Vytváření indikátorů pro soubory
Platí pro:
- Microsoft Defender XDR
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender pro firmy
Tip
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Zabraňte dalšímu šíření útoku ve vaší organizaci tím, že zakážete potenciálně škodlivé soubory nebo podezřelý malware. Pokud znáte potenciálně škodlivý přenosný spustitelný soubor (PE), můžete ho zablokovat. Tato operace zabrání jejímu čtení, zápisu nebo spuštění na zařízeních ve vaší organizaci.
Existují tři způsoby, jak můžete vytvořit indikátory pro soubory:
- Vytvořením indikátoru prostřednictvím stránky nastavení
- Vytvořením kontextového indikátoru pomocí tlačítka přidat indikátor ze stránky s podrobnostmi o souboru
- Vytvořením ukazatele prostřednictvím rozhraní API pro indikátory
Poznámka
Aby tato funkce fungovala na Windows Server 2016 a Windows Server 2012 R2, musí být tato zařízení nasazená podle pokynů v tématu Onboarding serverů s Windows. Vlastní indikátory souborů s akcemi Povolit, Blokovat a Napravit jsou teď k dispozici také v rozšířených funkcích antimalwarového modulu pro macOS a Linux.
Než začnete
Než vytvoříte indikátory pro soubory, seznamte se s následujícími požadavky:
Tato funkce je dostupná, pokud vaše organizace používá Microsoft Defender Antivirovou ochranu (v aktivním režimu).
Verze antimalwarového klienta musí být
4.18.1901.x
nebo novější. Viz Měsíční verze platformy a modulu.Tato funkce je podporovaná na zařízeních se systémem Windows 10 verze 1703 nebo novější, Windows 11, Windows Server 2012 R2, Windows Server 2016 nebo novějším, Windows Serverem 2019 nebo Windows Serverem 2022.
V
Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\
nástroji by funkce výpočtu hodnoty hash souboru měla být nastavená na Povoleno.Pokud chcete začít blokovatsoubory, zapněte v Nastavení funkci blokovat nebo povolit (na portálu Microsoft Defender přejděte na Nastavení>Obecné pokročilé funkce> Koncové body>> Povolit nebo blokovat soubor).
Tato funkce je navržená tak, aby zabránila stažení podezřelého malwaru (nebo potenciálně škodlivých souborů) z webu. V současné době podporuje přenosné spustitelné soubory (PE), včetně .exe
souborů a .dll
. Pokrytí se v průběhu času prodlužuje.
Důležité
V Defenderu for Endpoint Plan 1 a Defenderu pro firmy můžete vytvořit indikátor pro blokování nebo povolení souboru. V Defenderu pro firmy se váš indikátor použije ve vašem prostředí a nedá se nastavit na konkrétní zařízení.
Create indikátoru pro soubory ze stránky nastavení
V navigačním podokně vyberteIndikátory koncových bodů>nastavení>(v části Pravidla).
Vyberte kartu Hodnoty hash souborů .
Vyberte Přidat položku.
Zadejte následující podrobnosti:
- Indikátor: Zadejte podrobnosti entity a definujte vypršení platnosti ukazatele.
- Akce: Zadejte akci, která se má provést, a zadejte popis.
- Obor: Definujte rozsah skupiny zařízení (rozsah není k dispozici v Defenderu pro firmy).
Poznámka
Vytvoření skupiny zařízení se podporuje v Defenderu for Endpoint Plan 1 i Plan 2.
Zkontrolujte podrobnosti na kartě Souhrn a pak vyberte Uložit.
Create kontextový indikátor ze stránky s podrobnostmi o souboru
Jednou z možností při provádění akcí odpovědí u souboru je přidání indikátoru pro soubor. Když pro soubor přidáte hodnotu hash ukazatele, můžete vyvolat upozornění a soubor zablokovat, kdykoli se ho zařízení ve vaší organizaci pokusí spustit.
Soubory automaticky blokované indikátorem se v centru akcí souboru nezobrazí, ale výstrahy budou stále viditelné ve frontě upozornění.
Upozorňování na akce blokování souborů (Preview)
Důležité
Informace v této části (Verze Public Preview pro modul automatizovaného vyšetřování a nápravy) se týkají předběžné verze produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Aktuálně podporované akce pro IOC souborů jsou povolení, audit, blokování a náprava. Po výběru blokování souboru můžete zvolit, jestli je potřeba aktivovat upozornění. Tímto způsobem budete moct řídit počet výstrah, které se dostanou k vašim týmům pro operace zabezpečení, a zajistit, aby se vygenerovaly jenom požadované výstrahy.
V Microsoft Defender XDR přejděte na Indikátory>koncových bodů> nastavení >Přidat novou hodnotu hash souboru.
Zvolte Blokovat a opravit soubor.
Zvolte, jestli se má vygenerovat upozornění na událost blokování souborů, a definujte nastavení upozornění:
- Název upozornění
- Závažnost upozornění
- Kategorie
- Popis
- Doporučené akce
Důležité
- Bloky souborů se obvykle vynucují a odebírají během několika minut, ale můžou trvat až 30 minut.
