管理指示器

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

  1. 在导航窗格中,选择“规则) ”下的“设置>终结点>指示器 (”。

  2. 选择要管理的实体类型的选项卡。

  3. 更新指示器的详细信息,然后选择“ 保存 ”或选择“ 删除 ”按钮(如果要从列表中删除实体)。

导入 IoC 列表

还可以选择上传一个 CSV 文件,该文件定义指示器的属性、要执行的操作和其他详细信息。

下载示例 CSV 以了解支持的列属性。

  1. 在导航窗格中,选择“规则) ”下的“设置>终结点>指示器 (”。

  2. 选择要为其导入指示器的实体类型的选项卡。

  3. 选择 “导入>”“选择文件”。

  4. 选择“导入”。 对要导入的所有文件重复此操作。

  5. 选择“完成”。

注意

每个批只能上传 500 个指示器。 尝试导入具有特定类别的指示器需要以 Pascal case 约定写入字符串,并且仅接受门户中提供的类别列表。

下表显示了支持的参数。

参数 类型 说明
indicatorType 枚举 指示器的类型。 可能的值为:FileSha1、、FileSha256IpAddressDomainName、 和 Url
必需
indicatorValue String 指示器实体的标识。
必需
action 枚举 在组织中发现指示器时执行的操作。 可能的值为:Allowed、、AuditBlockAndRemediateWarn、 和 Block
必需
title String 指示器警报标题。
必需
description String 指示器的说明。
必需
expirationTime DateTimeOffset 采用以下格式 YYYY-MM-DDTHH:MM:SS.0Z的指标的过期时间。 如果过期时间已过,并且过期时间发生的任何操作都发生在 SS) 值的秒 (,则指示器将被删除。
可选
severity 枚举 指示器的严重性。 可能的值为: InformationalLowMediumHigh
可选
recommendedActions String TI 指示器警报建议的操作。
可选
rbacGroups String 将应用指示器的 RBAC 组的逗号分隔列表。
可选
“类别” String 警报的类别。 示例包括:执行和凭据访问。
可选
mitretechniques String MITRE 技术代码/id (逗号分隔) 。 有关详细信息,请参阅 企业策略
可选
建议在 MITRE 技术时在类别中添加值。
GenerateAlert String 是否应生成警报。 可能的值为: TrueFalse
可选

注意

不支持 IP 地址的无类 Inter-Domain 路由 (CIDR) 表示法。 有关详细信息,请参阅Microsoft Defender for Endpoint警报类别现在与 MITRE ATT&CK!保持一致

网络指示器不支持操作类型 BlockAndRemediate。 如果网络指示器设置为 BlockAndRemediate,则不会导入。

观看此视频,了解 Microsoft Defender for Endpoint 如何提供多种方法来添加和管理 ioC) (入侵指标。

另请参阅

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区