Vytváření indikátorů pro soubory

Důležité

V Defenderu for Endpoint Plan 1 a Defender pro firmy můžete vytvořit indikátor pro blokování nebo povolení souboru. V Defender pro firmy se váš indikátor použije ve vašem prostředí a nedá se určit na konkrétní zařízení.

Poznámka

Aby tato funkce fungovala na Windows Server 2016 a Windows Server 2012 R2, musí být tato zařízení nasazená pomocí moderního sjednoceného řešení. Vlastní indikátory souborů s akcemi Povolit, Blokovat a Napravit jsou nyní k dispozici také ve vylepšených funkcích antimalwarového modulu pro macOS a Linux.

Indikátory souborů brání dalšímu šíření útoku ve vaší organizaci tím, že zakážou potenciálně škodlivé soubory nebo podezřelý malware. Pokud znáte potenciálně škodlivý přenosný spustitelný soubor (PE), můžete ho zablokovat. Tato operace zabrání jejímu čtení, zápisu nebo spuštění na zařízeních ve vaší organizaci.

Existují tři způsoby, jak můžete vytvořit indikátory pro soubory:

• Vytvořením indikátoru prostřednictvím stránky nastavení
• Vytvořením kontextového indikátoru pomocí tlačítka přidat indikátor ze stránky s podrobnostmi o souboru
• Vytvořením ukazatele prostřednictvím rozhraní API pro indikátory

Požadavky

Než vytvoříte indikátory pro soubory, seznamte se s následujícími požadavky:

• Monitorování chování je povolené.
• Cloudová ochrana je zapnutá.
• Síťové připojení služby Cloud Protection je funkční

Podporované operační systémy

• Windows 10 verze 1703 nebo novější
• Windows 11
• Windows Server 2012 R2
• Windows Server 2016 nebo novější
• Azure OS Stack HCI verze 23H2 a novější.

Požadavky na Windows

• Tato funkce je dostupná, pokud vaše organizace používá Microsoft Defender Antivirovou ochranu (v aktivním režimu).
• Antimalwarová verze klienta musí být 4.18.1901.x nebo novější. Viz Měsíční verze platformy a modulu.
• Výpočet hodnoty hash souboru je povolen nastavením Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\Enable File Hash Computation na Povoleno. Nebo můžete spustit následující příkaz PowerShellu: Set-MpPreference -EnableFileHashComputation $true

Poznámka

Indikátory souborů podporují pouze přenosné spustitelné soubory (PE), včetně .exe souborů a .dll .

Požadavky na macOS

• Ochrana v reálném čase (RTP) musí být aktivní.
• Musí být povolen výpočet hodnoty hash souboru. Spusťte následující příkaz: mdatp config enable-file-hash-computation --value enabled

Poznámka

V systému macOS podporují indikátory souborů tři typy souborů: spustitelné soubory Mach-O, skripty prostředí POSIX (například ty, které běží pomocí sh nebo bash) a soubory AppleScriptu (.scpt). (Mach-O je nativní spustitelný formát macOS, který je srovnatelný s .exe a .dll ve Windows.)

požadavky na Linux

• K dispozici ve verzi 101.85.27 Defenderu for Endpoint nebo novější.
• Výpočet hodnoty hash souboru musí být povolený na portálu Microsoft Defender nebo ve spravovaném formátu JSON.
• Je preferované monitorování chování, ale tato funkce funguje s jakoukoli jinou kontrolou (RTP nebo Vlastní).

Poznámka

Na Linux podporují indikátory souborů soubory skriptu (soubory .sh) a soubory ELF.

Vytvoření indikátoru pro soubory ze stránky nastavení

1. V navigačním podokně vyberteIndikátory koncových bodů>nastavení>systému> (v části Pravidla).

2. Vyberte kartu Hodnoty hash souborů .

3. Vyberte Přidat položku.

4. Zadejte následující podrobnosti:

   • Indikátor: Zadejte podrobnosti entity a definujte vypršení platnosti ukazatele.
   • Akce: Zadejte akci, která se má provést, a zadejte popis.
   • Obor: Definujte rozsah skupiny zařízení (rozsah není k dispozici v Defender pro firmy).

