管理指示器
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
在瀏覽窗格中,選>取 [規則) ] 底下的 [設定端點>指標 (]。
選取您想要管理之實體類型的索引標籤。
更新指標的詳細數據,如果您想要從清單中移除實體, 請選取 [儲存] 或選取 [ 刪除 ] 按鈕。
匯入IoC清單
您也可以選擇上傳 CSV 檔案,以定義指標的屬性、要採取的動作,以及其他詳細數據。
下載範例 CSV 以瞭解支持的數據行屬性。
在瀏覽窗格中,選>取 [規則) ] 底下的 [設定端點>指標 (]。
選取您想要匯入指標之實體類型的索引標籤。
選 取 [匯入>選擇檔案]。
選取 [匯入]。 針對您想要匯入的所有檔案重複。
選取 [完成]。
注意事項
每個批次只能上傳 500 個指標。 若要匯入具有特定類別的指標,字串必須以Pascal案例慣例撰寫,而且只接受入口網站中可用的類別清單。
下表顯示支持的參數。
| 參數 | Type | 描述 |
|---|---|---|
| indicatorType | Enum | 指標的類型。 可能的值為: FileSha1、 FileSha256、 IpAddress、 DomainName和 Url。 Required |
| indicatorValue | 字串 |
指標實體的身分識別。 Required |
| action | Enum | 在組織中探索到指標時所採取的動作。 可能的值為: Allowed、 Audit、 BlockAndRemediate、 Warn和 Block。 Required |
| title | 字串 | 指標警示標題。 Required |
| 描述 | 字串 | 指標的描述。 Required |
| expirationTime | DateTimeOffset | 指示器的到期時間,格式 YYYY-MM-DDTHH:MM:SS.0Z如下。 如果到期時間已過,且到期時間發生的任何情況會在SS) 值 (秒內發生,則會刪除指標。 Optional |
| 嚴厲 | Enum | 指標的嚴重性。 可能的值為: Informational、 Low、 Medium和 High。 Optional |
| recommendedActions | 字串 | TI 指標警示建議的動作。 Optional |
| rbacGroups | 字串 | 要套用指標的 RBAC 群組逗號分隔清單。 Optional |
| 類別 | 字串 | 警示的類別。 範例包括:執行和認證存取。 Optional |
| mitretechniques | 字串 | MITRE 技術代碼/標識符 (逗號分隔) 。 如需詳細資訊,請參閱 企業策略。 Optional 當 MITRE 技術時,建議您在類別中新增值。 |
| GenerateAlert | 字串 | 是否應該產生警示。 可能的值為: True 或 False。 Optional |
注意事項
不支援IP位址的無類別 Inter-Domain 路由 (CIDR) 表示法。 如需詳細資訊,請參閱 適用於端點的 Microsoft Defender 警示類別現在與 MITRE ATT&CK!一致。
網路指標不支援動作類型 BlockAndRemediate 如果網路指標設定為 BlockAndRemediate,則不會匯入。
觀看這段影片,瞭解 適用於端點的 Microsoft Defender 如何提供多種方式來新增和管理IoC (入侵指標) 。
另請參閱
- 建立指示器
- 建立檔案的指示器
- 建立 IP 和 URL/網域的指示器
- 根據憑證建立指標
- 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。