نظرة عامة على المؤشرات في Microsoft Defender لنقطة النهاية
ينطبق على:
تلميح
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
نظرة عامة على مؤشر التسوية (IoC)
مؤشر التسوية (IoC) هو أداة جنائية، تتم ملاحظتها على الشبكة أو المضيف. يشير IoC - بثقة عالية - إلى حدوث اختراق للكمبيوتر أو الشبكة. يمكن ملاحظة IoCs، ما يربطها مباشرة بأحداث قابلة للقياس. تتضمن بعض أمثلة IoC ما يلي:
- تجزئة البرامج الضارة المعروفة
- توقيعات نسبة استخدام الشبكة الضارة
- عناوين URL أو المجالات المعروفة لموزعي البرامج الضارة
لإيقاف الاختراقات الأخرى أو منع خروقات IoCs المعروفة، يجب أن تكون أدوات IoC الناجحة قادرة على اكتشاف جميع البيانات الضارة التي تم تعدادها بواسطة مجموعة قواعد الأداة. مطابقة IoC هي ميزة أساسية في كل حل لحماية نقطة النهاية. تمنح هذه الإمكانية SecOps القدرة على تعيين قائمة بالمؤشرات للكشف والحظر (الوقاية والاستجابة).
يمكن للمؤسسات إنشاء مؤشرات تحدد الكشف عن كيانات IoC ومنعها واستبعادها. يمكنك تحديد الإجراء الذي سيتم اتخاذه بالإضافة إلى مدة وقت تطبيق الإجراء ونطاق مجموعة الأجهزة لتطبيقه عليها.
يعرض هذا الفيديو معاينة لإنشاء المؤشرات وإضافتها:
حول مؤشرات Microsoft
كقاعدة عامة، يجب عليك فقط إنشاء مؤشرات ل IoCs السيئة المعروفة، أو لأي ملفات / مواقع ويب يجب السماح بها صراحة في مؤسستك. لمزيد من المعلومات حول أنواع المواقع التي يمكن ل Defender for Endpoint حظرها بشكل افتراضي، راجع نظرة عامة Microsoft Defender SmartScreen.
تشير النتيجة الإيجابية الخاطئة (FP) إلى إيجابية خطأ SmartScreen، بحيث تعتبر برامج ضارة أو تصيدا احتياليا، ولكنها في الواقع ليست تهديدا، لذلك تريد إنشاء نهج السماح لها.
يمكنك أيضا المساعدة في دفع التحسينات إلى التحليل الذكي للأمان من Microsoft عن طريق إرسال إيجابيات خاطئة و IoCs مريبة أو معروفة سيئة للتحليل. إذا تم عرض تحذير أو كتلة بشكل غير صحيح لملف أو تطبيق، أو إذا كنت تشك في وجود برنامج ضار لم يتم اكتشافه، يمكنك إرسال ملف إلى Microsoft للمراجعة. لمزيد من المعلومات، راجع إرسال الملفات للتحليل.
مؤشرات IP/URL
يمكنك استخدام مؤشرات IP/URL لإلغاء حظر المستخدمين من إيجابية خطأ SmartScreen (FP) أو لتجاوز كتلة تصفية محتوى الويب (WFC).
يمكنك استخدام مؤشرات URL وIP لإدارة الوصول إلى الموقع. يمكنك إنشاء مؤشرات IP وعنوان URL مؤقتة لإلغاء حظر المستخدمين مؤقتا من كتلة SmartScreen. قد يكون لديك أيضا مؤشرات تحتفظ بها لفترة طويلة من الوقت لتجاوز كتل تصفية محتوى الويب بشكل انتقائي.
