Gerir indicadores
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
No painel de navegação, selecione Definições>Indicadores dePontos Finais> (em Regras).
Selecione o separador do tipo de entidade que pretende gerir.
Atualize os detalhes do indicador e selecione Guardar ou selecione o botão Eliminar se quiser remover a entidade da lista.
Importar uma lista de IoCs
Também pode optar por carregar um ficheiro CSV que defina os atributos dos indicadores, a ação a executar e outros detalhes.
Transfira o CSV de exemplo para conhecer os atributos de coluna suportados.
No painel de navegação, selecione Definições>Indicadores dePontos Finais> (em Regras).
Selecione o separador do tipo de entidade para o qual pretende importar indicadores.
Selecione Importar>Escolher ficheiro.
Selecione Importar. Repita para todos os ficheiros que pretende importar.
Selecione Concluído.
Nota
Apenas podem ser carregados 500 indicadores para cada lote.
Tentar importar indicadores com categorias específicas requer que a cadeia seja escrita na convenção do caso Pascal e só aceita a lista de categorias disponível no portal.
A tabela seguinte mostra os parâmetros suportados.
Parâmetro | Tipo | Descrição |
---|---|---|
indicatorType | Enumeração | Tipo do indicador. Os valores possíveis são: FileSha1, FileSha256, IpAddress, DomainName e URL. Obrigatório |
indicatorValue | Cadeia | Identidade da entidade Indicador . Obrigatório |
ação | Enumeração | A ação que é efetuada se o indicador for detetado na organização. Os valores possíveis são: Permitido, Auditar, BloquearAndRemediate, Avisar e Bloquear. Obrigatório |
título | Cadeia | Título do alerta de indicador. Obrigatório |
descrição | Cadeia | Descrição do indicador. Obrigatório |
expirationTime | DateTimeOffset | O tempo de expiração do indicador no seguinte formato AAAA-MM-DDTHH:MM:SS.0Z. O indicador é eliminado se o tempo de expiração passar e o que acontecer no tempo de expiração ocorrer no valor de segundos (SS). Opcional |
gravidade | Enumeração | A gravidade do indicador. Os valores possíveis são: Informativo, Baixo, Médio e Alto. Opcional |
recommendedActions | Cadeia | Ações recomendadas do alerta do indicador TI. Opcional |
rbacGroups | Cadeia | Lista separada por vírgulas de grupos RBAC a que o indicador seria aplicado. Opcional |
categoria | Cadeia | Categoria do alerta. Os exemplos incluem: Execução e acesso a credenciais. Opcional |
mitretechniques | Cadeia | MITRE techniques code/id (separado por vírgulas). Para obter mais informações, veja Táticas empresariais. Opcional É recomendado adicionar um valor na categoria quando uma técnica MITRE. |
GenerateAlert | Cadeia | Se o alerta deve ser gerado. Os Valores Possíveis são: Verdadeiro ou Falso. Opcional |
Nota
A notação CIDR (Classless Inter-Domain Routing) para endereços IP não é suportada. Para obter mais informações, veja Microsoft Defender para Endpoint categorias de alerta estão agora alinhadas com MITRE ATT&CK!.
Veja este vídeo para saber como Microsoft Defender para Endpoint fornece várias formas de adicionar e gerir Indicadores de compromisso (IoCs).
Consulte também
- Criar indicadores
- Criar indicadores para ficheiros
- Criar indicadores para IPs e URLs/domínios
- Create indicadores baseados em certificados
- Exclusões do Antivírus de Microsoft Defender para Endpoint e Microsoft Defender
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.