5. Zkontrolujte podrobnosti na kartě Souhrn a pak vyberte Uložit.

Vytvoření kontextového indikátoru ze stránky podrobností souboru

Jednou z možností při provádění akcí odpovědí u souboru je přidání indikátoru pro soubor. Když pro soubor přidáte hodnotu hash ukazatele, můžete vyvolat upozornění a soubor zablokovat, kdykoli se ho zařízení ve vaší organizaci pokusí spustit.

Files automaticky blokované indikátorem se v centru akcí souboru nezobrazí, ale výstrahy se budou dál zobrazovat ve frontě upozornění.

Blokovat soubory

1. Pokud chcete začít blokovatsoubory, zapněte v Nastavení funkci blokovat nebo povolit (na portálu Microsoft Defender přejděte na Nastavení>Obecné pokročilé funkce> Koncové body>> Povolit nebo blokovat soubor).

Upozorňování na akce blokování souborů (Preview)

Důležité

Informace v této části (Verze Public Preview pro modul automatizovaného vyšetřování a nápravy) se týkají předběžné verze produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Aktuálně podporované akce pro IOC souborů jsou povolení, audit, blokování a náprava. Po výběru blokování souboru můžete zvolit, jestli je potřeba aktivovat upozornění. Tímto způsobem budete moct řídit počet výstrah, které se dostanou k vašim týmům pro operace zabezpečení, a zajistit, aby se vygenerovaly jenom požadované výstrahy.

1. Na portálu Microsoft Defender přejděte na Nastavení>Koncové body Indikátory>>Přidat novou hodnotu hash souboru.

2. Zvolte blokování a nápravu souboru.

3. Určete, jestli se má vygenerovat upozornění na událost blokování souborů, a definujte nastavení upozornění:

   • Název upozornění
   • Závažnost upozornění
   • Kategorie
   • Popis
   • Doporučené akce

   

   Důležité

   • Bloky souborů se obvykle vynucují a odebírají během 15 minut, průměrně 30 minut, ale můžou trvat až 2 hodiny.
   • Pokud existují konfliktní zásady IoC pro soubory se stejným typem a cílem vynucení, použije se zásada bezpečnější hodnoty hash. Zásady IoC hodnoty hash souboru SHA-256 zvítězí nad zásadou IoC hash souboru SHA-1, která získá přednost nad zásadou IoC hodnoty hash souboru MD5, pokud typy hodnot hash definují stejný soubor. To platí vždy bez ohledu na skupinu zařízení.
   • Ve všech ostatních případech platí, že pokud se na všechna zařízení a skupinu zařízení použijí konfliktní zásady IoC souboru se stejným cílem vynucení, pak u zařízení zvítězí zásada ve skupině zařízení.
   • Pokud je zásada skupiny EnableFileHashComputation zakázaná, přesnost blokování IoC souboru se sníží. Povolení EnableFileHashComputation ale může mít vliv na výkon zařízení. Například kopírování velkých souborů ze sdílené síťové složky do místního zařízení, zejména přes připojení VPN, může mít vliv na výkon zařízení. Další informace o zásadách skupiny EnableFileHashComputation najdete v tématu Defender CSP. Další informace o konfiguraci této funkce v Defenderu for Endpoint v Linux a macOS najdete v tématech Konfigurace funkce výpočtu hodnoty hash souborů na Linux a Konfigurace funkce výpočtu hodnoty hash souborů v systému macOS.

Rozšířené možnosti proaktivního vyhledávání (Preview)

Důležité

Informace v této části (Verze Public Preview pro modul automatizovaného vyšetřování a nápravy) se týkají předběžné verze produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

V současné době je ve verzi Preview možné se na aktivitu akcí odpovědi předem dotazovat. Níže je ukázkový dotaz proaktivního proaktivního vyhledávání:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Další informace o rozšířeném proaktivním vyhledávání najdete v tématu Proaktivní vyhledávání hrozeb pomocí rozšířeného proaktivního vyhledávání.

