إنشاء مؤشرات للملفات
ينطبق على:
- Microsoft Defender XDR
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
- Microsoft Defender for Business
تلميح
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
هام
في خطة Defender لنقطة النهاية 1 Defender for Business، يمكنك إنشاء مؤشر لحظر ملف أو السماح به. في Defender for Business، يتم تطبيق المؤشر عبر بيئتك ولا يمكن تحديد نطاقه لأجهزة معينة.
ملاحظة
لكي تعمل هذه الميزة على Windows Server 2016 وWindows Server 2012 R2، يجب إلحاق هذه الأجهزة باستخدام الإرشادات الموجودة في خوادم Windows. تتوفر الآن أيضا مؤشرات الملفات المخصصة مع إجراءات السماح والكتلة والمعالجة في قدرات محرك مكافحة البرامج الضارة المحسنة لنظامي macOS وLinux.
تمنع مؤشرات الملفات المزيد من نشر هجوم في مؤسستك عن طريق حظر الملفات الضارة المحتملة أو البرامج الضارة المشتبه بها. إذا كنت تعرف ملفا قابلا للتنفيذ محمولا يحتمل أن يكون ضارا ، فيمكنك حظره. ستمنع هذه العملية قراءتها أو كتابتها أو تنفيذها على الأجهزة في مؤسستك.
هناك ثلاث طرق يمكنك من خلالها إنشاء مؤشرات للملفات:
- عن طريق إنشاء مؤشر من خلال صفحة الإعدادات
- عن طريق إنشاء مؤشر سياقي باستخدام زر إضافة مؤشر من صفحة تفاصيل الملف
- عن طريق إنشاء مؤشر من خلال واجهة برمجة تطبيقات المؤشر
فهم المتطلبات الأساسية التالية قبل إنشاء مؤشرات للملفات:
لبدء حظر الملفات، قم بتشغيل ميزة "حظر أو السماح" في الإعدادات (في مدخل Microsoft Defender، انتقل إلى الإعدادات>نقاط> النهايةميزات> متقدمةعامة>السماح أو حظر الملف).
تتوفر هذه الميزة إذا كانت مؤسستك تستخدم برنامج الحماية من الفيروسات Microsoft Defender (في الوضع النشط)
يجب أن يكون
4.18.1901.x
إصدار عميل مكافحة البرامج الضارة أو أحدث. راجع إصدارات النظام الأساسي والمحرك الشهريةيتم دعم هذه الميزة على الأجهزة التي تعمل Windows 10 أو الإصدار 1703 أو أحدث أو Windows 11 أو Windows Server 2012 R2 أو Windows Server 2016 أو أحدث أو Windows Server 2019 أو Windows Server 2022.
يتم تمكين حساب تجزئة الملف، عن طريق الإعداد
Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\
إلى ممكن
ملاحظة
تدعم مؤشرات الملفات الملفات القابلة للتنفيذ المحمولة (PE)، بما في ذلك .exe
والملفات .dll
فقط.
-
يتم تمكين حساب تجزئة الملف عن طريق تشغيل
mdatp config enable-file-hash-computation --value enabled
متوفر في Defender لنقطة النهاية الإصدار 101.85.27 أو أحدث.
يتم تمكين حساب تجزئة الملف من المدخل أو في JSON المدار
في جزء التنقل، حدد Settings>Endpoints Indicators> (ضمن Rules).
حدد علامة التبويب تجزئة الملف .
حدد إضافة عنصر.
حدد التفاصيل التالية:
- المؤشر: حدد تفاصيل الكيان وحدد انتهاء صلاحية المؤشر.
- الإجراء: حدد الإجراء الذي سيتم اتخاذه وقدم وصفا.
- النطاق: حدد نطاق مجموعة الأجهزة (النطاق غير متوفر في Defender for Business).
