在導覽窗格中,選取 [規則) ] 底下的 [設定>][端點]>[指標 (]。
選取您要管理之實體類型的索引標籤。
更新指標的詳細數據,然後選取 [儲存] ,如果您想要從清單中移除實體,請選取 [刪除] 按鈕。
匯入 IoC 清單
您也可以選擇上傳 CSV 檔案,其中定義指標的屬性、要採取的動作以及其他詳細資料。
下載範例 CSV 以瞭解支援的資料行屬性。
在導覽窗格中,選取 [規則) ] 底下的 [設定>][端點]>[指標 (]。
選取您要匯入指標的實體類型索引標籤。
選取 匯入 選擇>檔案。
選取 [匯入]。 對您要匯入的所有檔案重複此步驟。
選取 [完成]。
注意事項
每批只能上傳 500 個指標。 嘗試匯入具有特定類別的指標需要以 Pascal 大小寫例慣例編寫字串,並且僅接受入口網站上可用的類別清單。
下表顯示支援的參數。
| 參數 | Type | 描述 |
|---|---|---|
| 指標類型 | Enum | 指標的類型。 可能的值為: FileSha1、 、 FileSha256IpAddress、 DomainName和 Url。 Required |
| 指標值 | 字串 |
指標實體的身分識別。 Required |
| action | Enum | 在組織中發現指標時所採取的動作。 可能的值為: Allowed、 、 AuditBlockAndRemediate、 Warn和 Block。 Required |
| title | 字串 | 指標警示標題。 Required |
| 描述 | 字串 | 指標描述。 Required |
| 到期時間 | 日期時間偏移 | 指標的到期時間如下格式 YYYY-MM-DDTHH:MM:SS.0Z。 如果到期時間過去,則會刪除指示器,且到期時間發生的任何情況都會發生在 SS) 值 (秒數。 Optional |
| 嚴重 | Enum | 指標的嚴重性。 可能的值為: Informational、 Low、 Medium和 High。 Optional |
| 建議動作 | 字串 | TI 指標警示建議的動作。 Optional |
| rbac群組 | 字串 | 指標將套用的 RBAC 群組的逗號分隔清單。 Optional |
| 類別 | 字串 | 警示的類別。 範例包括:執行和認證存取。 Optional |
| 米特技術 | 字串 | MITRE 技術 code/id (逗號分隔) 。 如需詳細資訊,請參閱 企業策略。 Optional 建議在 MITRE 技術時在類別中新增值。 |
| 產生警示 | 字串 | 是否應該產生警示。 可能的值為: True 或 False。 Optional |
注意事項
不支援 IP 位址的無類別 Inter-Domain 路由 (CIDR) 表示法。 如需詳細資訊,請參閱適用於端點的 Microsoft Defender警示類別現在已與 MITRE ATT&CK!保持一致。
網路指示器不支援動作類型 BlockAndRemediate。 如果網路指示器設定為 BlockAndRemediate,則不會匯入。
觀看此影片,瞭解適用於端點的 Microsoft Defender如何提供多種方式來新增和管理入侵指標 (IoC) 。
另請參閱
- 建立指示器
- 建立檔案的指示器
- 建立 IP 和 URL/網域的指示器
- 根據憑證建立指標
- 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除項目
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。