管理指示器
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
在导航窗格中,选择“规则) ”下的“设置>终结点>指示器 (”。
选择要管理的实体类型的选项卡。
更新指示器的详细信息,然后选择“ 保存 ”或选择“ 删除 ”按钮(如果要从列表中删除实体)。
导入 IoC 列表
还可以选择上传一个 CSV 文件,该文件定义指示器的属性、要执行的操作和其他详细信息。
下载示例 CSV 以了解支持的列属性。
在导航窗格中,选择“规则) ”下的“设置>终结点>指示器 (”。
选择要为其导入指示器的实体类型的选项卡。
选择 “导入>”“选择文件”。
选择“导入”。 对要导入的所有文件重复此操作。
选择“完成”。
注意
每个批只能上传 500 个指示器。
尝试导入具有特定类别的指示器需要以 Pascal case 约定写入字符串,并且仅接受门户中提供的类别列表。
下表显示了支持的参数。
| 参数 | 类型 | 说明 |
|---|---|---|
| indicatorType | 枚举 | 指示器的类型。 可能的值包括: FileSha1、 FileSha256、 IpAddress、 DomainName 和 Url。 必需 |
| indicatorValue | String | 指示器实体的标识。 必需 |
| action | 枚举 | 在组织中发现指示器时执行的操作。 可能的值包括: Allowed、 Audit、 BlockAndRemediate、 Warn 和 Block。 必需 |
| title | String | 指示器警报标题。 必需 |
| 说明 | String | 指示器的说明。 必需 |
| expirationTime | DateTimeOffset | 以下格式为 YYYY-MM-DDTHH:MM:SS.0Z 的指示器过期时间。 如果过期时间已过,并且过期时间发生的任何操作都发生在 SS) 值的秒 (,则指示器将被删除。 可选 |
| severity | 枚举 | 指示器的严重性。 可能的值为: Informational、 Low、 Medium 和 High。 可选 |
| recommendedActions | String | TI 指示器警报建议的操作。 可选 |
| rbacGroups | String | 将应用指示器的 RBAC 组的逗号分隔列表。 可选 |
| “类别” | String | 警报的类别。 示例包括:执行和凭据访问。 可选 |
| mitretechniques | String | MITRE 技术代码/id (逗号分隔) 。 有关详细信息,请参阅 企业策略。 选 建议在 MITRE 技术时在类别中添加值。 |
| GenerateAlert | String | 是否应生成警报。 可能的值为:True 或 False。 可选 |
注意
不支持 IP 地址的无类 Inter-Domain 路由 (CIDR) 表示法。 有关详细信息,请参阅Microsoft Defender for Endpoint警报类别现在与 MITRE ATT&CK!保持一致。
观看此视频,了解 Microsoft Defender for Endpoint 如何提供多种方法来添加和管理 ioC) (入侵指标。
另请参阅
- 创建指示器
- 创建文件指示器
- 创建 IP 和 URL/域指示器
- 基于证书的Create指示器
- Microsoft Defender for Endpoint和Microsoft Defender防病毒的排除项
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