Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Selecteer in het navigatiedeelvenster Instellingen>Eindpuntindicatoren>(onderRegels).
Selecteer het tabblad van het entiteitstype dat u wilt beheren.
Werk de details van de indicator bij en selecteer Opslaan of selecteer de knop Verwijderen als u de entiteit uit de lijst wilt verwijderen.
Een lijst met IOC's importeren
U kunt er ook voor kiezen om een CSV-bestand te uploaden waarin de kenmerken van indicatoren, de actie die moet worden uitgevoerd en andere details worden gedefinieerd.
Download het CSV-voorbeeld om de ondersteunde kolomkenmerken te kennen.
Selecteer in het navigatiedeelvenster Instellingen>Eindpuntindicatoren>(onderRegels).
Selecteer het tabblad van het entiteitstype waarvoor u indicatoren wilt importeren.
Selecteer Importeren>Bestand kiezen.
Selecteer Importeren. Herhaal dit voor alle bestanden die u wilt importeren.
Selecteer Gereed.
Opmerking
Voor elke batch kunnen slechts 500 indicatoren worden geüpload. Als u probeert indicatoren met specifieke categorieën te importeren, moet de tekenreeks worden geschreven in de Pascal-caseconventie en wordt alleen de categorielijst geaccepteerd die beschikbaar is in de portal.
In de volgende tabel ziet u de ondersteunde parameters.
| Parameter | Type | Beschrijving |
|---|---|---|
| indicatorType | Enum | Type van de indicator. Mogelijke waarden zijn: FileSha1, FileSha256IpAddress, DomainName, en Url. Vereist |
| indicatorValue | Tekenreeks | Identiteit van de entiteit Indicator . Vereist |
| actie | Enum | De actie die wordt uitgevoerd als de indicator wordt gedetecteerd in de organisatie. Mogelijke waarden zijn: Allowed, AuditBlockAndRemediate, Warn, en Block. Vereist |
| Titel | Tekenreeks | Titel van indicatorwaarschuwing. Vereist |
| beschrijving | Tekenreeks | Beschrijving van de indicator. Vereist |
| expirationTime | DateTimeOffset | De verlooptijd van de indicator in de volgende indeling YYYY-MM-DDTHH:MM:SS.0Z. De indicator wordt verwijderd als de verlooptijd is verstreken en wat er op het verlooptijd gebeurt bij de SS-waarde (seconden). Optionele |
| Ernst | Enum | De ernst van de indicator. Mogelijke waarden zijn: Informational, Low, Mediumen High. Optionele |
| recommendedActions | Tekenreeks | Aanbevolen acties voor ti-indicatorwaarschuwing. Optionele |
| rbacGroups | Tekenreeks | Door komma's gescheiden lijst met RBAC-groepen waarop de indicator zou worden toegepast. Optionele |
| Categorie | Tekenreeks | Categorie van de waarschuwing. Voorbeelden hiervan zijn: Uitvoering en toegang tot referenties. Optionele |
| mitretechniques | Tekenreeks | MITRE-technieken code/id (door komma's gescheiden). Zie Enterprise-tactieken voor meer informatie. Optionele Het wordt aanbevolen om een waarde in categorie toe te voegen bij een MITRE-techniek. |
| GenerateAlert | Tekenreeks | Of de waarschuwing moet worden gegenereerd. Mogelijke waarden zijn: True of False. Optionele |
Opmerking
De CIDR-notatie (Classless Inter-Domain Routing) voor IP-adressen wordt niet ondersteund. Zie Microsoft Defender voor Eindpunt waarschuwingscategorieën nu zijn uitgelijnd met MITRE ATT&CK! voor meer informatie.
Netwerkindicatoren bieden geen ondersteuning voor het actietype, BlockAndRemediate. Als een netwerkindicator is ingesteld op BlockAndRemediate, wordt deze niet geïmporteerd.
Bekijk deze video om te leren hoe Microsoft Defender voor Eindpunt meerdere manieren biedt om Indicatoren van inbreuk (IOC's) toe te voegen en te beheren.