インジケーターの管理
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
ナビゲーション ウィンドウで、 設定>Endpoints>Indicators ( [ルール] の下) を選択します。
管理するエンティティの種類のタブを選択します。
インジケーターの詳細を更新し、一覧からエンティティを削除する場合は、[保存] を選択するか、[削除] ボタンを選択します。
IoC の一覧をインポートする
インジケーターの属性、実行するアクション、その他の詳細を定義する CSV ファイルをアップロードすることもできます。
サンプル CSV をダウンロードして、サポートされている列属性を確認します。
ナビゲーション ウィンドウで、 設定>Endpoints>Indicators ( [ルール] の下) を選択します。
インジケーターをインポートするエンティティの種類のタブを選択します。
[ Import>Choose file] を選択します。
[インポート] を選択します。 インポートするすべてのファイルに対して繰り返します。
[完了] を選択します。
注:
バッチごとにアップロードできるインジケーターは 500 個のみです。 特定のカテゴリのインジケーターをインポートしようとすると、文字列はパスカルの大文字と小文字の規則で記述する必要があり、ポータルで使用できるカテゴリ リストのみを受け入れます。
次の表は、サポートされているパラメーターを示しています。
パラメーター | 型 | 説明 |
---|---|---|
indicatorType | 列挙 | インジケーターの種類。 使用可能な値は、 FileSha1 、 FileSha256 、 IpAddress 、 DomainName 、および Url です。 必須 |
indicatorValue | String |
Indicator エンティティの ID。 必須 |
action | 列挙 | インジケーターがorganizationで検出された場合に実行されるアクション。 使用可能な値は、 Allowed 、 Audit 、 BlockAndRemediate 、 Warn 、および Block です。 必須 |
title | String | インジケーター アラート タイトル。 必須 |
説明 | String | インジケーターの説明。 必須 |
expirationTime | DateTimeOffset | 次の形式のインジケーターの有効期限 YYYY-MM-DDTHH:MM:SS.0Z 。 有効期限が経過し、有効期限時に何が起こっても秒 (SS) 値で発生した場合、インジケーターは削除されます。 Optional |
severity | 列挙 | インジケーターの重大度。 可能な値は、Informational 、Low 、Medium 、および High です。 Optional |
recommendedActions | String | TI インジケーター アラート推奨アクション。 Optional |
rbacGroups | String | インジケーターが適用される RBAC グループのコンマ区切りの一覧。 Optional |
category | String | アラートのカテゴリ。 たとえば、実行と資格情報のアクセスです。 Optional |
mitretechniques | String | MITRE 手法のコード/ID (コンマ区切り)。 詳細については、「 エンタープライズ戦術」を参照してください。 Optional MITRE 手法の場合は、カテゴリに値を追加することをお勧めします。 |
GenerateAlert | String | アラートを生成する必要があるかどうか。 使用可能な値は、 True または False です。 Optional |
注:
IP アドレスのクラスレス Inter-Domain ルーティング (CIDR) 表記はサポートされていません。 詳細については、「MICROSOFT DEFENDER FOR ENDPOINTアラート カテゴリが MITRE ATT&CK!と一致するようになりました」を参照してください。
ネットワーク インジケーターはアクションの種類 ( BlockAndRemediate
) をサポートしていません。 ネットワーク インジケーターが BlockAndRemediate
に設定されている場合、インポートされません。
このビデオでは、Microsoft Defender for Endpointが侵害のインジケーター (IoC) を追加および管理する複数の方法を提供する方法について説明します。
関連項目
- インジケーターの作成
- ファイルのインジケーターを作成
- IP および URL/ドメインのインジケーターを作成
- 証明書に基づいてインジケーターを作成する
- Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の除外
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。