Gestire indicatori
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Nel riquadro di spostamento selezionare Impostazioni>Indicatori endpoint> (in Regole).
Selezionare la scheda del tipo di entità che si vuole gestire.
Aggiornare i dettagli dell'indicatore e selezionare Salva o selezionare il pulsante Elimina se si vuole rimuovere l'entità dall'elenco.
Importare un elenco di ioc
È anche possibile scegliere di caricare un file CSV che definisce gli attributi degli indicatori, l'azione da eseguire e altri dettagli.
Scaricare il file CSV di esempio per conoscere gli attributi di colonna supportati.
Nel riquadro di spostamento selezionare Impostazioni>Indicatori endpoint> (in Regole).
Selezionare la scheda del tipo di entità per cui si desidera importare gli indicatori.
Selezionare Importa>scegli file.
Selezionare Importa. Ripetere per tutti i file da importare.
Scegliere Fine.
Nota
È possibile caricare solo 500 indicatori per ogni batch. Il tentativo di importare indicatori con categorie specifiche richiede che la stringa venga scritta nella convenzione case Pascal e accetti solo l'elenco di categorie disponibile nel portale.
La tabella seguente illustra i parametri supportati.
| Parametro | Tipo | Descrizione |
|---|---|---|
| indicatorType | Enumerazione | Tipo dell'indicatore. I valori possibili sono: FileSha1, FileSha256, IpAddress, DomainNamee Url. Obbligatorio |
| indicatorValue | Stringa | Identità dell'entità Indicator . Obbligatorio |
| action | Enumerazione | Azione eseguita se l'indicatore viene individuato nell'organizzazione. I valori possibili sono: Allowed, Audit, BlockAndRemediate, Warne Block. Obbligatorio |
| title | Stringa | Titolo dell'avviso dell'indicatore. Obbligatorio |
| descrizione | Stringa | Descrizione dell'indicatore. Obbligatorio |
| expirationTime | DateTimeOffset | Ora di scadenza dell'indicatore nel formato YYYY-MM-DDTHH:MM:SS.0Zseguente. L'indicatore viene eliminato se passa il tempo di scadenza e qualsiasi cosa accada al momento della scadenza si verifica al valore dei secondi (SS). Opzionale |
| severità | Enumerazione | Gravità dell'indicatore. I valori possibili sono: Informational, Low, Mediume High. Opzionale |
| recommendedActions | Stringa | Azioni consigliate per l'avviso dell'indicatore TI. Opzionale |
| rbacGroups | Stringa | Elenco delimitato da virgole dei gruppi di controllo degli accessi in base al ruolo a cui verrà applicato l'indicatore. Opzionale |
| categoria | Stringa | Categoria dell'avviso. Gli esempi includono: esecuzione e accesso alle credenziali. Opzionale |
| mitretechniques | Stringa | Codice/id delle tecniche MITRE (separati da virgole). Per altre informazioni, vedere Tattiche aziendali. Opzionale È consigliabile aggiungere un valore nella categoria quando si usa una tecnica MITRE. |
| GenerateAlert | Stringa | Indica se l'avviso deve essere generato. I valori possibili sono: True o False. Opzionale |
Nota
La notazione CIDR (Classless Inter-Domain Routing) per gli indirizzi IP non è supportata. Per altre informazioni, vedere Microsoft Defender per endpoint categorie di avvisi sono ora allineate con MITRE ATT&CK!.
Gli indicatori di rete non supportano il tipo di azione , BlockAndRemediate. Se un indicatore di rete è impostato su BlockAndRemediate, non verrà importato.
Guardare questo video per informazioni su come Microsoft Defender per endpoint offre diversi modi per aggiungere e gestire gli indicatori di compromissione (IoC).
Vedere anche
- Creare indicatori
- Creare indicatori per file
- Creare indicatori per IP e URL/domini
- Creare indicatori in base ai certificati
- Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.