Vytváření indikátorů

  • Článek

Platí pro:

Tip

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Přehled ukazatele ohrožení zabezpečení (IoC)

Indikátor ohrožení (IoC) je forenzní artefakt, který se vyskytuje v síti nebo hostiteli. IoC s vysokou jistotou označuje, že došlo k vniknutí do počítače nebo sítě. IoC jsou pozorovatelné, což je přímo propojuje s měřitelnými událostmi. Mezi příklady IoC patří:

  • hodnoty hash známého malwaru
  • podpisy škodlivého síťového provozu
  • Adresy URL nebo domény, které jsou známými distributory malwaru

Pokud chcete zastavit další ohrožení zabezpečení nebo zabránit porušení známých ioC, úspěšné nástroje IoC by měly být schopné detekovat všechna škodlivá data, která jsou uvedená v sadě pravidel nástroje. Párování IoC je základní funkcí každého řešení ochrany koncových bodů. Tato funkce dává secOps možnost nastavit seznam indikátorů pro detekci a blokování (prevence a reakce).

Organizace můžou vytvářet indikátory, které definují detekci, prevenci a vyloučení entit IoC. Můžete definovat akci, která se má provést, dobu trvání, kdy se má akce použít, a rozsah skupiny zařízení, na kterou se má použít.

Toto video ukazuje návod k vytváření a přidávání indikátorů:

Informace o indikátorech Microsoftu

Obecně platí, že byste měli vytvářet indikátory pouze pro známé chybné ioC nebo pro všechny soubory nebo weby, které by měly být ve vaší organizaci explicitně povolené. Další informace o typech webů, které může Defender for Endpoint ve výchozím nastavení blokovat, najdete v tématu Microsoft Defender Přehled filtru SmartScreen.

Falešně pozitivní (FP) označuje filtr SmartScreen jako falešně pozitivní, takže se považuje za malware nebo phish, ale ve skutečnosti to není hrozba, takže pro něj chcete vytvořit zásadu povolení.

Můžete také pomoct zlepšit informace o zabezpečení microsoftu odesíláním falešně pozitivních zpráv a podezřelých nebo známých chybných ioC k analýze. Pokud se u souboru nebo aplikace nesprávně zobrazuje upozornění nebo blokování nebo pokud máte podezření, že nezjištěný soubor je malware, můžete soubor odeslat společnosti Microsoft ke kontrole. Další informace najdete v tématu Odeslání souborů k analýze.

Indikátory IP/URL

Indikátory IP/URL můžete použít k odblokování uživatelů z filtru SmartScreen s falešně pozitivním (FP) nebo k přepsání bloku filtrování webového obsahu (WFC).

Ke správě přístupu k webu můžete použít indikátory adres URL a IP adres. Můžete vytvořit dočasné indikátory IP adresy a adresy URL pro dočasné odblokování uživatelů z bloku SmartScreen. Můžete také mít indikátory, které uchováváte po dlouhou dobu, abyste selektivně obešli bloky filtrování webového obsahu.

Představte si případ, kdy máte kategorizaci webového obsahu pro konkrétní web, která je správná. V tomto příkladu máte filtrování webového obsahu nastavené tak, aby blokovala všechna sociální média, což je správné pro celkové cíle vaší organizace. Marketingový tým má však skutečnou potřebu používat konkrétní web sociálních médií pro reklamu a oznámení. V takovém případě můžete konkrétní web sociálních médií odblokovat pomocí indikátorů IP adres nebo ADRES URL pro konkrétní skupinu (nebo skupiny), které se mají použít.

Viz Webová ochrana a filtrování webového obsahu.

Indikátory IP/URL: Ochrana sítě a třícestné metody handshake protokolu TCP

U ochrany sítě se určení, zda povolit nebo zablokovat přístup k lokalitě, provádí po dokončení třícestného metody handshake prostřednictvím protokolu TCP/IP. Proto když je lokalita blokována ochranou sítě, může se na portálu Microsoft Defender zobrazit typ ConnectionSuccessNetworkConnectionEvents akce pod, i když byla lokalita zablokovaná. NetworkConnectionEvents jsou hlášeny z vrstvy PROTOKOLU TCP, nikoli z ochrany sítě. Po dokončení trojcestného metody handshake je přístup k lokalitě povolený nebo blokovaný ochranou sítě.