ملاحظة
يتم دعم إنشاء مجموعة الأجهزة في كل من Defender for Endpoint الخطة 1 والخطة 2
راجع التفاصيل في علامة التبويب ملخص، ثم حدد حفظ.
أحد الخيارات عند اتخاذ إجراءات الاستجابة على ملف هو إضافة مؤشر للملف. عند إضافة تجزئة مؤشر لملف، يمكنك اختيار رفع تنبيه وحظر الملف كلما حاول جهاز في مؤسستك تشغيله.
لن تظهر الملفات التي تم حظرها تلقائيا بواسطة مؤشر في مركز الصيانة الخاص بالملف، ولكن ستظل التنبيهات مرئية في قائمة انتظار التنبيهات.
هام
تتعلق المعلومات الواردة في هذا القسم (المعاينة العامة لمحرك التحقيق والمعالجة التلقائي) بالمنتج التجريبي الذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.
الإجراءات الحالية المدعومة لملف IOC هي السماح والتدقيق والكتلة والمعالجة. بعد اختيار حظر ملف، يمكنك اختيار ما إذا كانت هناك حاجة إلى تشغيل تنبيه. بهذه الطريقة، ستتمكن من التحكم في عدد التنبيهات التي يتم الوصول إليها إلى فرق عمليات الأمان والتأكد من رفع التنبيهات المطلوبة فقط.
في مدخل Microsoft Defender، انتقل إلى الإعدادات>>مؤشرات>نقاط النهايةإضافة تجزئة ملف جديد.
اختر حظر الملف ومعالجته.
حدد ما إذا كنت تريد إنشاء تنبيه على حدث كتلة الملف وتحديد إعدادات التنبيهات:
- عنوان التنبيه
- خطورة التنبيه
- الفئة
- الوصف
- الإجراءات الموصى بها
هام
- عادة ما يتم فرض كتل الملفات وإزالتها في غضون 15 دقيقة، بمتوسط 30 دقيقة ولكن يمكن أن تستغرق ما يزيد عن ساعتين.
- إذا كانت هناك نهج IoC ملف متعارضة بنفس نوع الإنفاذ والهدف، تطبيق نهج التجزئة الأكثر أمانا. سيفوز نهج تجزئة ملف SHA-256 IoC على نهج تجزئة ملف SHA-1 IoC، والذي سيفوز على نهج IoC لتجزئة ملف MD5 إذا كانت أنواع التجزئة تحدد نفس الملف. هذا صحيح دائما بغض النظر عن مجموعة الأجهزة.
- في جميع الحالات الأخرى، إذا تم تطبيق نهج IoC للملف المتضارب مع نفس هدف الإنفاذ على جميع الأجهزة وعلى مجموعة الجهاز، فإن النهج في مجموعة الأجهزة سيفوز بالنسبة للجهاز.
- إذا تم تعطيل نهج مجموعة EnableFileHashComputation، يتم تقليل دقة حظر ملف IoC. ومع ذلك، قد يؤثر التمكين
EnableFileHashComputation
على أداء الجهاز. على سبيل المثال، قد يكون لنسخ الملفات الكبيرة من مشاركة شبكة على جهازك المحلي، خاصة عبر اتصال VPN، تأثير على أداء الجهاز. لمزيد من المعلومات حول نهج مجموعة EnableFileHashComputation، راجع Defender CSP. لمزيد من المعلومات حول تكوين هذه الميزة على Defender لنقطة النهاية على Linux وmacOS، راجع تكوين ميزة حساب تجزئة الملف على Linux وتكوين ميزة حساب تجزئة الملف على macOS.
إمكانات التتبع المتقدمة (معاينة)
هام
تتعلق المعلومات الواردة في هذا القسم (المعاينة العامة لمحرك التحقيق والمعالجة التلقائي) بالمنتج التجريبي الذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.
