Del via

Oversigt over indikatorer i Microsoft Defender for Endpoint

Gælder for:

Oversigt over indikator for kompromis (IoC)

En indikator for kompromis (IoC) er en kriminalteknisk artefakt, der er observeret på netværket eller værten. En IoC angiver – med høj genkendelsessikkerhed – at der er opstået en computer- eller netværksindtrængen. Der kan observeres IOC'er, som linker dem direkte til målbare hændelser. Nogle IoC-eksempler omfatter:

  • hashes af kendt malware
  • signaturer for skadelig netværkstrafik
  • URL-adresser eller domæner, der er kendte malwaredistributører

Hvis du vil stoppe andre kompromiser eller forhindre brud på kendte IoC'er, bør vellykkede IoC-værktøjer kunne registrere alle skadelige data, der er angivet i værktøjets regelsæt. IoC-matchning er en vigtig funktion i alle løsning til beskyttelse af slutpunkter. Denne funktion giver SecOps mulighed for at angive en liste over indikatorer for registrering og blokering (forebyggelse og svar).

Organisationer kan oprette indikatorer, der definerer registrering, forebyggelse og udeladelse af IoC-enheder. Du kan definere den handling, der skal udføres, samt varigheden af, hvornår handlingen skal anvendes, og omfanget af den enhedsgruppe, den skal anvendes på.

I denne video kan du se en gennemgang af, hvordan du opretter og tilføjer indikatorer:

Om Microsoft-indikatorer

Generelt bør du kun oprette indikatorer for kendte dårlige IoCs eller for filer/websteder, der udtrykkeligt skal være tilladt i din organisation. Du kan finde flere oplysninger om de typer websteder, som Defender for Endpoint som standard kan blokere, under Microsoft Defender Oversigt over SmartScreen.

Et falsk positivt (FP) refererer til et falsk positivt i Microsofts trusselsintelligens. Hvis en given ressource faktisk ikke er en trussel, kan du oprette en Tillad IoC for at tillade ressourcen. Du kan også hjælpe med at skabe forbedringer af Microsofts sikkerhedsintelligens ved at indsende falske positiver og mistænkelige eller kendte dårlige IoCs til analyse. Hvis en advarsel eller blok vises forkert for en fil eller et program, eller hvis du har mistanke om, at en fil, der ikke er registreret, er malware, kan du sende en fil til Microsoft til gennemsyn. Du kan få flere oplysninger under Send filer til analyse.

IP/URL/Domæneindikatorer

Du kan bruge indikatorer for IP og URL/domæne til at administrere webstedsadgang.

Hvis du vil blokere forbindelser til en IP-adresse, skal du skrive IPv4-adressen i stiplet-quad-format (f.eks. 8.8.8.8). For IPv6-adresser skal du angive alle 8 segmenter (f.eks. 2001:4860:4860:0:0:0:0:8888). Bemærk, at jokertegn og områder ikke understøttes.

Hvis du vil blokere forbindelser til et domæne og et af dets underdomæner, skal du angive domænet (f.eks. example.com). Denne indikator matcher example.com såvel som sub.example.com og anything.sub.example.com.

Hvis du vil blokere en bestemt URL-sti, skal du angive URL-stien (f.eks. https://example.com/block). Denne indikator matcher ressourcer under /block stien på example.com. Bemærk, at URL-adresser til HTTPS kun matches i Microsoft Edge. URL-adresser til HTTP kan matches i en hvilken som helst browser.

Du kan også oprette IP- og URL-indikatorer for at fjerne blokeringen af brugere fra en SmartScreen-blok eller selektivt omgå filtreringsblokke af webindhold på websteder, som du vil tillade at indlæse. Overvej f.eks. en sag, hvor filtrering af webindhold er indstillet til at blokere alle websteder på sociale medier. Marketingteamet har dog et krav om at bruge et bestemt websted til sociale medier til at overvåge deres annonceplaceringer. I dette tilfælde kan du fjerne blokeringen af det specifikke websted for sociale medier ved at oprette en indikator for tillad domæne og tildele den til marketingteamets enhedsgruppe.

