Hantera indikatorer
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
I navigeringsfönstret väljer du Inställningar>Slutpunkter Indikatorer> (under Regler).
Välj fliken för den entitetstyp som du vill hantera.
Uppdatera information om indikatorn och välj Spara eller välj knappen Ta bort om du vill ta bort entiteten från listan.
Importera en lista över IoCs
Du kan också välja att ladda upp en CSV-fil som definierar indikatorernas attribut, vilken åtgärd som ska vidtas och annan information.
Ladda ned exempel-CSV för att känna till de kolumnattribut som stöds.
I navigeringsfönstret väljer du Inställningar>Slutpunkter Indikatorer> (under Regler).
Välj fliken för den entitetstyp som du vill importera indikatorer för.
Välj Importera>Välj fil.
Välj Importera. Upprepa för alla filer som du vill importera.
Välj Klar.
Obs!
Endast 500 indikatorer kan laddas upp för varje batch.
Försök att importera indikatorer med specifika kategorier kräver att strängen skrivs i Pascal-fallkonventionen och endast accepterar kategorilistan som är tillgänglig på portalen.
I följande tabell visas de parametrar som stöds.
| Parameter | Typ | Beskrivning |
|---|---|---|
| indicatorType | Enum | Indikatorns typ. Möjliga värden är: FileSha1, FileSha256, IpAddress, DomainName och URL. Obligatoriskt |
| indicatorValue | Sträng | Identitet för indikatorentiteten . Obligatoriskt |
| åtgärd | Enum | Den åtgärd som vidtas om indikatorn identifieras i organisationen. Möjliga värden är: Allowed, Audit, BlockAndRemediate, Warn och Block. Obligatoriskt |
| Titel | Sträng | Indikatoraviseringsrubrik. Obligatoriskt |
| beskrivning | Sträng | Beskrivning av indikatorn. Obligatoriskt |
| expirationTime | DateTimeOffset | Förfallotiden för indikatorn i följande format YYYY-MM-DDTHH:MM:SS.0Z. Indikatorn tas bort om förfallotiden går och vad som än händer vid förfallotiden vid sekundvärdet (SS). Valfri |
| Svårighetsgrad | Enum | Allvarlighetsgraden för indikatorn. Möjliga värden är: Information, Låg, Medel och Hög. Valfri |
| recommendedActions | Sträng | Rekommenderade åtgärder för TI-indikatoravisering. Valfri |
| rbacGroups | Sträng | Kommaavgränsad lista över RBAC-grupper som indikatorn skulle tillämpas på. Valfri |
| Kategori | Sträng | Aviseringens kategori. Exempel: Körning och åtkomst till autentiseringsuppgifter. Valfri |
| mitretechniques | Sträng | MITRE-tekniker kod/id (kommaavgränsad). Mer information finns i Företagstaktik. Valfri Vi rekommenderar att du lägger till ett värde i kategorin när en MITRE-teknik. |
| GenerateAlert | Sträng | Om aviseringen ska genereras. Möjliga värden är: Sant eller Falskt. Valfri |
Obs!
CIDR-notation (Classless Inter-Domain Routing) för IP-adresser stöds inte. Mer information finns i Microsoft Defender för Endpoint aviseringskategorier nu är justerade med MITRE ATT&CK!.
Titta på den här videon om du vill lära dig hur Microsoft Defender för Endpoint tillhandahåller flera sätt att lägga till och hantera indikatorer för kompromettering (IoCs).
Se även
- Skapa indikatorer
- Skapa indikatorer för filer
- Skapa indikatorer för IP:er och URL:er/domäner
- Skapa indikatorer baserade på certifikat
- Undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för