ضع في اعتبارك الحالة التي يكون فيها تصنيف تصفية محتوى ويب لموقع معين صحيحا. في هذا المثال، لديك مجموعة تصفية محتوى الويب لحظر جميع وسائل التواصل الاجتماعي، وهو أمر صحيح لأهدافك التنظيمية الشاملة. ومع ذلك، فإن فريق التسويق لديه حاجة حقيقية لاستخدام موقع معين على وسائل التواصل الاجتماعي للإعلان والإعلانات. في هذه الحالة، يمكنك إلغاء حظر موقع الوسائط الاجتماعية المحدد باستخدام مؤشرات IP أو URL للمجموعة المحددة (أو المجموعات) لاستخدامها.
راجع حماية الويبوتصفية محتوى الويب
مؤشرات IP/URL: حماية الشبكة ومصافحة TCP ثلاثية الاتجاه
مع حماية الشبكة، يتم تحديد ما إذا كان يجب السماح بالوصول إلى موقع أو حظره بعد الانتهاء من تأكيد الاتصال ثلاثي الاتجاه عبر TCP/IP. وبالتالي، عند حظر موقع بواسطة حماية الشبكة، قد ترى نوع إجراء ضمن ConnectionSuccess
NetworkConnectionEvents
في مدخل Microsoft Defender، على الرغم من حظر الموقع.
NetworkConnectionEvents
يتم الإبلاغ عن من طبقة TCP، وليس من حماية الشبكة. بعد اكتمال تأكيد الاتصال ثلاثي الاتجاه، يسمح بالوصول إلى الموقع أو يتم حظره بواسطة حماية الشبكة.
فيما يلي مثال على كيفية عمل ذلك:
لنفترض أن المستخدم يحاول الوصول إلى موقع ويب على جهازه. يحدث أن تتم استضافة الموقع على مجال خطير، ويجب حظره بواسطة حماية الشبكة.
يبدأ تأكيد الاتصال ثلاثي الاتجاه عبر TCP/IP. قبل اكتماله،
NetworkConnectionEvents
يتم تسجيل إجراء، ويتم إدراجهActionType
كConnectionSuccess
. ومع ذلك، بمجرد اكتمال عملية تأكيد الاتصال ثلاثية الاتجاه، تمنع حماية الشبكة الوصول إلى الموقع. كل هذا يحدث بسرعة. تحدث عملية مماثلة مع Microsoft Defender SmartScreen؛ عندما يكتمل تأكيد الاتصال ثلاثي الاتجاه يتم تحديده، ويتم حظر الوصول إلى موقع أو السماح به.في مدخل Microsoft Defender، يتم سرد تنبيه في قائمة انتظار التنبيهات. تتضمن تفاصيل هذا التنبيه كلا
NetworkConnectionEvents
من وAlertEvents
. يمكنك أن ترى أنه تم حظر الموقع، على الرغم من أن لديك أيضا عنصراNetworkConnectionEvents
مع ActionType الخاص بConnectionSuccess
.
مؤشرات تجزئة الملف
في بعض الحالات، قد يكون إنشاء مؤشر جديد لملف IoC تم تحديده حديثا - كمقياس فوري لمسافة التوقف - مناسبا لحظر الملفات أو حتى التطبيقات. ومع ذلك، قد لا يوفر استخدام المؤشرات لمحاولة حظر أحد التطبيقات النتائج المتوقعة حيث تتكون التطبيقات عادة من العديد من الملفات المختلفة. الطرق المفضلة لحظر التطبيقات هي استخدام Windows Defender Application Control (WDAC) أو AppLocker.
نظرا لأن كل إصدار من التطبيق يحتوي على تجزئة ملف مختلفة، لا يوصى باستخدام مؤشرات لحظر التجزئة.
Windows Defender Application Control (WDAC)
مؤشرات الشهادة
في بعض الحالات، شهادة معينة تستخدم لتوقيع ملف أو تطبيق تم تعيين مؤسستك للسماح به أو حظره. يتم دعم مؤشرات الشهادة في Defender لنقطة النهاية، إذا كانت تستخدم . CER أو . تنسيق ملف PEM. راجع إنشاء مؤشرات استنادا إلى الشهادات لمزيد من التفاصيل.
