тип | Описание |
|---|---|---|
| indicatorType | Перечисление | Тип индикатора. Возможные значения: FileSha1, FileSha256, IpAddress, DomainNameи Url. Required |
| indicatorValue | String | Удостоверение сущности Индикатор . Required |
| action | Перечисление | Действие, выполняемое при обнаружении индикатора в организации. Возможные значения: Allowed, Audit, BlockAndRemediate, Warnи Block. Required |
| title | String | Заголовок оповещения индикатора. Required |
| description | String | Описание индикатора. Required |
| expirationTime | DateTimeOffset | Время окончания срока действия индикатора в следующем формате YYYY-MM-DDTHH:MM:SS.0Z. Индикатор удаляется, если истекает срок действия, а все, что происходит во время истечения срока действия, происходит в секундах (SS). Необязательное |
| severity | Перечисление | Серьезность индикатора. Возможные значения: Informational, Low, Medium и High. Необязательное |
| recommendedActions | String | Рекомендуемые действия с оповещением индикатора TI. Необязательное |
| rbacGroups | String | Разделенный запятыми список групп RBAC, к которые будет применяться индикатор. Необязательное |
| category | String | Категория оповещения. Примеры: выполнение и доступ к учетным данным. Необязательное |
| mitretechniques | String | Методы MITRE: код или идентификатор (разделенные запятыми). Дополнительные сведения см. в разделе Тактика предприятия. Необязательное При использовании метода MITRE рекомендуется добавить значение в категорию. |
| GenerateAlert | String | Должно ли быть создано оповещение. Возможные значения: True или False. Необязательное |
Примечание.
Inter-Domain Нотация CIDR для IP-адресов не поддерживается. Дополнительные сведения см. в статье Microsoft Defender для конечной точки категории оповещений теперь согласованы с MITRE ATT&CK!.
Сетевые индикаторы не поддерживают тип действия . BlockAndRemediate Если для сетевого индикатора задано значение BlockAndRemediate, он не будет импортироваться.
Просмотрите это видео, чтобы узнать, как Microsoft Defender для конечной точки предоставляет несколько способов добавления индикаторов компрометации (IoCs) и управления ими.
См. также
- Создание индикаторов
- Создание индикаторов для файлов
- Создание индикаторов для протоколов IP и URL-адресов или доменов
- Создание индикаторов на основе сертификатов
- Исключения для антивирусной программы Microsoft Defender для конечной точки и Microsoft Defender
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.