Administrar indicadores

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

  1. En el panel de navegación, seleccione Configuración>Indicadores depuntos> de conexión (en Reglas).

  2. Seleccione la pestaña del tipo de entidad que desea administrar.

  3. Actualice los detalles del indicador y seleccione Guardar o seleccione el botón Eliminar si desea quitar la entidad de la lista.

Importación de una lista de ioC

También puede elegir cargar un archivo CSV que defina los atributos de los indicadores, la acción que se va a realizar y otros detalles.

Descargue el archivo CSV de ejemplo para conocer los atributos de columna admitidos.

  1. En el panel de navegación, seleccione Configuración>Indicadores depuntos> de conexión (en Reglas).

  2. Seleccione la pestaña del tipo de entidad para la que desea importar indicadores.

  3. Seleccione Importar>Elija archivo.

  4. Seleccione Importar. Repita la operación para todos los archivos que quiera importar.

  5. Seleccione Listo.

Nota:

Solo se pueden cargar 500 indicadores para cada lote. Intentar importar indicadores con categorías específicas requiere que la cadena se escriba en la convención de casos pascal y solo acepta la lista de categorías disponible en el portal.

En la tabla siguiente se muestran los parámetros admitidos.

Parámetro Tipo Descripción
indicatorType Enum Tipo del indicador. Los valores posibles son: FileSha1, FileSha256, IpAddress, DomainNamey Url.
Required
indicatorValue Cadena Identidad de la entidad Indicator .
Required
acción Enum Acción que se realiza si el indicador se detecta en la organización. Los valores posibles son: Allowed, Audit, BlockAndRemediate, Warny Block.
Required
title Cadena Título de alerta de indicador.
Required
description Cadena Descripción del indicador.
Required
expirationTime DateTimeOffset La hora de expiración del indicador en el formato YYYY-MM-DDTHH:MM:SS.0Zsiguiente. El indicador se elimina si transcurre el tiempo de expiración y lo que ocurra en el momento de expiración se produce en el valor de segundos (SS).
Optional
severity Enum Gravedad del indicador. Los valores posibles son Informational, Low, Medium y High
Optional
recommendedActions Cadena Acciones recomendadas de alerta de indicador de TI.
Optional
rbacGroups Cadena Lista separada por comas de grupos de RBAC a los que se aplicaría el indicador.
Optional
categoría Cadena Categoría de la alerta. Algunos ejemplos son: Ejecución y acceso a credenciales.
Optional
mitretechniques Cadena Código/id de técnicas de MITRE (separados por comas). Para obtener más información, consulte Tácticas empresariales.
Optional
Se recomienda agregar un valor en la categoría cuando se usa una técnica MITRE.
GenerateAlert Cadena Si se debe generar la alerta. Los valores posibles son: True o False.
Optional

Nota:

No se admite la notación de enrutamiento de Inter-Domain sin clase (CIDR) para direcciones IP. Para obtener más información, consulte Microsoft Defender para punto de conexión categorías de alertas ahora están alineadas con MITRE ATT&CK!.

Los indicadores de red no admiten el tipo de acción , BlockAndRemediate. Si un indicador de red está establecido en BlockAndRemediate, no se importará.

Vea este vídeo para obtener información sobre cómo Microsoft Defender para punto de conexión proporciona varias maneras de agregar y administrar indicadores de riesgo (IO).

Vea también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.