محركات الكشف عن IoC
حاليا، مصادر Microsoft المدعومة ل IoCs هي:
- محرك الكشف عن السحابة ل Defender لنقطة النهاية
- محرك التحقيق والمعالجة التلقائي (AIR) في Microsoft Defender لنقطة النهاية
- محرك منع نقطة النهاية (Microsoft Defender مكافحة الفيروسات)
محرك الكشف عن السحابة
يقوم محرك الكشف عن السحابة ل Defender لنقطة النهاية بفحص البيانات المجمعة بانتظام ويحاول مطابقة المؤشرات التي قمت بتعيينها. عند وجود تطابق، يتم اتخاذ إجراء وفقا للإعدادات التي حددتها ل IoC.
محرك منع نقطة النهاية
ويحترم عامل الوقاية نفس قائمة المؤشرات. بمعنى أنه إذا كان برنامج الحماية من الفيروسات Microsoft Defender هو برنامج الحماية من الفيروسات الأساسي الذي تم تكوينه، يتم التعامل مع المؤشرات المتطابقة وفقا للإعدادات. على سبيل المثال، إذا كان الإجراء هو "التنبيه والكتلة"، Microsoft Defender يمنع برنامج الحماية من الفيروسات عمليات تنفيذ الملفات (الحظر والمعالجة) ويظهر تنبيه مطابق. من ناحية أخرى، إذا تم تعيين الإجراء إلى "السماح"، Microsoft Defender لا يكتشف برنامج الحماية من الفيروسات الملف أو يمنعه.
محرك التحقيق والمعالجة التلقائي
يعمل التحقيق والمعالجة التلقائيان بشكل مشابه لمحرك منع نقطة النهاية. إذا تم تعيين مؤشر إلى "السماح"، فإن التحقيق والمعالجة التلقائيين يتجاهلان حكما "سيئا" لذلك. إذا تم تعيينه إلى "حظر"، فإن التحقيق والمعالجة التلقائيين يعاملانه على أنه "سيئ".
يحسب EnableFileHashComputation
الإعداد تجزئة الملف للشهادات وIoC للملف أثناء عمليات فحص الملفات. وهو يدعم إنفاذ IoC للتجزئات وشهادات تنتمي إلى التطبيقات الموثوق بها. يتم تمكينه بشكل متزامن مع إعداد السماح أو حظر الملف.
EnableFileHashComputation
يتم تمكينه يدويا من خلال نهج المجموعة، ويتم تعطيله بشكل افتراضي.
أنواع الإنفاذ للمؤشرات
عندما يقوم فريق الأمان بإنشاء مؤشر جديد (IoC)، تتوفر الإجراءات التالية:
- السماح: يسمح بتشغيل IoC على أجهزتك.
- التدقيق: يتم تشغيل تنبيه عند تشغيل IoC.
- تحذير: يطالب IoC بتحذير يمكن للمستخدم تجاوزه
- حظر التنفيذ: لن يسمح بتشغيل IoC.
- الحظر والمعالجة: لن يسمح بتشغيل IoC وسيتم تطبيق إجراء معالجة على IoC.
ملاحظة
سيؤدي استخدام وضع التحذير إلى مطالبة المستخدمين بتحذير إذا فتحوا تطبيقا أو موقع ويب محفوفا بالمخاطر. لن تمنعها المطالبة من السماح بتشغيل التطبيق أو موقع الويب، ولكن يمكنك توفير رسالة مخصصة وارتباطات إلى صفحة شركة تصف الاستخدام المناسب للتطبيق. لا يزال بإمكان المستخدمين تجاوز التحذير والاستمرار في استخدام التطبيق إذا كانوا بحاجة إليه. لمزيد من المعلومات، راجع التحكم في التطبيقات التي تم اكتشافها بواسطة Microsoft Defender لنقطة النهاية.
