管理指示器
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
在瀏覽窗格中,選>取 [規則) ] 底下的 [設定端點>指標 (]。
選取您想要管理之實體類型的索引標籤。
更新指標的詳細數據,如果您想要從清單中移除實體, 請選取 [儲存] 或選取 [ 刪除 ] 按鈕。
匯入IoC清單
您也可以選擇上傳 CSV 檔案,以定義指標的屬性、要採取的動作,以及其他詳細數據。
下載範例 CSV 以瞭解支持的數據行屬性。
在瀏覽窗格中,選>取 [規則) ] 底下的 [設定端點>指標 (]。
選取您想要匯入指標之實體類型的索引標籤。
選 取 [匯入>選擇檔案]。
選取 [匯入]。 針對您想要匯入的所有檔案重複。
選取 [完成]。
注意事項
每個批次只能上傳 500 個指標。
若要匯入具有特定類別的指標,字串必須以Pascal案例慣例撰寫,而且只接受入口網站中可用的類別清單。
下表顯示支持的參數。
| 參數 | Type | 描述 |
|---|---|---|
| indicatorType | Enum | 指標的類型。 可能的值為: FileSha1、 FileSha256、 IpAddress、 DomainName 和 Url。 Required |
| indicatorValue | 字串 | 指標實體的身分識別。 Required |
| action | Enum | 在組織中探索到指標時所採取的動作。 可能的值為: Allowed、 Audit、 BlockAndRemediate、 Warn 和 Block。 Required |
| title | 字串 | 指標警示標題。 Required |
| 描述 | 字串 | 指標的描述。 Required |
| expirationTime | DateTimeOffset | 指示器的到期時間,格式如下:YYYY-MM-DDTHH:MM:SS.0Z。 如果到期時間已過,且到期時間發生的任何情況會在SS) 值 (秒內發生,則會刪除指標。 Optional |
| 嚴重性 | Enum | 指標的嚴重性。 可能的值為: Informational、 Low、 Medium 和 High。 Optional |
| recommendedActions | 字串 | TI 指標警示建議的動作。 Optional |
| rbacGroups | 字串 | 要套用指標的 RBAC 群組逗號分隔清單。 Optional |
| 類別 | 字串 | 警示的類別。 範例包括:執行和認證存取。 Optional |
| mitretechniques | 字串 | MITRE 技術代碼/標識符 (逗號分隔) 。 如需詳細資訊,請參閱 企業策略。 選 當 MITRE 技術時,建議您在類別中新增值。 |
| GenerateAlert | 字串 | 是否應該產生警示。 可能的值為:True 或 False。 Optional |
注意事項
不支援IP位址的無類別 Inter-Domain 路由 (CIDR) 表示法。 如需詳細資訊,請參閱 適用於端點的 Microsoft Defender 警示類別現在與 MITRE ATT&CK!一致。
觀看這段影片,瞭解 適用於端點的 Microsoft Defender 如何提供多種方式來新增和管理IoC) (入侵指標。
另請參閱
- 建立指示器
- 建立檔案的指示器
- 建立 IP 和 URL/網域的指示器
- 根據憑證 Create 指標
- 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應