- Pokud existují konfliktní zásady IoC pro soubory se stejným typem a cílem vynucení, použije se zásada bezpečnější hodnoty hash. Zásady IoC hodnoty hash souboru SHA-256 zvítězí nad zásadou IoC hash souboru SHA-1, která získá přednost nad zásadou IoC hodnoty hash souboru MD5, pokud typy hodnot hash definují stejný soubor. To platí vždy bez ohledu na skupinu zařízení.
- Ve všech ostatních případech platí, že pokud se na všechna zařízení a skupinu zařízení použijí konfliktní zásady IoC souboru se stejným cílem vynucení, pak u zařízení zvítězí zásada ve skupině zařízení.
- Pokud je zásada skupiny EnableFileHashComputation zakázaná, přesnost blokování IoC souboru se sníží. Povolení
EnableFileHashComputation
ale může mít vliv na výkon zařízení. Například kopírování velkých souborů ze sdílené síťové složky do místního zařízení, zejména přes připojení VPN, může mít vliv na výkon zařízení.
Další informace o zásadách skupiny EnableFileHashComputation najdete v tématu Defender CSP.
Další informace o konfiguraci této funkce v Defenderu for Endpoint v Linuxu a macOS najdete v tématech Konfigurace funkce výpočtu hodnoty hash souborů v Linuxu a Konfigurace funkce výpočtu hodnoty hash souborů v systému macOS.
Rozšířené možnosti proaktivního vyhledávání (Preview)
Důležité
Informace v této části (Verze Public Preview pro modul automatizovaného vyšetřování a nápravy) se týkají předběžné verze produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
V současné době je ve verzi Preview možné se na aktivitu akcí odpovědi předem dotazovat. Níže je ukázkový dotaz proaktivního proaktivního vyhledávání:
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"
Další informace o rozšířeném proaktivním vyhledávání najdete v tématu Proaktivní vyhledávání hrozeb pomocí rozšířeného proaktivního vyhledávání.
Níže jsou uvedené další názvy vláken, které je možné použít v ukázkovém dotazu výše:
Soubory:
EUS:Win32/CustomEnterpriseBlock!cl
EUS:Win32/CustomEnterpriseNoAlertBlock!cl
Certifikáty:
EUS:Win32/CustomCertEnterpriseBlock!cl
Aktivitu akce odpovědi je také možné zobrazit na časové ose zařízení.
Zpracování konfliktů zásad
Konflikty zpracování zásad IoC certifikátů a souborů se řídí tímto pořadím:
- Pokud Windows Defender Řízení aplikací a AppLocker zásady vynucování režimu nepovolují, pak blokovat.
- Jinak platí, že pokud je soubor povolený Microsoft Defender Vyloučení antivirové ochrany, pak Povolit.
- Jinak platí, že pokud je soubor blokovaný nebo varován blokem nebo upozorněním souboru IoCs, pak blokovat/upozornit.
- Jinak platí, že pokud je soubor blokovaný filtrem SmartScreen, pak blokovat.
- V opačném případě platí, že pokud je soubor povolený zásadami IoC pro povolení souboru, pak povolit.
- V opačném případě platí, že pokud je soubor blokovaný pravidly omezení potenciální oblasti útoku, řízeným přístupem ke složkům nebo antivirovou ochranou, pak možnost Blokovat.
- Jinak, Povolit (předá Windows Defender řízení aplikací & zásady AppLockeru, nevztahují se na něj žádná pravidla IoC).
Poznámka
V situacích, kdy je Microsoft Defender Antivirová ochrana nastavená na Blokovat, ale indikátory defenderu for Endpoint pro hodnotu hash souboru nebo certifikáty jsou nastavené na Povolit, se ve výchozím nastavení zásady nastaví na Povolit.
Pokud existují konfliktní zásady IoC souboru se stejným typem a cílem vynucení, použije se zásada bezpečnější hodnoty hash (tj. delší). Například zásada IoC hodnoty hash souboru SHA-256 má přednost před zásadami IoC hodnoty hash souboru MD5, pokud oba typy hodnot hash definují stejný soubor.
Upozornění
Zpracování konfliktů zásad pro soubory a certifikáty se liší od zpracování konfliktů zásad pro domény, adresy URL nebo IP adresy.
funkce aplikace Microsoft Defender Správa zranitelností, které jsou ohrožené blokováním, používají k vynucení ioC souborů a řídí se pořadím zpracování konfliktů popsaným výše v této části.
Příklady
Součást | Vynucení komponent | Akce indikátoru souboru | Result (Výsledek) |
---|---|---|---|
Vyloučení cesty k souboru pro omezení potenciální oblasti útoku | Povolit | Blokování | Blokování |
Pravidlo omezení potenciální oblasti útoku | Blokování | Povolit | Povolit |
Windows Defender řízení aplikací | Povolit | Blokování | Povolit |
Windows Defender řízení aplikací | Blokování | Povolit | Blokování |
vyloučení antivirové ochrany Microsoft Defender | Povolit | Blokování | Povolit |
Viz také
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro