Gerir indicadores

Aplica-se a:

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

  1. No painel de navegação, selecione Definições>Indicadores dePontos Finais> (em Regras).

  2. Selecione o separador do tipo de entidade que pretende gerir.

  3. Atualize os detalhes do indicador e selecione Guardar ou selecione o botão Eliminar se quiser remover a entidade da lista.

Importar uma lista de IoCs

Também pode optar por carregar um ficheiro CSV que defina os atributos dos indicadores, a ação a executar e outros detalhes.

Transfira o CSV de exemplo para conhecer os atributos de coluna suportados.

  1. No painel de navegação, selecione Definições>Indicadores dePontos Finais> (em Regras).

  2. Selecione o separador do tipo de entidade para o qual pretende importar indicadores.

  3. Selecione Importar>Escolher ficheiro.

  4. Selecione Importar. Repita para todos os ficheiros que pretende importar.

  5. Selecione Concluído.

Nota

Apenas podem ser carregados 500 indicadores para cada lote. Tentar importar indicadores com categorias específicas requer que a cadeia seja escrita na convenção do caso Pascal e só aceita a lista de categorias disponível no portal.

A tabela seguinte mostra os parâmetros suportados.

Parâmetro Tipo Descrição
indicatorType Enumeração Tipo do indicador. Os valores possíveis são: FileSha1, , FileSha256IpAddress, , DomainNamee Url.
Obrigatório
indicatorValue Cadeia Identidade da entidade Indicador .
Obrigatório
ação Enumeração A ação que é efetuada se o indicador for detetado na organização. Os valores possíveis são: Allowed, , AuditBlockAndRemediate, , Warne Block.
Obrigatório
título Cadeia Título do alerta de indicador.
Obrigatório
descrição Cadeia Descrição do indicador.
Obrigatório
expirationTime DateTimeOffset O tempo de expiração do indicador no seguinte formato YYYY-MM-DDTHH:MM:SS.0Z. O indicador é eliminado se o tempo de expiração passar e o que acontecer no tempo de expiração ocorrer no valor de segundos (SS).
Opcional
gravidade Enumeração A gravidade do indicador. Os valores possíveis são: Informational, Low, Mediume High.
Opcional
recommendedActions Cadeia Ações recomendadas do alerta do indicador TI.
Opcional
rbacGroups Cadeia Lista separada por vírgulas de grupos RBAC a que o indicador seria aplicado.
Opcional
categoria Cadeia Categoria do alerta. Os exemplos incluem: Execução e acesso a credenciais.
Opcional
mitretechniques Cadeia MITRE techniques code/id (separado por vírgulas). Para obter mais informações, veja Táticas empresariais.
Opcional
É recomendado adicionar um valor na categoria quando uma técnica MITRE.
GenerateAlert Cadeia Se o alerta deve ser gerado. Os Valores Possíveis são: True ou False.
Opcional

Nota

A notação CIDR (Classless Inter-Domain Routing) para endereços IP não é suportada. Para obter mais informações, veja Microsoft Defender para Endpoint categorias de alerta estão agora alinhadas com MITRE ATT&CK!.

Os indicadores de rede não suportam o tipo de ação . BlockAndRemediate Se um indicador de rede estiver definido como BlockAndRemediate, não será importado.

Veja este vídeo para saber como Microsoft Defender para Endpoint fornece várias formas de adicionar e gerir Indicadores de compromisso (IoCs).

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.