يمكنك إنشاء مؤشر ل:
يوضح الجدول أدناه بالضبط الإجراءات المتوفرة لكل نوع مؤشر (IoC):
نوع IoC | الإجراءات المتوفرة |
---|---|
الملفات | سماح تدقيق حذر حظر التنفيذ الحظر والمعالجة |
عناوين IP | سماح تدقيق حذر حظر التنفيذ |
عناوين URL والمجالات | سماح تدقيق حذر حظر التنفيذ |
الشهادات | سماح الحظر والمعالجة |
لن تتغير وظيفة IoCs الموجودة مسبقا. ومع ذلك، تمت إعادة تسمية المؤشرات لمطابقة إجراءات الاستجابة المدعومة الحالية:
- تمت إعادة تسمية إجراء الاستجابة "التنبيه فقط" إلى "تدقيق" مع تمكين إعداد التنبيه الذي تم إنشاؤه.
- تمت إعادة تسمية استجابة "التنبيه والكتلة" إلى "الحظر والمعالجة" مع إعداد التنبيه الاختياري للإنشاء.
يتم تحديث مخطط واجهة برمجة تطبيقات IoC ومعرفات التهديد في التتبع المسبق لتتماشى مع إعادة تسمية إجراءات استجابة IoC. تنطبق تغييرات نظام واجهة برمجة التطبيقات على جميع أنواع IoC.
ملاحظة
هناك حد 15000 مؤشر لكل مستأجر. الزيادات إلى هذا الحد غير مدعومة.
لا تحظر مؤشرات الملفات والشهادات الاستثناءات المحددة لبرنامج الحماية من الفيروسات Microsoft Defender. المؤشرات غير مدعومة في برنامج الحماية من الفيروسات Microsoft Defender عندما يكون في الوضع السلبي.
تم تغيير تنسيق استيراد مؤشرات جديدة (IoCs) وفقا لإعدادات الإجراءات والتنبيهات المحدثة الجديدة. نوصي بتنزيل تنسيق CSV الجديد الذي يمكن العثور عليه في أسفل لوحة الاستيراد.
المشكلات والقيود المعروفة
قد يواجه العملاء مشكلات في تنبيهات مؤشرات التسوية. السيناريوهات التالية هي الحالات التي لا يتم فيها إنشاء التنبيهات أو إنشائها بمعلومات غير دقيقة. يتم التحقيق في كل مشكلة من قبل فريق الهندسة لدينا.
- مؤشرات الكتلة: سيتم إطلاق تنبيهات عامة ذات خطورة إعلامية فقط. لا يتم إطلاق التنبيهات المخصصة (أي العنوان المخصص والخطورة) في هذه الحالات.
- مؤشرات التحذير: التنبيهات العامة والتنبيهات المخصصة ممكنة في هذا السيناريو، ومع ذلك، فإن النتائج ليست محددة بسبب مشكلة في منطق الكشف عن التنبيه. في بعض الحالات، قد يرى العملاء تنبيها عاما، بينما قد يظهر تنبيه مخصص في حالات أخرى.
- السماح: لا يتم إنشاء أي تنبيهات (حسب التصميم).
- التدقيق: يتم إنشاء التنبيهات استنادا إلى الخطورة التي يوفرها العميل.
- في بعض الحالات، قد تكون للتنبيهات القادمة من اكتشافات EDR الأسبقية على التنبيهات المنبثقة من كتل مكافحة الفيروسات، وفي هذه الحالة يتم إنشاء تنبيه معلومات.
لا يمكن حظر تطبيقات Microsoft Store بواسطة Defender لأنها موقعة من قبل Microsoft.
المقالات ذات الصلة
- استثناءات برنامج الحماية من الفيروسات Microsoft Defender لنقطة النهاية Microsoft Defender
- إنشاء IoC سياقي
- استخدام واجهة برمجة تطبيقات مؤشرات Microsoft Defender لنقطة النهاية
- استخدام الحلول المتكاملة للشركاء
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.