Podczas konfigurowania regularnych skanowań w poszukiwaniu zagrożeń na urządzeniach lub po wykryciu zagrożenia na urządzeniach jednego z użytkowników możesz dodać zagrożenie do skanowania IOC, aby sprawdzić inne urządzenia pod kątem tego zagrożenia.
Do każdego skanowania IOC możesz dodać maksymalnie 200 zagrożeń.
Wybierz sekcję Zarządzanie ochroną → Endpoint Detection and Response.
Kliknij przycisk Skanowanie IoC .
Dodaj zagrożenie na jeden z następujących sposobów:
Aby dodać zagrożenie do Skanowanie proaktywne, kliknij przycisk Dodaj zagrożenie.
Aby dodać zagrożenie do dowolnego skanowania, kliknij odnośnik Podgląd na odpowiednim kafelku, a następnie kliknij przycisk Dodaj.
Zostanie otwarte okno Dodaj zagrożenie.
Wprowadź nazwę zagrożenia.
W razie potrzeby wprowadź opis zagrożenia.
W obszarze Wskaźniki włamania (IoC) określ oznaki naruszenia bezpieczeństwa tego zagrożenia:
Jeśli planujesz określić dwa lub więcej wskaźników IOC, na liście Kryteria wykrywania wybierz kryteria wykrywania (operator logiczny):
Dopasuj DOWOLNE z poniższych , jeśli chcesz, aby alert wystąpił, gdy co najmniej jeden ze wskaźników IOC zostanie znaleziony na urządzeniu (operator logiczny LUB).
Dopasuj WSZYSTKIE z poniższych , jeśli chcesz, aby alert wystąpił tylko wtedy, gdy wszystkie wskaźniki IOC zostaną znalezione na urządzeniu jednocześnie (operator logiczny I).
W obszarze Wskaźnik 1. Wybierz typ IOC, a następnie podaj jego wartość.
Podczas dodawania klucza rejestru jako wskaźnika IOC należy rozpocząć od gałęzi rejestru (na przykład HKEY_LOCAL_MACHINE\Software\Microsoft ). Po dodaniu klucza rejestru jako wskaźnika IOC, aplikacja zabezpieczająca skanuje tylko niektóre klucze rejestru .
Jeśli chcesz dodać więcej wskaźników IOC do zagrożenia, kliknij + Dodaj wskaźnik , a następnie określ kolejny wskaźnik IOC.
Do każdego zagrożenia możesz dodać maksymalnie 100 wskaźników IOC.
Kliknij Zapisz, aby zapisać zmiany.
Zagrożenie zostanie dodane do wybranego skanowania wskaźników IOC.