Gestire indicatori
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Nel riquadro di spostamento selezionare Impostazioni>Indicatori endpoint> (in Regole).
Selezionare la scheda del tipo di entità che si vuole gestire.
Aggiornare i dettagli dell'indicatore e selezionare Salva o selezionare il pulsante Elimina se si vuole rimuovere l'entità dall'elenco.
Importare un elenco di ioc
È anche possibile scegliere di caricare un file CSV che definisce gli attributi degli indicatori, l'azione da eseguire e altri dettagli.
Scaricare il file CSV di esempio per conoscere gli attributi di colonna supportati.
Nel riquadro di spostamento selezionare Impostazioni>Indicatori endpoint> (in Regole).
Selezionare la scheda del tipo di entità per cui si desidera importare gli indicatori.
Selezionare Importa>scegli file.
Selezionare Importa. Ripetere per tutti i file da importare.
Scegliere Fine.
Nota
È possibile caricare solo 500 indicatori per ogni batch.
Il tentativo di importare indicatori con categorie specifiche richiede che la stringa venga scritta nella convenzione case Pascal e accetti solo l'elenco di categorie disponibile nel portale.
La tabella seguente illustra i parametri supportati.
Parametro | Tipo | Descrizione |
---|---|---|
indicatorType | Enum | Tipo dell'indicatore. I valori possibili sono: FileSha1, FileSha256, IpAddress, DomainName e URL. Obbligatorio |
indicatorValue | Stringa | Identità dell'entità Indicator . Obbligatorio |
action | Enum | Azione eseguita se l'indicatore viene individuato nell'organizzazione. I valori possibili sono: Allowed, Audit, BlockAndRemediate, Warn e Block. Obbligatorio |
title | Stringa | Titolo dell'avviso dell'indicatore. Obbligatorio |
descrizione | Stringa | Descrizione dell'indicatore. Obbligatorio |
expirationTime | Datetimeoffset | Ora di scadenza dell'indicatore nel formato seguente AAAA-MM-DDTHH:MM:SS.0Z. L'indicatore viene eliminato se passa il tempo di scadenza e qualsiasi cosa accada al momento della scadenza si verifica al valore dei secondi (SS). Opzionale |
Gravità | Enum | Gravità dell'indicatore. I valori possibili sono: Informativo, Basso, Medio e Alto. Opzionale |
recommendedActions | Stringa | Azioni consigliate per l'avviso dell'indicatore TI. Opzionale |
rbacGroups | Stringa | Elenco delimitato da virgole dei gruppi di controllo degli accessi in base al ruolo a cui verrà applicato l'indicatore. Opzionale |
Categoria | Stringa | Categoria dell'avviso. Gli esempi includono: esecuzione e accesso alle credenziali. Opzionale |
mitretechniques | Stringa | Codice/id delle tecniche MITRE (separati da virgole). Per altre informazioni, vedere Tattiche aziendali. Opzionale È consigliabile aggiungere un valore nella categoria quando si usa una tecnica MITRE. |
GenerateAlert | Stringa | Indica se l'avviso deve essere generato. I valori possibili sono: True o False. Opzionale |
Nota
La notazione CIDR (Classless Inter-Domain Routing) per gli indirizzi IP non è supportata. Per altre informazioni, vedere Microsoft Defender per endpoint categorie di avvisi sono ora allineate con MITRE ATT&CK!.
Guardare questo video per informazioni su come Microsoft Defender per endpoint offre diversi modi per aggiungere e gestire gli indicatori di compromissione (IoC).
Vedere anche
- Creare indicatori
- Creare indicatori per file
- Creare indicatori per IP e URL/domini
- indicatori Create basati sui certificati
- Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.