Hantera indikatorer
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Välj Slutpunktsindikatorer Inställningar > (under > Regler) i navigeringsfönstret.
Välj fliken för den entitetstyp som du vill hantera.
Uppdatera information om indikatorn och klicka på Spara eller klicka på knappen Ta bort om du vill ta bort entiteten från listan.
Importera en lista med IoCs
Du kan också välja att ladda upp en CSV-fil som definierar attribut för indikatorer, den åtgärd som ska vidtas och annan information.
Ladda ned CSV-exemplet för att ta fram de kolumnattribut som stöds.
Välj Slutpunktsindikatorer Inställningar > (under > Regler) i navigeringsfönstret.
Välj fliken för den enhetstyp som du vill importera indikatorer för.
Välj Importera > välj fil.
Välj Importera. Gör så här för alla filer du vill importera.
Välj Klar.
Anteckning
Det går bara att ladda upp 500 indikatorer för varje batch.
I följande tabell visas de parametrar som stöds.
| Parameter | Typ | Beskrivning |
|---|---|---|
| indicatorType | Uppräkning | Typ av indikator. Möjliga värden är: "FileSha1", "FileSha256", "IpAddress", "DomainName" och "Url". Obligatoriskt |
| indicatorValue | Sträng | Identiteten för indikatorenheten. Obligatoriskt |
| åtgärd | Uppräkning | Den åtgärd som kommer att vidtas om indikatorn upptäcks i organisationen. Möjliga värden är: "Avisering", "AviseringOchBlock" och "Tillåtet". Obligatoriskt |
| rubrik | Sträng | Indikatoraviseringens rubrik. Obligatoriskt |
| description | Sträng | Beskrivning av indikatorn. Obligatoriskt |
| expirationTime | DateTimeOffset | Förfallodatum för indikatorn i följande format YYYY-MM-DDTHH:MM:SS.0Z. Indikatorn tas bort om förfallotiden går och det som händer vid utgångstiden sker enligt SS-värdet (seconds). Valfritt |
| allvarlighetsgrad | Uppräkning | Indikatorns allvarlighetsgrad. Möjliga värden är: "Informationsblad", "Låg", "Medel" och "Hög". Valfritt |
| recommendedActions | Sträng | Rekommenderade åtgärder för TI-indikatoraviseringar. Valfritt |
| rbacGroupNames | Sträng | Kommaavgränsade listor med namn på RBAC-grupper indikatorn skulle tillämpas på. Valfritt |
| kategori | Sträng | Kategorin för aviseringen. Några exempel: Åtkomst för körning och autentiseringsuppgifter. Valfritt |
| mitretechniques | Sträng | MITRE-tekniker, kod/id (kommaavgränsade). Mer information finns i Enterprise taktiker. Valfritt Vi rekommenderar att du lägger till ett värde i kategori när du använder en MITRE-teknik. |
| GenerateAlert | Sträng | Om aviseringen ska genereras eller inte. Möjliga värden är: Sant eller falskt. Valfritt |
Anteckning
Classless Inter-Domain-CIDR-notation (Classless Inter-Domain) för IP-adresser stöds inte. Mer information finns i Microsoft Defender för slutpunktsvarningskategorierär nu i linje med MITRE ATT&CK! .