Administrer indikatorer
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Vælg Indstillinger>Slutpunktsindikatorer> (under Regler) i navigationsruden.
Vælg fanen for den objekttype, du vil administrere.
Opdater oplysningerne om indikatoren, og vælg Gem eller vælg knappen Slet , hvis du vil fjerne enheden fra listen.
Importér en liste over IoCs
Du kan også vælge at uploade en CSV-fil, der definerer indikatorernes attributter, den handling, der skal udføres, og andre oplysninger.
Download CSV-eksemplet for at få kendskab til de understøttede kolonneattributter.
Vælg Indstillinger>Slutpunktsindikatorer> (under Regler) i navigationsruden.
Vælg fanen for den objekttype, du vil importere indikatorer for.
Vælg Importér>Vælg fil.
Vælg Importér. Gentag for alle de filer, du vil importere.
Vælg Udført.
Bemærk!
Der kan kun uploades 500 indikatorer for hvert batch. Hvis du forsøger at importere indikatorer med bestemte kategorier, skal strengen skrives i Pascal-sagskonventionen og accepterer kun den kategoriliste, der er tilgængelig på portalen.
I følgende tabel vises de understøttede parametre.
| Parameter | Type | Beskrivelse |
|---|---|---|
| indicatorType | Optæller | Indikatorens type. De mulige værdier er: FileSha1, FileSha256, IpAddress, DomainNameog Url. Påkrævet |
| indicatorValue | String | Id for indikatorenheden . Påkrævet |
| handling | Optæller | Den handling, der udføres, hvis indikatoren registreres i organisationen. De mulige værdier er: Allowed, Audit, BlockAndRemediate, Warnog Block. Påkrævet |
| titel | String | Titel på indikatoradvarsel. Påkrævet |
| beskrivelse | String | Beskrivelse af indikatoren. Påkrævet |
| expirationTime | DateTimeOffset | Indikatorens udløbstid i følgende format YYYY-MM-DDTHH:MM:SS.0Z. Indikatoren slettes, hvis udløbstiden passerer, og det, der sker på udløbstidspunktet, sker ved sekundværdien (SS). Valgfrit |
| alvorlighed | Optæller | Indikatorens alvorsgrad. De mulige værdier er: Informational, Low, Mediumog High. Valgfrit |
| recommendedActions | String | Anbefalede handlinger for ti-indikatorbeskeder. Valgfrit |
| rbacGroups | String | Kommasepareret liste over RBAC-grupper, som indikatoren anvendes på. Valgfrit |
| kategori | String | Kategorien for beskeden. Eksempler omfatter: Udførelse og adgang til legitimationsoplysninger. Valgfrit |
| mitretechniques | String | MITRE-teknikker kode/id (kommasepareret). Du kan få flere oplysninger under Virksomhedstaktik. Valgfrit Det anbefales at tilføje en værdi i kategorien, når en MITRE-teknik. |
| GenerateAlert | String | Angiver, om beskeden skal genereres. De mulige værdier er: True eller False. Valgfrit |
Bemærk!
CIDR-notation (Classless Inter-Domain Routing) for IP-adresser understøttes ikke. Du kan få flere oplysninger under Microsoft Defender for Endpoint beskedkategorier nu er justeret i forhold til MITRE ATT&CK!.
Netværksindikatorer understøtter ikke handlingstypen . BlockAndRemediate Hvis en netværksindikator er angivet til BlockAndRemediate, importeres den ikke.
Se denne video for at få mere at vide om, hvordan Microsoft Defender for Endpoint giver flere måder at tilføje og administrere indikatorer for kompromitteret (IoCs).
Se også
- Opret indikatorer
- Opret indikatorer for filer
- Opret indikatorer for IP'er og URL-adresser/domæner
- Opret indikatorer baseret på certifikater
- Undtagelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.