Zarządzaj wskaźnikami
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
W okienku nawigacji wybierz pozycję Ustawienia>Wskaźniki punktów końcowych> (w obszarze Reguły).
Wybierz kartę typu jednostki, którą chcesz zarządzać.
Zaktualizuj szczegóły wskaźnika i wybierz pozycję Zapisz lub wybierz przycisk Usuń , jeśli chcesz usunąć jednostkę z listy.
Importowanie listy IoCs
Możesz również przekazać plik CSV, który definiuje atrybuty wskaźników, akcję do wykonania i inne szczegóły.
Pobierz przykładowy plik CSV, aby poznać obsługiwane atrybuty kolumn.
W okienku nawigacji wybierz pozycję Ustawienia>Wskaźniki punktów końcowych> (w obszarze Reguły).
Wybierz kartę typu jednostki, dla którą chcesz zaimportować wskaźniki.
Wybierz pozycję Importuj>Wybierz plik.
Wybierz pozycję Importuj. Powtórz dla wszystkich plików, które chcesz zaimportować.
Wybierz pozycję Gotowe.
Uwaga
Dla każdej partii można przekazać tylko 500 wskaźników.
Próba zaimportowania wskaźników z określonymi kategoriami wymaga, aby ciąg został zapisany w konwencji przypadków Pascala i akceptował tylko listę kategorii dostępną w portalu.
W poniższej tabeli przedstawiono obsługiwane parametry.
Parametr | Wpisać | Opis |
---|---|---|
indicatorType | Enum | Typ wskaźnika. Możliwe wartości to: FileSha1, FileSha256, IpAddress, DomainName i Url. Wymagany |
indicatorValue | Ciąg | Tożsamość jednostki Wskaźnik . Wymagany |
Działania | Enum | Akcja wykonywana w przypadku wykrycia wskaźnika w organizacji. Możliwe wartości to: Dozwolone, Inspekcja, BlockAndRemediate, Warn i Block. Wymagany |
Tytuł | Ciąg | Tytuł alertu wskaźnika. Wymagany |
Opis | Ciąg | Opis wskaźnika. Wymagany |
expirationTime | Datetimeoffset | Czas wygaśnięcia wskaźnika w następującym formacie RRRR-MM-DDTHH:MM:SS.0Z. Wskaźnik zostanie usunięty, jeśli czas wygaśnięcia upłynął, a cokolwiek się stanie w czasie wygaśnięcia, przypada na wartość sekund (SS). Opcjonalne |
Ważności | Enum | Ważność wskaźnika. Możliwe wartości to: Informacyjne, Niskie, Średnie i Wysokie. Opcjonalne |
recommendedActions | Ciąg | Zalecane akcje alertu wskaźnika TI. Opcjonalne |
rbacGroups | Ciąg | Rozdzielana przecinkami lista grup RBAC, do których wskaźnik zostanie zastosowany. Opcjonalne |
Kategorii | Ciąg | Kategoria alertu. Przykłady: wykonywanie i dostęp poświadczeń. Opcjonalne |
mitretechniques | Ciąg | Kod/identyfikator technik MITRE (rozdzielany przecinkami). Aby uzyskać więcej informacji, zobacz Taktyka przedsiębiorstwa. Opcjonalne Zaleca się dodanie wartości w kategorii, gdy technika MITRE. |
GenerateAlert | Ciąg | Czy alert powinien zostać wygenerowany. Możliwe wartości to: True lub False. Opcjonalne |
Uwaga
Bezklasowa notacja routingu Inter-Domain (CIDR) dla adresów IP nie jest obsługiwana. Aby uzyskać więcej informacji, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender kategorie alertów są teraz zgodne z programem MITRE ATT&CK!.
Obejrzyj ten film wideo, aby dowiedzieć się, jak Ochrona punktu końcowego w usłudze Microsoft Defender oferuje wiele sposobów dodawania wskaźników naruszenia zabezpieczeń i zarządzania nimi.
Zobacz też
- Utwórz wskaźniki
- Utwórz wskaźniki dla plików
- Utwórz wskaźniki adresów IP i adresów URL/domen
- Twórca wskaźniki oparte na certyfikatach
- Wykluczenia dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.