次の方法で共有


インジケーターの管理

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

  1. ナビゲーション ウィンドウで、 設定>Endpoints>Indicators ( [ルール] の下) を選択します。

  2. 管理するエンティティの種類のタブを選択します。

  3. インジケーターの詳細を更新し、一覧からエンティティを削除する場合は、[保存] を選択するか、[削除] ボタンを選択します。

IoC の一覧をインポートする

インジケーターの属性、実行するアクション、その他の詳細を定義する CSV ファイルをアップロードすることもできます。

サンプル CSV をダウンロードして、サポートされている列属性を確認します。

  1. ナビゲーション ウィンドウで、 設定>Endpoints>Indicators ( [ルール] の下) を選択します。

  2. インジケーターをインポートするエンティティの種類のタブを選択します。

  3. [ Import>Choose file] を選択します

  4. [インポート] を選択します。 インポートするすべてのファイルに対して繰り返します。

  5. [完了] を選択します。

注:

バッチごとにアップロードできるインジケーターは 500 個のみです。 特定のカテゴリのインジケーターをインポートしようとすると、文字列はパスカルの大文字と小文字の規則で記述する必要があり、ポータルで使用できるカテゴリ リストのみを受け入れます。

次の表は、サポートされているパラメーターを示しています。

パラメーター 説明
indicatorType 列挙 インジケーターの種類。 使用可能な値は、 FileSha1FileSha256IpAddressDomainName、および Urlです。
必須
indicatorValue String Indicator エンティティの ID。
必須
action 列挙 インジケーターがorganizationで検出された場合に実行されるアクション。 使用可能な値は、 AllowedAuditBlockAndRemediateWarn、および Blockです。
必須
title String インジケーター アラート タイトル。
必須
説明 String インジケーターの説明。
必須
expirationTime DateTimeOffset 次の形式のインジケーターの有効期限 YYYY-MM-DDTHH:MM:SS.0Z。 有効期限が経過し、有効期限時に何が起こっても秒 (SS) 値で発生した場合、インジケーターは削除されます。
Optional
severity 列挙 インジケーターの重大度。 可能な値は、InformationalLowMedium、および High です。
Optional
recommendedActions String TI インジケーター アラート推奨アクション。
Optional
rbacGroups String インジケーターが適用される RBAC グループのコンマ区切りの一覧。
Optional
category String アラートのカテゴリ。 たとえば、実行と資格情報のアクセスです。
Optional
mitretechniques String MITRE 手法のコード/ID (コンマ区切り)。 詳細については、「 エンタープライズ戦術」を参照してください。
Optional
MITRE 手法の場合は、カテゴリに値を追加することをお勧めします。
GenerateAlert String アラートを生成する必要があるかどうか。 使用可能な値は、 True または Falseです。
Optional

注:

IP アドレスのクラスレス Inter-Domain ルーティング (CIDR) 表記はサポートされていません。 詳細については、「MICROSOFT DEFENDER FOR ENDPOINTアラート カテゴリが MITRE ATT&CK!と一致するようになりました」を参照してください。

ネットワーク インジケーターはアクションの種類 ( BlockAndRemediate) をサポートしていません。 ネットワーク インジケーターが BlockAndRemediate に設定されている場合、インポートされません。

このビデオでは、Microsoft Defender for Endpointが侵害のインジケーター (IoC) を追加および管理する複数の方法を提供する方法について説明します。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。