Tady je příklad, jak to funguje:

  1. Předpokládejme, že se uživatel pokusí o přístup k webu na svém zařízení. Web je hostovaný v nebezpečné doméně a měla by být blokována ochranou sítě.

  2. Spustí se trojcestné handshake přes protokol TCP/IP. Než se akce dokončí, NetworkConnectionEvents zaprotokoluje se a zobrazí ActionType se jako ConnectionSuccess. Jakmile se ale třícestný proces handshake dokončí, ochrana sítě zablokuje přístup k lokalitě. To všechno se děje rychle. K podobnému procesu dochází u Microsoft Defender filtru SmartScreen. Když trojcestný metodou handshake dokončíte rozhodnutí a přístup k webu je buď zablokovaný, nebo povolený.

  3. Na portálu Microsoft Defender je ve frontě upozornění uvedená výstraha. Podrobnosti o této výstraze zahrnují i NetworkConnectionEventsAlertEvents. Můžete vidět, že web byl zablokován, i když máte NetworkConnectionEvents také položku s actiontypem ConnectionSuccess.

Indikátory hodnoty hash souboru

V některých případech může být vytvoření nového indikátoru pro nově identifikovaný soubor IoC – jako okamžité opatření stop-gap – vhodné k blokování souborů nebo dokonce aplikací. Použití indikátorů k pokusu o blokování aplikace však nemusí poskytnout očekávané výsledky, protože aplikace se obvykle skládají z mnoha různých souborů. Upřednostňované metody blokování aplikací jsou použití Windows Defender Řízení aplikací (WDAC) nebo AppLocker.

Vzhledem k tomu, že každá verze aplikace má jinou hodnotu hash souboru, nedoporučuje se používat indikátory k blokování hodnot hash.

Windows Defender Application Control (WDAC)

Indikátory certifikátů

V některých případech se jedná o konkrétní certifikát, který se používá k podepsání souboru nebo aplikace, kterou má vaše organizace nastavenou na povolení nebo blokování. Indikátory certifikátů se v Defenderu for Endpoint podporují, pokud používají . CER nebo . Formát souboru PEM. Další podrobnosti najdete v tématu Create indikátory založené na certifikátech.

Moduly pro detekci IoC

V současné době jsou podporované zdroje Microsoftu pro ioC:

Modul pro detekci cloudu

Modul pro detekci cloudu defenderu for Endpoint pravidelně kontroluje shromážděná data a snaží se shodovat s nastavenými indikátory. Pokud existuje shoda, provede se akce podle nastavení, která jste zadali pro IoC.

Modul prevence koncových bodů

Stejný seznam ukazatelů je respektován preventivním agentem. To znamená, že pokud je Microsoft Defender Antivirus primárním nakonfigurovaným antivirovým programem, odpovídající indikátory se zpracovávají podle nastavení. Pokud je například akce "Výstraha a blokování", Microsoft Defender Antivirová ochrana brání spuštění souborů (blokovat a napravit) a zobrazí se odpovídající výstraha. Na druhou stranu, pokud je akce nastavená na Povolit, Microsoft Defender Antivirus soubor nerozpozná ani nezablokuje.

Modul automatizovaného prověřování a nápravy

Automatizované prověřování a náprava se chovají podobně jako modul pro prevenci koncových bodů. Pokud je indikátor nastavený na Povolit, automatizované vyšetřování a náprava pro něj ignoruje "špatný" verdikt. Pokud je nastavená možnost Blokovat, automatizované vyšetřování a náprava ji považuje za špatné.

Nastavení EnableFileHashComputation vypočítá hodnotu hash souboru pro certifikát a ioC souboru během kontrol souborů. Podporuje vynucování hodnot hash IoC a certifikáty patří do důvěryhodných aplikací. Je povolená souběžně s nastavením povolit nebo blokovat soubor. EnableFileHashComputationje povolený ručně prostřednictvím Zásady skupiny a ve výchozím nastavení je zakázaný.

