Opret indikatorer for filer

  • Artikel

Gælder for:

Tip

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Undgå yderligere overførsel af et angreb i din organisation ved at forbyde potentielt skadelige filer eller mistanke om malware. Hvis du kender en potentielt skadelig PE-fil (Portable Executable), kan du blokere den. Denne handling forhindrer, at den læses, skrives eller udføres på enheder i din organisation.

Du kan oprette indikatorer for filer på tre måder:

  • Ved at oprette en indikator via indstillingssiden
  • Ved at oprette en kontekstafhængig indikator ved hjælp af knappen Tilføj indikator fra siden med filoplysninger
  • Ved at oprette en indikator via indikator-API'en

Bemærk!

Hvis denne funktion skal fungere på Windows Server 2016 og Windows Server 2012 R2, skal disse enheder onboardes ved hjælp af vejledningen i Onboard Windows-servere. Brugerdefinerede filindikatorer med handlingerne Allow, Block og Remediate er nu også tilgængelige i de forbedrede funktioner i antimalwareprogrammet til macOS og Linux.

Før du begynder

Forstå følgende forudsætninger, før du opretter indikatorer for filer:

Denne funktion er designet til at forhindre, at formodet malware (eller potentielt skadelige filer) downloades fra internettet. Den understøtter i øjeblikket bærbare eksekverbare filer (PE), herunder .exe filer og .dll . Dækningen forlænges med tiden.

Vigtigt!

I Defender for Endpoint Plan 1 og Defender for Business kan du oprette en indikator for at blokere eller tillade en fil. I Defender for Business anvendes indikatoren på tværs af dit miljø og kan ikke begrænses til bestemte enheder.

Create en indikator for filer fra indstillingssiden

  1. Vælg Indstillinger>Slutpunktsindikatorer> (under Regler) i navigationsruden.

  2. Vælg fanen Filerhashes .

  3. Vælg Tilføj element.

  4. Angiv følgende oplysninger:

    • Indikator: Angiv enhedsdetaljerne, og definer indikatorens udløb.
    • Handling: Angiv den handling, der skal udføres, og angiv en beskrivelse.
    • Omfang: Definer omfanget af enhedsgruppen (området er ikke tilgængeligt i Defender for Business).

    Bemærk!

    Oprettelse af enhedsgruppe understøttes i både Defender for Endpoint Plan 1 og Plan 2

  5. Gennemse oplysningerne under fanen Oversigt, og vælg derefter Gem.

Create en kontekstafhængig indikator fra siden med filoplysninger

En af indstillingerne, når du foretager svarhandlinger på en fil , er at tilføje en indikator for filen. Når du tilføjer en indikatorhash for en fil, kan du vælge at opløfte en besked og blokere filen, når en enhed i organisationen forsøger at køre den.

Filer, der automatisk blokeres af en indikator, vises ikke i filens Løsningscenter, men beskederne vil stadig være synlige i beskedkøen.

Beskeder om handlinger til filblokering (prøveversion)

Vigtigt!

Oplysningerne i dette afsnit (Offentlig prøveversion til automatiseret undersøgelse og afhjælpningsprogram) er relateret til et produkt, der er udgivet på forhånd, og som kan ændres væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

De aktuelt understøttede handlinger for fil-IOC tillader, overvåger og blokerer samt afhjælper. Når du har valgt at blokere en fil, kan du vælge, om det er nødvendigt at udløse en besked. På denne måde kan du styre antallet af beskeder, der sendes til dine sikkerhedsteams, og sørge for, at der kun udløses påkrævede beskeder.

I Microsoft Defender XDR skal du gå til Indstillinger>Slutpunkter>Indikatorer>Tilføj ny filhash.

Vælg at blokere og afhjælpe filen.