Se Filtrering af webbeskyttelse og webindhold

IP/URL-indikatorer: Netværksbeskyttelse og TCP-trevejs-håndtryk

Med netværksbeskyttelse bestemmes det, om der skal tillades eller blokeres adgang til et websted, efter at det trevejshåndtryk er fuldført via TCP/IP. Når et websted er blokeret af netværksbeskyttelse, kan du derfor se en handlingstype ConnectionSuccess under NetworkConnectionEvents på Microsoft Defender-portalen, selvom webstedet er blokeret. NetworkConnectionEvents rapporteres fra TCP-laget og ikke fra netværksbeskyttelse. Når det trevejshåndtryk er fuldført, er adgang til webstedet tilladt eller blokeret af netværksbeskyttelse.

Her er et eksempel på, hvordan det fungerer:

  1. Lad os antage, at en bruger forsøger at få adgang til et websted på sin enhed. Webstedet hostes tilfældigvis på et farligt domæne, og det bør blokeres af netværksbeskyttelse.

  2. Det trevejs-håndtryk via TCP/IP begynder. Før den fuldføres, logføres en NetworkConnectionEvents handling, og den ActionType er angivet som ConnectionSuccess. Men så snart den trevejshandtryksproces er fuldført, blokerer netværksbeskyttelse adgangen til webstedet. Alt dette sker hurtigt. En lignende proces forekommer med Microsoft Defender SmartScreen. Det er, når det trevejshåndtryk fuldfører, at der foretages en bestemmelse, og adgang til et websted enten er blokeret eller tilladt.

  3. I Microsoft Defender-portalen vises en besked i beskedkøen. Oplysningerne om denne besked omfatter både NetworkConnectionEvents og AlertEvents. Du kan se, at webstedet er blokeret, selvom du også har et NetworkConnectionEvents element med ActionType for ConnectionSuccess.

Filhashindikatorer

I nogle tilfælde kan det være hensigtsmæssigt at oprette en ny indikator for en nyligt identificeret fil IoC – som en øjeblikkelig stop-gap-måling – til at blokere filer eller endda programmer. Brug af indikatorer til at forsøge at blokere et program giver muligvis ikke de forventede resultater, da programmer typisk består af mange forskellige filer. De foretrukne metoder til blokering af programmer er at bruge WDAC (Windows Defender Application Control) eller AppLocker.

Da hver version af et program har en anden filhash, anbefales det ikke at bruge indikatorer til at blokere hashværdier.

Windows Defender Application Control (WDAC)

Certifikatindikatorer

Du kan oprette en IoC for at tillade eller blokere filer og programmer, der er signeret af certifikatet. Certifikatindikatorer kan angives i . CER eller . PEM-filformat. Se Opret indikatorer baseret på certifikater for at få flere oplysninger.

IoC-registreringsprogrammer

I øjeblikket er de understøttede Microsoft-kilder til IoCs:

Cloudregistreringsprogram

Programmet til cloudregistrering i Defender for Endpoint scanner jævnligt indsamlede data og forsøger at matche de indikatorer, du angiver. Når der er et match, udføres der en handling i henhold til de indstillinger, du har angivet for IoC' en.

Slutpunktsforebyggelsesprogram

Den samme liste over indikatorer æres af forebyggelsesagenten. Det betyder, at hvis Microsoft Defender Antivirus er det primære antivirusprogram konfigureret, behandles de tilsvarende indikatorer i henhold til indstillingerne. Hvis handlingen f.eks. er blokeret og afhjælpet, forhindrer Microsoft Defender Antivirus filudførelser, og der vises en tilsvarende besked. På den anden side, hvis handlingen er angivet til Tillad, registrerer eller blokerer Microsoft Defender Antivirus ikke filen.

Automatiseret undersøgelses- og afhjælpningsprogram

Den automatiserede undersøgelse og afhjælpning fungerer på samme måde som programmet til forebyggelse af slutpunkter. Hvis en indikator er angivet til Tillad, ignorerer automatiseret undersøgelse og afhjælpning en dårlig dom for den. Hvis indstillingen er angivet til Bloker, behandler automatiseret undersøgelse og afhjælpning det som dårligt.

Indstillingen EnableFileHashComputation beregner filhashen under filscanninger. Det understøtter IoC-håndhævelse mod hashværdier, der tilhører programmer, der er tillid til. Den aktiveres samtidig med indstillingen tillad eller bloker fil. EnableFileHashComputationaktiveres manuelt via Gruppepolitik og er deaktiveret som standard.

