Behandle indikatorer
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
VelgInnstillinger-endepunktindikatorer>> (under Regler) i navigasjonsruten.
Velg fanen for enhetstypen du vil administrere.
Oppdater detaljene for indikatoren, og velg Lagre eller velg Slett-knappen hvis du vil fjerne enheten fra listen.
Importere en liste over IOCer
Du kan også velge å laste opp en CSV-fil som definerer attributtene til indikatorer, handlingen som skal utføres og andre detaljer.
Last ned CSV-eksemplet for å få vite kolonneattributtene som støttes.
VelgInnstillinger-endepunktindikatorer>> (under Regler) i navigasjonsruten.
Velg fanen for enhetstypen du vil importere indikatorer for.
Velg Importer>Velg fil.
Velg Importer. Gjenta dette for alle filene du vil importere.
Velg Ferdig.
Obs!
Bare 500 indikatorer kan lastes opp for hver bunke. Hvis du prøver å importere indikatorer med bestemte kategorier, må strengen skrives i Pascals sakskonvensjon og godtar bare kategorilisten som er tilgjengelig i portalen.
Tabellen nedenfor viser parameterne som støttes.
| Parameter | Type: | Beskrivelse |
|---|---|---|
| indicatorType | Opplisting | Type indikator. Mulige verdier er: FileSha1, FileSha256, IpAddress, DomainNameog Url. Obligatorisk |
| indicatorValue | Streng | Identiteten til indikatorenheten . Obligatorisk |
| handling | Opplisting | Handlingen som utføres hvis indikatoren oppdages i organisasjonen. Mulige verdier er: Allowed, Audit, BlockAndRemediate, Warnog Block. Obligatorisk |
| tittel | Streng | Tittel på indikatorvarsel. Obligatorisk |
| beskrivelse | Streng | Beskrivelse av indikatoren. Obligatorisk |
| expirationTime | DateTimeOffset | Utløpstiden for indikatoren i følgende format YYYY-MM-DDTHH:MM:SS.0Z. Indikatoren slettes hvis utløpstiden går, og det som skjer ved utløpstiden, skjer ved sekundverdien (SS). Valgfri |
| Alvorlighetsgraden | Opplisting | Alvorsgraden for indikatoren. Mulige verdier er: Informational, Low, Mediumog High. Valgfri |
| recommendedActions | Streng | Anbefalte handlinger for TI-indikatorvarsel. Valgfri |
| rbacGroups | Streng | Kommadelt liste over RBAC-grupper indikatoren vil bli brukt på. Valgfri |
| kategori | Streng | Kategori for varselet. Eksempler inkluderer: Kjøring og legitimasjonstilgang. Valgfri |
| mitretechniques | Streng | MITRE-teknikker kode/ID (kommadelt). Hvis du vil ha mer informasjon, kan du se Enterprise-taktikk. Valgfri Det anbefales å legge til en verdi i kategorien når en MITRE-teknikk. |
| GenerateAlert | Streng | Om varselet skal genereres. Mulige verdier er: True eller False. Valgfri |
Obs!
Klasseløs Inter-Domain-notasjon (CIDR) for IP-adresser støttes ikke. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for endepunkt varselkategorier er nå justert med MITRE ATT&CK!.
Nettverksindikatorer støtter ikke handlingstypen. BlockAndRemediate Hvis en nettverksindikator er satt til BlockAndRemediate, importeres den ikke.
Se denne videoen for å finne ut hvordan Microsoft Defender for endepunkt gir flere måter å legge til og administrere indikatorer for kompromiss på (IOCer).
Se også
- Opprett indikatorer
- Opprette indikatorer for filer
- Opprett indikatorer for IP-er og nettadresser/domener
- Opprette indikatorer basert på sertifikater
- Unntak for Microsoft Defender for endepunkt og Microsoft Defender Antivirus
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.