Freigeben über

Indikatoren verwalten

  • Artikel

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

  1. Wählen Sie im Navigationsbereich Einstellungen>Endpunktindikatoren>(unterRegeln) aus.

  2. Wählen Sie die Registerkarte des Entitätstyps aus, den Sie verwalten möchten.

  3. Aktualisieren Sie die Details des Indikators, und wählen Sie Speichern oder die Schaltfläche Löschen aus, wenn Sie die Entität aus der Liste entfernen möchten.

Importieren einer Liste von IoCs

Sie können auch eine CSV-Datei hochladen, die die Attribute von Indikatoren, die auszuführende Aktion und andere Details definiert.

Laden Sie die CSV-Beispieldatei herunter, um die unterstützten Spaltenattribute zu kennen.

  1. Wählen Sie im Navigationsbereich Einstellungen>Endpunktindikatoren>(unterRegeln) aus.

  2. Wählen Sie die Registerkarte des Entitätstyps aus, für den Sie Indikatoren importieren möchten.

  3. Wählen Sie Importieren>Datei auswählen aus.

  4. Wählen Sie Importieren aus. Wiederholen Sie dies für alle Dateien, die Sie importieren möchten.

  5. Wählen Sie Fertig aus.

Hinweis

Für jeden Batch können nur 500 Indikatoren hochgeladen werden. Beim Versuch, Indikatoren mit bestimmten Kategorien zu importieren, muss die Zeichenfolge in der Pascal-Fallkonvention geschrieben werden und akzeptiert nur die im Portal verfügbare Kategorieliste.

In der folgenden Tabelle sind die unterstützten Parameter aufgeführt.

Parameter Typ Beschreibung
indicatorType Enum Typ des Indikators. Mögliche Werte sind: FileSha1, FileSha256, IpAddress, DomainNameund Url.
Erforderlich
indicatorValue String Identität der Indikatorentität .
Erforderlich
Aktion Enum Die Aktion, die ausgeführt wird, wenn der Indikator im organization erkannt wird. Mögliche Werte sind: Allowed, Audit, BlockAndRemediate, Warnund Block.
Erforderlich
title String Indikatorwarnungstitel.
Erforderlich
description String Beschreibung des Indikators.
Erforderlich
expirationTime DateTimeOffset Die Ablaufzeit des Indikators im folgenden Format YYYY-MM-DDTHH:MM:SS.0Z. Der Indikator wird gelöscht, wenn die Ablaufzeit verstreicht und alles, was während der Ablaufzeit geschieht, tritt auf den Sekundenwert (SS) ein.
Optional
Schweregrad Enum Der Schweregrad des Indikators. Mögliche Werte sind: Informational, Low, Medium, und High.
Optional
recommendedActions String Empfohlene Aktionen für TI-Indikatorwarnungen.
Optional
rbacGroups String Durch Trennzeichen getrennte Liste der RBAC-Gruppen, auf die der Indikator angewendet wird.
Optional
category String Die Kategorie der Warnung. Beispiele hierfür sind: Ausführungs- und Anmeldeinformationszugriff.
Optional
mitretechniques String MITRE-Techniken Code/ID (durch Trennzeichen getrennt). Weitere Informationen finden Sie unter Unternehmenstaktiken.
Optional
Es wird empfohlen, bei einer MITRE-Technik einen Wert in der Kategorie hinzuzufügen.
GenerateAlert String Gibt an, ob die Warnung generiert werden soll. Mögliche Werte sind: True oder False.
Optional

Hinweis

Die CIDR-Notation (Classless Inter-Domain Routing) für IP-Adressen wird nicht unterstützt. Weitere Informationen finden Sie unter Microsoft Defender for Endpoint Warnungskategorien jetzt an MITRE ATT&CK! ausgerichtet sind.

Netzwerkindikatoren unterstützen nicht den Aktionstyp BlockAndRemediate. Wenn ein Netzwerkindikator auf BlockAndRemediatefestgelegt ist, wird er nicht importiert.

Sehen Sie sich dieses Video an, um zu erfahren, wie Microsoft Defender for Endpoint mehrere Möglichkeiten zum Hinzufügen und Verwalten von Indikatoren für Gefährdung (Indicators of Compromise, IoCs) bietet.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.