Håndhævelsestyper for indikatorer

Når dit sikkerhedsteam opretter en ny indikator (IoC), er følgende handlinger tilgængelige:

  • Tillad: IoC må køre på dine enheder.
  • Overvågning: En besked udløses, når IoC kører.
  • Advarsel! IoC beder om en advarsel om, at brugeren kan tilsidesætte
  • Blokkørsel: IoC må ikke køre.
  • Bloker og afhjælp: IoC må ikke køre, og der anvendes en afhjælpningshandling på IoC.

Bemærk!

Hvis du bruger Advarselstilstand, bliver brugerne bedt om at angive en advarsel, hvis de åbner en risikable app eller et websted. Prompten blokerer ikke for, at programmet eller webstedet kan køre, men du kan angive en brugerdefineret meddelelse og links til en virksomhedsside, der beskriver korrekt brug af appen. Brugerne kan stadig tilsidesætte advarslen og fortsætte med at bruge appen, hvis det er nødvendigt. Du kan finde flere oplysninger under Styr de apps, der registreres af Microsoft Defender for Endpoint.

Du kan oprette en indikator for:

I nedenstående tabel kan du se, hvilke handlinger der er tilgængelige pr. indikatortype (IoC):

IoC-type Tilgængelige handlinger
filer Tillad
Overvågning
Advare
Bloker udførelse
Bloker og afhjælp
IP-adresser Tillad
Overvågning
Advare
Bloker udførelse
URL-adresser og domæner Tillad
Overvågning
Advare
Bloker udførelse
Certifikater Tillad
Bloker og afhjælp

Funktionaliteten af eksisterende IoCs ændres ikke. Indikatorerne omdøbes dog, så de stemmer overens med de svarhandlinger, der understøttes i øjeblikket:

  • Den eneste svarhandling for beskeden blev omdøbt til overvågning med den genererede beskedindstilling aktiveret.
  • Beskeden og bloksvaret blev omdøbt til at blokere og afhjælpe med den valgfri indstilling for generér besked.

IoC API-skemaet og trussels-id'erne i Avanceret jagt opdateres for at tilpasse sig omdøbningen af IoC-svarhandlinger. Ændringerne i API-skemaet gælder for alle IoC-typer.

Bemærk!

Der er en grænse på 15.000 indikatorer pr. lejer. Stigninger til denne grænse understøttes ikke.

Fil- og certifikatindikatorer blokerer ikke de udeladelser, der er defineret for Microsoft Defender Antivirus. Indikatorer understøttes ikke i Microsoft Defender Antivirus, når de er i passiv tilstand.

Formatet for import af nye indikatorer (IoCs) er ændret i henhold til de nye opdaterede indstillinger for handlinger og beskeder. Vi anbefaler, at du downloader det nye CSV-format, der findes nederst i importpanelet.

Hvis indikatorer synkroniseres til Microsoft Defender-portalen fra Microsoft Defender for Cloud Apps for sanktionerede eller ikke-godkendte programmer, Generate Alert er indstillingen som standard aktiveret på portalen Microsoft Defender. Hvis du forsøger at rydde indstillingen Generate Alert for Defender for Endpoint, aktiveres den igen efter et stykke tid, fordi den Defender for Cloud Apps politik tilsidesætter den.

Kendte problemer og begrænsninger

Microsoft Store-apps kan ikke blokeres af Microsoft Defender, fordi de er signeret af Microsoft.

Kunder kan opleve problemer med beskeder om IoCs. Følgende scenarier er situationer, hvor beskeder ikke oprettes eller oprettes med unøjagtige oplysninger. Hvert problem undersøges af vores teknikerteam.

  • Blokindikatorer: Der oprettes kun generiske beskeder med oplysningers alvorsgrad. Brugerdefinerede beskeder (dvs. brugerdefineret titel og alvorsgrad) udløses ikke i disse tilfælde.
  • Advarselsindikatorer: Generiske beskeder og brugerdefinerede beskeder er mulige i dette scenarie. Resultaterne er dog ikke deterministiske på grund af et problem med logikken til registrering af beskeder. I nogle tilfælde kan kunderne få vist en generisk besked, mens der kan blive vist en brugerdefineret besked i andre tilfælde.
  • Tillad: Der genereres ingen beskeder (via design).
  • Overvågning: Beskeder genereres på baggrund af den alvorsgrad, som kunden har angivet (tilsigtet).
  • I nogle tilfælde kan beskeder, der kommer fra EDR-registreringer, have forrang frem for beskeder, der stammer fra antivirusblokke, i hvilket tilfælde der genereres en informationsbesked.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.