إنشاء مؤشرات للملفات
ينطبق على:
- Microsoft Defender XDR
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
- Microsoft Defender for Business
تلميح
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
منع المزيد من نشر هجوم في مؤسستك عن طريق حظر الملفات الضارة المحتملة أو البرامج الضارة المشتبه بها. إذا كنت تعرف ملفا قابلا للتنفيذ محمولا يحتمل أن يكون ضارا ، فيمكنك حظره. ستمنع هذه العملية قراءتها أو كتابتها أو تنفيذها على الأجهزة في مؤسستك.
هناك ثلاث طرق يمكنك من خلالها إنشاء مؤشرات للملفات:
- عن طريق إنشاء مؤشر من خلال صفحة الإعدادات
- عن طريق إنشاء مؤشر سياقي باستخدام زر إضافة مؤشر من صفحة تفاصيل الملف
- عن طريق إنشاء مؤشر من خلال واجهة برمجة تطبيقات المؤشر
ملاحظة
لكي تعمل هذه الميزة على Windows Server 2016 وWindows Server 2012 R2، يجب إلحاق هذه الأجهزة باستخدام الإرشادات الموجودة في خوادم Windows. تتوفر الآن أيضا مؤشرات الملفات المخصصة مع إجراءات السماح والكتلة والمعالجة في قدرات محرك مكافحة البرامج الضارة المحسنة لنظامي macOS وLinux.
قبل البدء
فهم المتطلبات الأساسية التالية قبل إنشاء مؤشرات للملفات:
تتوفر هذه الميزة إذا كانت مؤسستك تستخدم برنامج الحماية من الفيروسات Microsoft Defender (في الوضع النشط)
يجب أن يكون
4.18.1901.xإصدار عميل مكافحة البرامج الضارة أو أحدث. راجع إصدارات النظام الأساسي والمحرك الشهريةيتم دعم هذه الميزة على الأجهزة التي تعمل Windows 10 أو الإصدار 1703 أو أحدث أو Windows 11 أو Windows Server 2012 R2 أو Windows Server 2016 أو أحدث أو Windows Server 2019 أو Windows Server 2022.
في
Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\، يجب تعيين ميزة حساب تجزئة الملف إلى ممكنلبدء حظر الملفات، قم بتشغيل ميزة "حظر أو السماح" في الإعدادات (في مدخل Microsoft Defender، انتقل إلى الإعدادات>نقاط> النهايةميزات> متقدمةعامة>السماح أو حظر الملف).
تم تصميم هذه الميزة لمنع تنزيل البرامج الضارة المشتبه بها (أو الملفات الضارة المحتملة) من الويب. وهو يدعم حاليا الملفات القابلة للتنفيذ المحمولة (PE)، بما في ذلك .exe والملفات .dll . يتم تمديد التغطية بمرور الوقت.
هام
في خطة Defender لنقطة النهاية 1 وDefender for Business، يمكنك إنشاء مؤشر لحظر ملف أو السماح به. في Defender for Business، يتم تطبيق المؤشر عبر بيئتك ولا يمكن تحديد نطاقه لأجهزة معينة.
الإنشاء مؤشرا للملفات من صفحة الإعدادات
في جزء التنقل، حدد Settings>Endpoints Indicators> (ضمن Rules).
حدد علامة التبويب تجزئة الملف .
حدد إضافة عنصر.
حدد التفاصيل التالية:
- المؤشر: حدد تفاصيل الكيان وحدد انتهاء صلاحية المؤشر.
- الإجراء: حدد الإجراء الذي سيتم اتخاذه وقدم وصفا.
- النطاق: حدد نطاق مجموعة الأجهزة (النطاق غير متوفر في Defender for Business).
ملاحظة
يتم دعم إنشاء مجموعة الأجهزة في كل من Defender for Endpoint الخطة 1 والخطة 2
راجع التفاصيل في علامة التبويب ملخص، ثم حدد حفظ.
الإنشاء مؤشر سياقي من صفحة تفاصيل الملف
أحد الخيارات عند اتخاذ إجراءات الاستجابة على ملف هو إضافة مؤشر للملف. عند إضافة تجزئة مؤشر لملف، يمكنك اختيار رفع تنبيه وحظر الملف كلما حاول جهاز في مؤسستك تشغيله.
لن تظهر الملفات التي تم حظرها تلقائيا بواسطة مؤشر في مركز الصيانة الخاص بالملف، ولكن ستظل التنبيهات مرئية في قائمة انتظار التنبيهات.
التنبيه على إجراءات حظر الملفات (معاينة)
هام
تتعلق المعلومات الواردة في هذا القسم (المعاينة العامة لمحرك التحقيق والمعالجة التلقائي) بالمنتج التجريبي الذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.
الإجراءات الحالية المدعومة لملف IOC هي السماح والتدقيق والكتلة والمعالجة. بعد اختيار حظر ملف، يمكنك اختيار ما إذا كانت هناك حاجة إلى تشغيل تنبيه. بهذه الطريقة، ستتمكن من التحكم في عدد التنبيهات التي يتم الوصول إليها إلى فرق عمليات الأمان والتأكد من رفع التنبيهات المطلوبة فقط.
في Microsoft Defender XDR، انتقل إلى إعدادات> مؤشراتنقاط>> النهايةإضافة تجزئة ملف جديد.
اختر حظر الملف ومعالجته.
اختر ما إذا كنت تريد إنشاء تنبيه على حدث كتلة الملف وتحديد إعدادات التنبيهات:
- عنوان التنبيه
- خطورة التنبيه
- الفئة
- الوصف
- الإجراءات الموصى بها
هام
- عادة ما يتم فرض كتل الملفات وإزالتها في غضون دقيقتين، ولكن يمكن أن تستغرق ما يزيد عن 30 دقيقة.
