Hantera indikatorer
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
I navigeringsfönstret väljer du Inställningar>Slutpunkter Indikatorer> (under Regler).
Välj fliken för den entitetstyp som du vill hantera.
Uppdatera information om indikatorn och välj Spara eller välj knappen Ta bort om du vill ta bort entiteten från listan.
Importera en lista över IoCs
Du kan också välja att ladda upp en CSV-fil som definierar indikatorernas attribut, vilken åtgärd som ska vidtas och annan information.
Ladda ned exempel-CSV för att känna till de kolumnattribut som stöds.
I navigeringsfönstret väljer du Inställningar>Slutpunkter Indikatorer> (under Regler).
Välj fliken för den entitetstyp som du vill importera indikatorer för.
Välj Importera>Välj fil.
Välj Importera. Upprepa för alla filer som du vill importera.
Välj Klar.
Obs!
Endast 500 indikatorer kan laddas upp för varje batch. Försök att importera indikatorer med specifika kategorier kräver att strängen skrivs i Pascal-fallkonventionen och endast accepterar kategorilistan som är tillgänglig på portalen.
I följande tabell visas de parametrar som stöds.
| Parameter | Typ | Beskrivning |
|---|---|---|
| indicatorType | Räkna upp | Indikatorns typ. Möjliga värden är: FileSha1, FileSha256, IpAddress, DomainNameoch Url. Obligatoriskt |
| indicatorValue | Sträng | Identitet för indikatorentiteten . Obligatoriskt |
| åtgärd | Räkna upp | Den åtgärd som vidtas om indikatorn identifieras i organisationen. Möjliga värden är: Allowed, Audit, BlockAndRemediate, Warnoch Block. Obligatoriskt |
| titel | Sträng | Indikatoraviseringsrubrik. Obligatoriskt |
| beskrivning | Sträng | Beskrivning av indikatorn. Obligatoriskt |
| expirationTime | DateTimeOffset | Förfallotiden för indikatorn i följande format YYYY-MM-DDTHH:MM:SS.0Z. Indikatorn tas bort om förfallotiden går och vad som än händer vid förfallotiden vid sekundvärdet (SS). Valfri |
| stränghet | Räkna upp | Allvarlighetsgraden för indikatorn. Möjliga värden är: Informational, Low, Mediumoch High. Valfri |
| recommendedActions | Sträng | Rekommenderade åtgärder för TI-indikatoravisering. Valfri |
| rbacGroups | Sträng | Kommaavgränsad lista över RBAC-grupper som indikatorn skulle tillämpas på. Valfri |
| kategori | Sträng | Aviseringens kategori. Exempel: Körning och åtkomst till autentiseringsuppgifter. Valfri |
| mitretechniques | Sträng | MITRE-tekniker kod/id (kommaavgränsad). Mer information finns i Företagstaktik. Valfri Vi rekommenderar att du lägger till ett värde i kategorin när en MITRE-teknik. |
| GenerateAlert | Sträng | Om aviseringen ska genereras. Möjliga värden är: True eller False. Valfri |
Obs!
CIDR-notation (Classless Inter-Domain Routing) för IP-adresser stöds inte. Mer information finns i Microsoft Defender för Endpoint aviseringskategorier nu är justerade med MITRE ATT&CK!.
Nätverksindikatorer stöder inte åtgärdstypen . BlockAndRemediate Om en nätverksindikator är inställd på BlockAndRemediateimporteras den inte.
Titta på den här videon om du vill lära dig hur Microsoft Defender för Endpoint tillhandahåller flera sätt att lägga till och hantera indikatorer för kompromettering (IoCs).
Se även
- Skapa indikatorer
- Skapa indikatorer för filer
- Skapa indikatorer för IP:er och URL:er/domäner
- Skapa indikatorer baserat på certifikat
- Undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.