Tady jsou další názvy hrozeb, které je možné použít v ukázkovém dotazu:

Files:

• EUS:Win32/CustomEnterpriseBlock!cl
• EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Certifikáty:

• EUS:Win32/CustomCertEnterpriseBlock!cl

Aktivitu akce odpovědi je také možné zobrazit na časové ose zařízení.

Zpracování konfliktů zásad

Konflikty zpracování zásad IoC certifikátů a souborů se řídí tímto pořadím:

1. Pokud řízení aplikací v programu Windows Defender a zásady vynucování režimu AppLockeru nepovolují, pak zablokujte.

2. Jinak platí, že pokud je soubor povolený Microsoft Defender Vyloučení antivirové ochrany, pak Povolit.

3. Jinak platí, že pokud je soubor blokovaný nebo varován blokem nebo upozorněním souboru IoCs, pak blokovat/upozornit.

4. Jinak platí, že pokud je soubor blokovaný filtrem SmartScreen, pak blokovat.

5. V opačném případě platí, že pokud je soubor povolený zásadami IoC pro povolení souboru, pak povolit.

6. V opačném případě platí, že pokud je soubor blokovaný pravidly omezení potenciální oblasti útoku, řízeným přístupem ke složkům nebo antivirovou ochranou, pak možnost Blokovat.

7. Else, Povolit (předá Řízení aplikací v programu Windows Defender & zásady AppLockeru, nevztahují se na něj žádná pravidla IoC).

Poznámka

V situacích, kdy je Microsoft Defender Antivirová ochrana nastavená na Blokovat, ale indikátory defenderu for Endpoint pro hodnotu hash souboru nebo certifikáty jsou nastavené na Povolit, se ve výchozím nastavení zásady nastaví na Povolit.

Poznámka

V situacích, kdy je indikátor založený na certifikátu nakonfigurovaný na Blokovat, ale indikátor hodnoty hash souboru pro jeden z jeho podepsaných souborů je nakonfigurovaný na Povolit, není tato konfigurace záměrně podporována. Indikátory založené na certifikátech mají ve zkušebním kanálu Programu Defender vyšší prioritu a vždy přepíšou indikátory povolených hodnot hash souboru. Konfigurace, která současně:

• zablokuje certifikát a
• se pokusí povolit jeden ze svých podepsaných souborů prostřednictvím hodnoty hash souboru.

se nepodporuje. Indikátory založené na certifikátech mají přednost, a proto se soubor bude dál blokovat.

Pokud existují konfliktní zásady IoC souboru se stejným typem a cílem vynucení, použije se zásada bezpečnější hodnoty hash (tj. delší). Například zásada IoC hodnoty hash souboru SHA-256 má přednost před zásadami IoC hodnoty hash souboru MD5, pokud oba typy hodnot hash definují stejný soubor.

Upozornění

Zpracování konfliktů zásad pro soubory a certifikáty se liší od zpracování konfliktů zásad pro domény, adresy URL nebo IP adresy.

funkce aplikace Microsoft Defender Správa zranitelností, které jsou ohrožené blokováním, používají k vynucení ioC souborů a řídí se pořadím zpracování konfliktů popsaným výše v této části.

Příklady

Součást	Vynucení komponent	Akce indikátoru souboru	Result (Výsledek)
Antivirová ochrana	Blokování	Povolit	Povolit
Vyloučení cesty k souboru pro omezení potenciální oblasti útoku	Povolit	Blokování	Blokování
Pravidlo omezení potenciální oblasti útoku	Blokování	Povolit	Povolit
Řízení aplikací v programu Windows Defender	Povolit	Blokování	Povolit
Řízení aplikací v programu Windows Defender	Blokování	Povolit	Blokování
vyloučení antivirové ochrany Microsoft Defender	Povolit	Blokování	Povolit

Viz také

• Vytváření indikátorů

• Vytváření indikátorů pro IP adresy a adresy URL / domény

• Vytvoření indikátorů založených na certifikátech

• Správa indikátorů

• Vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus