Управление индикаторами
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
В области навигации выберите Параметры Индикаторы>конечных> точек(в разделе Правила).
Выберите вкладку типа сущности, которым вы хотите управлять.
Обновите сведения о индикаторе и нажмите кнопку Сохранить или нажмите кнопку Удалить , чтобы удалить сущность из списка.
Импорт списка операций ввода-вывода
Вы также можете отправить CSV-файл, определяющий атрибуты индикаторов, выполняемое действие и другие сведения.
Скачайте пример CSV, чтобы узнать поддерживаемые атрибуты столбца.
В области навигации выберите Параметры Индикаторы>конечных> точек(в разделе Правила).
Выберите вкладку типа сущности, для которую вы хотите импортировать индикаторы.
Выберите Импорт>Выберите файл.
Нажмите Импорт. Повторите для всех файлов, которые вы хотите импортировать.
Нажмите кнопку Готово.
Примечание.
Для каждого пакета можно отправить только 500 индикаторов.
При попытке импортировать индикаторы с определенными категориями требуется, чтобы строка была написана в соглашении о регистрах Pascal, и принимает только список категорий, доступный на портале.
В следующей таблице показаны поддерживаемые параметры.
Параметр | Тип | Описание |
---|---|---|
indicatorType | Перечисление | Тип индикатора. Возможные значения: FileSha1, FileSha256, IpAddress, DomainName и URL-адрес. Required |
indicatorValue | String | Удостоверение сущности Индикатор . Required |
action | Перечисление | Действие, выполняемое при обнаружении индикатора в организации. Возможные значения: Allowed, Audit, BlockAndRemediate, Warn и Block. Required |
title | String | Заголовок оповещения индикатора. Required |
description | String | Описание индикатора. Required |
expirationTime | DateTimeOffset | Время окончания срока действия индикатора в следующем формате ГГГГ-ММ-ДДТЧЧ:ММ:СС.0З. Индикатор удаляется, если истекает срок действия, а все, что происходит во время истечения срока действия, происходит в секундах (SS). Необязательное |
severity | Перечисление | Серьезность индикатора. Возможные значения: Информационный, Низкий, Средний и Высокий. Необязательное |
recommendedActions | String | Рекомендуемые действия с оповещением индикатора TI. Необязательное |
rbacGroups | String | Разделенный запятыми список групп RBAC, к которые будет применяться индикатор. Необязательное |
category | String | Категория оповещения. Примеры: выполнение и доступ к учетным данным. Необязательное |
mitretechniques | String | Методы MITRE: код или идентификатор (разделенные запятыми). Дополнительные сведения см. в разделе Тактика предприятия. Дополнительные При использовании метода MITRE рекомендуется добавить значение в категорию. |
GenerateAlert | String | Должно ли быть создано оповещение. Возможные значения: True или False. Необязательное |
Примечание.
Inter-Domain Нотация CIDR для IP-адресов не поддерживается. Дополнительные сведения см. в статье Microsoft Defender для конечной точки категории оповещений теперь согласованы с MITRE ATT&CK!.
Просмотрите это видео, чтобы узнать, как Microsoft Defender для конечной точки предоставляет несколько способов добавления индикаторов компрометации (IoCs) и управления ими.
См. также
- Создание индикаторов
- Создание индикаторов для файлов
- Создание индикаторов для протоколов IP и URL-адресов или доменов
- Create индикаторы на основе сертификатов
- Исключения для антивирусной программы Microsoft Defender для конечной точки и Microsoft Defender
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по