Dela via


Hantera indikatorer

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

  1. I navigeringsfönstret väljer du Inställningar>Slutpunkter Indikatorer> (under Regler).

  2. Välj fliken för den entitetstyp som du vill hantera.

  3. Uppdatera information om indikatorn och välj Spara eller välj knappen Ta bort om du vill ta bort entiteten från listan.

Importera en lista över IoCs

Du kan också välja att ladda upp en CSV-fil som definierar indikatorernas attribut, vilken åtgärd som ska vidtas och annan information.

Ladda ned exempel-CSV för att känna till de kolumnattribut som stöds.

  1. I navigeringsfönstret väljer du Inställningar>Slutpunkter Indikatorer> (under Regler).

  2. Välj fliken för den entitetstyp som du vill importera indikatorer för.

  3. Välj Importera>Välj fil.

  4. Välj Importera. Upprepa för alla filer som du vill importera.

  5. Välj Klar.

Obs!

Endast 500 indikatorer kan laddas upp för varje batch.

Försök att importera indikatorer med specifika kategorier kräver att strängen skrivs i Pascal-fallkonventionen och endast accepterar kategorilistan som är tillgänglig på portalen.

I följande tabell visas de parametrar som stöds.

Parameter Typ Beskrivning
indicatorType Enum Indikatorns typ. Möjliga värden är: FileSha1, FileSha256, IpAddress, DomainName och URL. Obligatoriskt
indicatorValue Sträng Identitet för indikatorentiteten . Obligatoriskt
åtgärd Enum Den åtgärd som vidtas om indikatorn identifieras i organisationen. Möjliga värden är: Allowed, Audit, BlockAndRemediate, Warn och Block. Obligatoriskt
Titel Sträng Indikatoraviseringsrubrik. Obligatoriskt
beskrivning Sträng Beskrivning av indikatorn. Obligatoriskt
expirationTime DateTimeOffset Förfallotiden för indikatorn i följande format YYYY-MM-DDTHH:MM:SS.0Z. Indikatorn tas bort om förfallotiden går och vad som än händer vid förfallotiden vid sekundvärdet (SS). Valfri
Svårighetsgrad Enum Allvarlighetsgraden för indikatorn. Möjliga värden är: Information, Låg, Medel och Hög. Valfri
recommendedActions Sträng Rekommenderade åtgärder för TI-indikatoravisering. Valfri
rbacGroups Sträng Kommaavgränsad lista över RBAC-grupper som indikatorn skulle tillämpas på. Valfri
Kategori Sträng Aviseringens kategori. Exempel: Körning och åtkomst till autentiseringsuppgifter. Valfri
mitretechniques Sträng MITRE-tekniker kod/id (kommaavgränsad). Mer information finns i Företagstaktik. Valfri Vi rekommenderar att du lägger till ett värde i kategorin när en MITRE-teknik.
GenerateAlert Sträng Om aviseringen ska genereras. Möjliga värden är: Sant eller Falskt. Valfri

Obs!

CIDR-notation (Classless Inter-Domain Routing) för IP-adresser stöds inte. Mer information finns i Microsoft Defender för Endpoint aviseringskategorier nu är justerade med MITRE ATT&CK!.

Titta på den här videon om du vill lära dig hur Microsoft Defender för Endpoint tillhandahåller flera sätt att lägga till och hantera indikatorer för kompromettering (IoCs).

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.