- إذا كانت هناك نهج IoC ملف متعارضة بنفس نوع الإنفاذ والهدف، فسيتم تطبيق نهج التجزئة الأكثر أمانا. سيفوز نهج تجزئة ملف SHA-256 IoC على نهج تجزئة ملف SHA-1 IoC، والذي سيفوز على نهج IoC لتجزئة ملف MD5 إذا كانت أنواع التجزئة تحدد نفس الملف. هذا صحيح دائما بغض النظر عن مجموعة الأجهزة.
- في جميع الحالات الأخرى، إذا تم تطبيق نهج IoC للملف المتضارب مع نفس هدف الإنفاذ على جميع الأجهزة وعلى مجموعة الجهاز، فإن النهج في مجموعة الأجهزة سيفوز بالنسبة للجهاز.
- إذا تم تعطيل نهج مجموعة EnableFileHashComputation، يتم تقليل دقة حظر ملف IoC. ومع ذلك، قد يؤثر التمكين
EnableFileHashComputationعلى أداء الجهاز. على سبيل المثال، قد يكون لنسخ الملفات الكبيرة من مشاركة شبكة على جهازك المحلي، خاصة عبر اتصال VPN، تأثير على أداء الجهاز.
لمزيد من المعلومات حول نهج مجموعة EnableFileHashComputation، راجع Defender CSP.
لمزيد من المعلومات حول تكوين هذه الميزة على Defender لنقطة النهاية على Linux وmacOS، راجع تكوين ميزة حساب تجزئة الملف على Linux وتكوين ميزة حساب تجزئة الملف على macOS.
إمكانات التتبع المتقدمة (معاينة)
هام
تتعلق المعلومات الواردة في هذا القسم (المعاينة العامة لمحرك التحقيق والمعالجة التلقائي) بالمنتج التجريبي الذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.
حاليا في المعاينة، يمكنك الاستعلام عن نشاط إجراء الاستجابة في التتبع المسبق. فيما يلي نموذج استعلام تتبع متقدم:
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"
لمزيد من المعلومات حول التتبع المتقدم، راجع البحث الاستباقي عن التهديدات باستخدام التتبع المتقدم.
فيما يلي أسماء مؤشرات الترابط الأخرى التي يمكن استخدامها في نموذج الاستعلام من الأعلى:
الملفات:
EUS:Win32/CustomEnterpriseBlock!clEUS:Win32/CustomEnterpriseNoAlertBlock!cl
شهادات:
EUS:Win32/CustomCertEnterpriseBlock!cl
يمكن أيضا عرض نشاط إجراء الاستجابة في المخطط الزمني للجهاز.
معالجة تعارض النهج
تتبع تعارضات معالجة نهج Cert وFily IoC هذا الترتيب:
- إذا لم يكن الملف مسموحا به بواسطة Windows Defender Application Control وAppLocker فرض نهج الوضع، ثم حظر.
- وإلا، إذا كان الملف مسموحا به بواسطة استثناءات برنامج الحماية من الفيروسات Microsoft Defender، فاسمح بذلك.
- وإلا، إذا تم حظر الملف أو تحذيره بواسطة كتلة أو تحذير IoCs للملف، فعندئذ حظر/تحذير.
- وإلا، إذا تم حظر الملف بواسطة SmartScreen، فعندئذ قم بحظر.
- وإلا، إذا كان الملف مسموحا به بواسطة نهج السماح بملف IoC، فاسمح بذلك.
- وإلا، إذا تم حظر الملف بواسطة قواعد تقليل الأجزاء المعرضة للهجوم أو الوصول المتحكم به إلى المجلدات أو الحماية من الفيروسات، فعندئذ قم بحظر.
- وإلا، السماح (يمرر Windows Defender Application Control & نهج AppLocker، ولا تنطبق أي قواعد IoC عليه).
ملاحظة
في الحالات التي يتم فيها تعيين Microsoft Defender مكافحة الفيروسات إلى حظر، ولكن يتم تعيين مؤشرات Defender لنقطة النهاية لتجزئة الملف أو الشهادات على السماح، يتم تعيين النهج افتراضيا إلى السماح.
إذا كانت هناك نهج IoC ملف متعارضة بنفس نوع الإنفاذ والهدف، يتم تطبيق نهج التجزئة الأكثر أمانا (بمعنى أطول). على سبيل المثال، يكون لنهج تجزئة ملف SHA-256 IoC الأسبقية على نهج IoC لتجزئة ملف MD5 إذا كان كلا النوعين من التجزئة يعرفان نفس الملف.
تحذير
تختلف معالجة تعارض النهج للملفات والشهادات عن معالجة تعارض النهج للمجالات/عناوين URL/عناوين IP.
تستخدم ميزات التطبيق الضعيفة للكتلة إدارة الثغرات الأمنية في Microsoft Defender ملفات IoCs للإنفاذ وتتبع أمر معالجة التعارض الموضح سابقا في هذا القسم.
أمثلة
| مكون | إنفاذ المكونات | إجراء مؤشر الملف | نتيجه |
|---|---|---|---|
| استبعاد مسار ملف تقليل الأجزاء المعرضة للهجوم | سماح | حظر | حظر |
| قاعدة تقليل الأجزاء المعرضة للهجوم | حظر | سماح | سماح |
| التحكم في تطبيق Windows Defender | سماح | حظر | سماح |
| التحكم في تطبيق Windows Defender | حظر | سماح | حظر |
| استبعاد برنامج الحماية من الفيروسات Microsoft Defender | سماح | حظر | سماح |
راجع أيضًا
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