حاليا في المعاينة، يمكنك الاستعلام عن نشاط إجراء الاستجابة في التتبع المسبق. فيما يلي نموذج استعلام تتبع متقدم:
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"
لمزيد من المعلومات حول التتبع المتقدم، راجع البحث الاستباقي عن التهديدات باستخدام التتبع المتقدم.
فيما يلي أسماء مؤشرات الترابط الأخرى التي يمكن استخدامها في نموذج الاستعلام من الأعلى:
الملفات:
EUS:Win32/CustomEnterpriseBlock!cl
EUS:Win32/CustomEnterpriseNoAlertBlock!cl
الشهادات:
EUS:Win32/CustomCertEnterpriseBlock!cl
يمكن أيضا عرض نشاط إجراء الاستجابة في المخطط الزمني للجهاز.
تتبع تعارضات معالجة نهج Cert وFily IoC هذا الترتيب:
إذا لم يكن الملف مسموحا به بواسطة Windows Defender Application Control وAppLocker فرض نهج الوضع، ثم حظر.
وإلا، إذا كان الملف مسموحا به بواسطة استثناءات برنامج الحماية من الفيروسات Microsoft Defender، فاسمح بذلك.
وإلا، إذا تم حظر الملف أو تحذيره بواسطة كتلة أو تحذير IoCs للملف، فعندئذ حظر/تحذير.
وإلا، إذا تم حظر الملف بواسطة SmartScreen، فعندئذ قم بحظر.
وإلا، إذا كان الملف مسموحا به بواسطة نهج السماح بملف IoC، فاسمح بذلك.
وإلا، إذا تم حظر الملف بواسطة قواعد تقليل الأجزاء المعرضة للهجوم أو الوصول المتحكم به إلى المجلدات أو الحماية من الفيروسات، فعندئذ قم بحظر.
وإلا، السماح (يمرر Windows Defender Application Control & نهج AppLocker، ولا تنطبق أي قواعد IoC عليه).
ملاحظة
في الحالات التي يتم فيها تعيين Microsoft Defender مكافحة الفيروسات إلى حظر، ولكن يتم تعيين مؤشرات Defender لنقطة النهاية لتجزئة الملف أو الشهادات على السماح، يتم تعيين النهج افتراضيا إلى السماح.
إذا كانت هناك نهج IoC ملف متعارضة بنفس نوع الإنفاذ والهدف، يتم تطبيق نهج التجزئة الأكثر أمانا (بمعنى أطول). على سبيل المثال، يكون لنهج تجزئة ملف SHA-256 IoC الأسبقية على نهج IoC لتجزئة ملف MD5 إذا كان كلا النوعين من التجزئة يعرفان نفس الملف.
تحذير
تختلف معالجة تعارض النهج للملفات والشهادات عن معالجة تعارض النهج للمجالات/عناوين URL/عناوين IP.
تستخدم ميزات التطبيق الضعيفة للكتلة إدارة الثغرات الأمنية في Microsoft Defender ملفات IoCs للإنفاذ وتتبع أمر معالجة التعارض الموضح سابقا في هذا القسم.
مكون | إنفاذ المكونات | إجراء مؤشر الملف | نتيجة |
---|---|---|---|
استبعاد مسار ملف تقليل الأجزاء المعرضة للهجوم | سماح | حظر | حظر |
قاعدة تقليل الأجزاء المعرضة للهجوم | حظر | سماح | سماح |
التحكم في تطبيق Windows Defender | سماح | حظر | سماح |
التحكم في تطبيق Windows Defender | حظر | سماح | حظر |
استبعاد برنامج الحماية من الفيروسات Microsoft Defender | سماح | حظر | سماح |
- إنشاء مؤشرات
- إنشاء مؤشرات لـ IPs أو عناوين URL/المجالات
- إنشاء مؤشرات استنادا إلى الشهادات
- إدارة المؤشرات
- استثناءات برنامج الحماية من الفيروسات Microsoft Defender لنقطة النهاية Microsoft Defender
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.