При настройке регулярного поиска угроз на устройствах или обнаружении угрозы на одном из устройств пользователей, можно добавить угрозу в поиск IOC, чтобы искать эту угрозы и на других устройствах.
Для каждого поиска IOC можно добавить не более 200 угроз.
Чтобы добавить угрозу в поиск IOC, выполните следующие действия:
Выберите раздел Управление безопасностью → Endpoint Detection and Response.
Нажмите кнопку Поиск IOC.
Добавьте угрозу одним из следующих способов:
Чтобы добавить угрозу в Превентивный поиск, нажмите на кнопку Добавить угрозу.
Чтобы добавить угрозу для любого типа проверки, нажмите на соответствующую ссылку Просмотр, а затем нажмите на кнопку Добавить.
Откроется окно Добавить угрозу.
Введите имя угрозы.
При необходимости введите описание угрозы.
В разделе Индикаторы компрометации (IOC) укажите индикаторы компрометации для этой угрозы:
Чтобы указать несколько индикаторов компрометации, в списке Критерии обнаружения выберите критерии обнаружения (логический оператор):
Совпадение с ЛЮБЫМ из следующих, чтобы получать уведомления при выявлении хотя бы одного индикатора компрометации на устройстве (логический оператор ИЛИ).
Совпадение со ВСЕМИ следующими, чтобы получать уведомления при выявлении сразу всех индикаторов компрометации на устройстве (логический оператор И).
В разделе Индикатор 1 выберите тип индикатора компрометации и укажите его значение.
При добавлении раздела реестра в качестве IOC начните с куста реестра (например, HKEY_LOCAL_MACHINE\Software\Microsoft). При добавлении раздела реестра в качестве IOC программа безопасности проверяет только отдельные разделы реестра.
Чтобы добавить к угрозе больше индикаторов компрометации, нажмите + Добавить индикатор, а затем укажите дополнительный индикатор компрометации.
Для каждой угрозы можно добавить не более 100 индикаторов компрометации.