Typy vynucení pro indikátory

Když váš bezpečnostní tým vytvoří nový indikátor (IoC), jsou k dispozici následující akce:

  • Povolit – IoC může běžet na vašich zařízeních.
  • Audit – při spuštění IoC se aktivuje upozornění.
  • Upozornění – IoC zobrazí výzvu, že uživatel může obejít
  • Blokovat spuštění – IoC nebude možné spustit.
  • Blokování a náprava – IoC nebude možné spustit a na IoC se použije nápravná akce.

Poznámka

Pokud použijete režim Upozornění, zobrazí se uživatelům upozornění, pokud otevřou rizikovou aplikaci nebo web. Výzva nezablokuje spuštění aplikace nebo webu, ale můžete zadat vlastní zprávu a odkazy na stránku společnosti, která popisuje vhodné použití aplikace. Uživatelé můžou upozornění obejít a v případě potřeby aplikaci dál používat. Další informace najdete v tématu Řízení aplikací zjištěných Microsoft Defender for Endpoint.

Můžete vytvořit indikátor pro:

Následující tabulka přesně ukazuje, které akce jsou k dispozici pro jednotlivé typy indikátorů (IoC):

Typ IoC Dostupné akce
Soubory Povolit
Auditu
Varovat
Spuštění bloku
Blokování a náprava
IP adresy Povolit
Auditu
Varovat
Spuštění bloku
Adresy URL a domény Povolit
Auditu
Varovat
Spuštění bloku
Certifikáty Povolit
Blokování a náprava

Funkce již existujících ioC se nezmění. Indikátory se ale přejmenovaly tak, aby odpovídaly aktuálně podporovaným akcím odpovědi:

  • Akce odpovědi "Pouze upozornění" byla přejmenována na audit s povoleným nastavením vygenerovaného upozornění.
  • Odpověď upozornění a blokování byla přejmenována na blokovat a napravit pomocí volitelného nastavení vygenerovat výstrahu.

Schéma rozhraní IoC API a ID hrozeb při předběžném proaktivním vyhledávání se aktualizují tak, aby odpovídaly přejmenování akcí odpovědí IoC. Změny schématu rozhraní API se vztahují na všechny typy IoC.

Poznámka

Pro jednoho tenanta platí limit 15 000 indikátorů. Indikátory souborů a certifikátů neblokují vyloučení definovaná pro Microsoft Defender Antivirus. Microsoft Defender Antivirus nepodporuje indikátory, pokud je v pasivním režimu.

Formát importu nových indikátorů (IoC) se změnil v závislosti na nových aktualizovaných nastaveních akcí a upozornění. Doporučujeme stáhnout nový formát CSV, který najdete v dolní části panelu importu.

Známé problémy a omezení

Zákazníci můžou mít problémy s upozorněními na indikátory ohrožení zabezpečení. Následující scénáře jsou situace, kdy se nevytvořily výstrahy nebo se vytvářejí s nepřesnými informacemi. Každý problém prošetřuje náš technický tým.

  • Indikátory bloků – aktivují se obecná upozornění pouze s informační závažností. Vlastní upozornění (tj. vlastní název a závažnost) se v těchto případech neaktivují.
  • Indikátory upozornění – v tomto scénáři jsou možné obecné výstrahy a vlastní výstrahy, ale výsledky nejsou deterministické kvůli problému s logikou detekce upozornění. V některých případech se zákazníkům může zobrazit obecná výstraha, zatímco v jiných případech se může zobrazit vlastní výstraha.
  • Povolit – negenerují se žádné výstrahy (záměrně).
  • Audit – výstrahy se generují na základě závažnosti poskytnuté zákazníkem.
  • V některých případech můžou mít výstrahy pocházející z detekce EDR přednost před výstrahami vyplývajícími z antivirových bloků. V takovém případě se vygeneruje informační výstraha.

Aplikace z Microsoft Storu nemůže program Defender blokovat, protože jsou podepsané Microsoftem.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.