Gerenciar indicadores
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
No painel de navegação, selecione Definições>Indicadores dePontos Finais> (em Regras).
Selecione o separador do tipo de entidade que pretende gerir.
Atualize os detalhes do indicador e selecione Guardar ou selecione o botão Eliminar se quiser remover a entidade da lista.
Importar uma lista de IoCs
Também pode optar por carregar um ficheiro CSV que defina os atributos dos indicadores, a ação a executar e outros detalhes.
Transfira o CSV de exemplo para conhecer os atributos de coluna suportados.
No painel de navegação, selecione Definições>Indicadores dePontos Finais> (em Regras).
Selecione o separador do tipo de entidade para o qual pretende importar indicadores.
Selecione Importar>Escolher ficheiro.
Selecione Importar. Repita para todos os ficheiros que pretende importar.
Selecione Concluído.
Observação
Apenas podem ser carregados 500 indicadores para cada lote. Tentar importar indicadores com categorias específicas requer que a cadeia seja escrita na convenção do caso Pascal e só aceita a lista de categorias disponível no portal.
A tabela seguinte mostra os parâmetros suportados.
| Parâmetro | Tipo | Descrição |
|---|---|---|
| indicatorType | Enum | Tipo do indicador. Os valores possíveis são: FileSha1, , FileSha256IpAddress, , DomainNamee Url. Required |
| indicatorValue | Cadeia de caracteres | Identidade da entidade Indicador . Required |
| ação | Enum | A ação que é efetuada se o indicador for detetado na organização. Os valores possíveis são: Allowed, , AuditBlockAndRemediate, , Warne Block. Required |
| title | Cadeia de caracteres | Título do alerta de indicador. Required |
| description | Cadeia de caracteres | Descrição do indicador. Required |
| expirationTime | DateTimeOffset | O tempo de expiração do indicador no seguinte formato YYYY-MM-DDTHH:MM:SS.0Z. O indicador é eliminado se o tempo de expiração passar e o que acontecer no tempo de expiração ocorrer no valor de segundos (SS). Opcional |
| severity | Enum | A gravidade do indicador. Os valores possíveis são: Informational, Low, Medium, e High. Opcional |
| recommendedActions | Cadeia de caracteres | Ações recomendadas do alerta do indicador TI. Opcional |
| rbacGroups | Cadeia de caracteres | Lista separada por vírgulas de grupos RBAC a que o indicador seria aplicado. Opcional |
| category | Cadeia de caracteres | Categoria do alerta. Os exemplos incluem: Execução e acesso a credenciais. Opcional |
| mitretechniques | Cadeia de caracteres | MITRE techniques code/id (separado por vírgulas). Para obter mais informações, veja Táticas empresariais. Opcional É recomendado adicionar um valor na categoria quando uma técnica MITRE. |
| GenerateAlert | Cadeia de caracteres | Se o alerta deve ser gerado. Os Valores Possíveis são: True ou False. Opcional |
Observação
A notação CIDR (Classless Inter-Domain Routing) para endereços IP não é suportada. Para obter mais informações, veja Microsoft Defender para Ponto de Extremidade categorias de alerta estão agora alinhadas com MITRE ATT&CK!.
Os indicadores de rede não suportam o tipo de ação . BlockAndRemediate Se um indicador de rede estiver definido como BlockAndRemediate, não será importado.
Veja este vídeo para saber como Microsoft Defender para Ponto de Extremidade fornece várias formas de adicionar e gerir Indicadores de compromisso (IoCs).
Confira também
- Criar indicadores
- Criar indicadores para arquivos
- Criar indicadores para IPs e URLs/domínios
- Criar indicadores com base em certificados
- Exclusões do Antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.