지표 관리
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
탐색 창에서 설정 > 엔드포인트 표시기>(규칙 아래)를 선택합니다.
관리하려는 엔터티 형식의 탭을 선택합니다.
표시기의 세부 정보를 업데이트하고 목록에서 엔터티를 제거하려면 [저장 ]을 클릭하거나 [삭제 ] 단추를 클릭합니다.
IoC 목록 가져오기
표시기의 특성, 수행할 작업 및 기타 세부 정보를 정의하는 CSV 파일을 업로드하도록 선택할 수도 있습니다.
샘플 CSV를 다운로드하여 지원되는 열 특성을 알 수 있습니다.
탐색 창에서 설정 > 엔드포인트 표시기>(규칙 아래)를 선택합니다.
표시기를 가져오려는 엔터티 형식의 탭을 선택합니다.
파일 가져오기 > 선택을 선택합니다.
가져오기 를 선택합니다. 가져오려는 모든 파일에 대해 이 작업을 수행합니다.
완료 를 선택합니다.
참고
각 일괄 처리에 대해 500개의 표시기만 업로드할 수 있습니다.
다음 표에서는 지원되는 매개 변수를 보여줍니다.
| 매개 변수 | 유형 | 설명 |
|---|---|---|
| indicatorType | 열거형 | 표시기의 형식입니다. 가능한 값은 "FileSha1", "FileSha256", "IpAddress", "DomainName" 및 "Url"입니다. 필수 |
| indicatorValue | 문자열 | 표시기 엔터티의 ID입니다. 필수 |
| 조치 | 열거형 | 조직에서 표시기가 검색될 경우 수행할 작업입니다. 가능한 값은 "Alert", "AlertAndBlock" 및 "Allowed"입니다. 필수 |
| title | 문자열 | 표시기 경고 제목입니다. 필수 |
| 설명 | 문자열 | 표시기의 설명입니다. 필수 |
| expirationTime | Datetimeoffset | YYYY-MM-DDTHH:MM:SS.0Z 형식으로 표시기의 만료 시간입니다. 만료 시간이 지나고 만료 시간에 발생하는 모든 일이 SS(초) 값에서 발생하는 경우 표시기가 삭제됩니다. 선택 |
| 심각도 | 열거형 | 표시기의 심각도입니다. 가능한 값은 "Informational", "Low", "Medium" 및 "High"입니다. 선택 |
| recommendedActions | 문자열 | TI 표시기 경고 권장 작업입니다. 선택 |
| rbacGroups | 문자열 | 표시기가 적용될 RBAC 그룹의 쉼표로 구분된 목록입니다. 선택 |
| 범주 | 문자열 | 경고의 범주입니다. 예를 들어 실행 및 자격 증명 액세스가 있습니다. 선택 |
| mitretechniques | 문자열 | MITRE 기술 코드/ID(쉼표로 구분). 자세한 내용은 Enterprise 전략을 참조하세요. 선택적 MITRE 기술인 경우 범주에 값을 추가하는 것이 좋습니다. |
| GenerateAlert | 문자열 | 경고를 생성해야 하는지 여부입니다. 가능한 값은 True 또는 False입니다. 선택 |
참고
IP 주소에 대한 CIDR(클래스리스 Inter-Domain 라우팅) 표기법은 지원되지 않습니다. 자세한 내용은 이제 경고 범주가 MITRE ATT&CK!에 맞춰 엔드포인트용 Microsoft Defender 참조하세요.
이 비디오를 시청하여 엔드포인트용 Microsoft Defender IoC(손상 지표)를 추가하고 관리하는 여러 방법을 제공하는 방법을 알아봅니다.