管理指示器
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
在导航窗格中,选择“规则) ”下的“设置>终结点>指示器 (”。
选择要管理的实体类型的选项卡。
更新指示器的详细信息,然后选择“ 保存 ”或选择“ 删除 ”按钮(如果要从列表中删除实体)。
导入 IoC 列表
还可以选择上传一个 CSV 文件,该文件定义指示器的属性、要执行的操作和其他详细信息。
下载示例 CSV 以了解支持的列属性。
在导航窗格中,选择“规则) ”下的“设置>终结点>指示器 (”。
选择要为其导入指示器的实体类型的选项卡。
选择 “导入>”“选择文件”。
选择“导入”。 对要导入的所有文件重复此操作。
选择“完成”。
注意
每个批只能上传 500 个指示器。 尝试导入具有特定类别的指示器需要以 Pascal case 约定写入字符串,并且仅接受门户中提供的类别列表。
下表显示了支持的参数。
参数 | 类型 | 说明 |
---|---|---|
indicatorType | 枚举 | 指示器的类型。 可能的值为:FileSha1 、、FileSha256 、IpAddress DomainName 、 和 Url 。 必需 |
indicatorValue | String |
指示器实体的标识。 必需 |
action | 枚举 | 在组织中发现指示器时执行的操作。 可能的值为:Allowed 、、Audit 、BlockAndRemediate Warn 、 和 Block 。 必需 |
title | String | 指示器警报标题。 必需 |
description | String | 指示器的说明。 必需 |
expirationTime | DateTimeOffset | 采用以下格式 YYYY-MM-DDTHH:MM:SS.0Z 的指标的过期时间。 如果过期时间已过,并且过期时间发生的任何操作都发生在 SS) 值的秒 (,则指示器将被删除。 可选 |
severity | 枚举 | 指示器的严重性。 可能的值为: Informational 、 Low 、 Medium 和 High 。 可选 |
recommendedActions | String | TI 指示器警报建议的操作。 可选 |
rbacGroups | String | 将应用指示器的 RBAC 组的逗号分隔列表。 可选 |
“类别” | String | 警报的类别。 示例包括:执行和凭据访问。 可选 |
mitretechniques | String | MITRE 技术代码/id (逗号分隔) 。 有关详细信息,请参阅 企业策略。 可选 建议在 MITRE 技术时在类别中添加值。 |
GenerateAlert | String | 是否应生成警报。 可能的值为: True 或 False 。 可选 |
注意
不支持 IP 地址的无类 Inter-Domain 路由 (CIDR) 表示法。 有关详细信息,请参阅Microsoft Defender for Endpoint警报类别现在与 MITRE ATT&CK!保持一致。
网络指示器不支持操作类型 BlockAndRemediate
。 如果网络指示器设置为 BlockAndRemediate
,则不会导入。
观看此视频,了解 Microsoft Defender for Endpoint 如何提供多种方法来添加和管理 ioC) (入侵指标。
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。