Vælg, om der skal oprettes en besked for filblokeringshændelsen, og definer beskedindstillingerne:

  • Beskedens titel
  • Alvorsgraden af beskeden
  • Kategori
  • Beskrivelse
  • Anbefalede handlinger

Beskedindstillingerne for filindikatorer

Vigtigt!

  • Filblokke gennemtvinges og fjernes typisk inden for et par minutter, men kan tage op til 30 minutter.
  • Hvis der er modstridende IoC-politikker med samme håndhævelsestype og mål, anvendes politikken for den mere sikre hash. En SHA-256-filhash IoC-politik vinder over en SHA-1-filhash IoC-politik, som vil vinde over en MD5-filhash IoC-politik, hvis hashtyperne definerer den samme fil. Dette er altid tilfældet, uanset enhedsgruppen.
  • Hvis IoC-politikker med samme håndhævelsesmål anvendes på alle enheder og på enhedens gruppe, vil politikken i enhedsgruppen i alle andre tilfælde vinde, hvis der anvendes modstridende IoC-politikker på alle enheder og på enhedens gruppe.
  • Hvis gruppepolitikken EnableFileHashComputation er deaktiveret, reduceres blokeringsnøjagtigheden af filen IoC. Aktivering kan dog EnableFileHashComputation påvirke enhedens ydeevne. Hvis du f.eks. kopierer store filer fra et netværksshare til din lokale enhed, især via en VPN-forbindelse, kan det påvirke enhedens ydeevne.

Du kan få flere oplysninger om gruppepolitikken EnableFileHashComputation under Defender CSP.

Du kan finde flere oplysninger om konfiguration af denne funktion på Defender for Endpoint på Linux og macOS under Konfigurer funktionen til beregning af filhash på Linux og funktionen Konfigurer filhashberegning på macOS.

Avancerede jagtfunktioner (prøveversion)

Vigtigt!

Oplysningerne i dette afsnit (Offentlig prøveversion til automatiseret undersøgelse og afhjælpningsprogram) er relateret til et produkt, der er udgivet på forhånd, og som kan ændres væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

I øjeblikket som prøveversion kan du forespørge om svarhandlingsaktiviteten på forhånd på jagt. Nedenfor er et eksempel på en forespørgsel om avanceret jagt:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Du kan finde flere oplysninger om avanceret jagt under Proaktiv jagt efter trusler med avanceret jagt.

Nedenfor er andre trådnavne, der kan bruges i eksempelforespørgslen ovenfor:

Filer:

  • EUS:Win32/CustomEnterpriseBlock!cl
  • EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Certifikater:

  • EUS:Win32/CustomCertEnterpriseBlock!cl

Aktiviteten for svarhandlingen kan også ses på enhedens tidslinje.

Politikkonflikthåndtering

Konflikter i håndteringen af IoC-politikker for cert og filer følger denne rækkefølge:

  1. Hvis filen ikke er tilladt af Windows Defender Programkontrolelement og AppLocker-gennemtvingelsestilstandspolitikker, skal du blokere.
  2. Ellers, hvis filen er tilladt af Microsoft Defender Antivirus-udeladelser, så Tillad.
  3. Ellers, hvis filen er blokeret eller advaret af en blok eller advar fil-IOCs, så Bloker/Advar.
  4. Ellers, hvis filen er blokeret af SmartScreen, skal du blokere.
  5. Ellers, hvis filen er tilladt af en IoC-politik for tillad fil, skal du tillade.
  6. Ellers, hvis filen er blokeret af regler for reduktion af angrebsoverfladen, kontrolleret mappeadgang eller antivirusbeskyttelse, så Bloker.
  7. Ellers Tillad (overfører Windows Defender Application Control & AppLocker-politik, er der ingen IoC-regler gældende for den).

Bemærk!

I situationer, hvor Microsoft Defender Antivirus er angivet til Bloker, men Defender for Endpoint-indikatorer for filhash eller certifikater er angivet til Tillad, er politikken som standard Tillad.

Hvis der er modstridende IoC-politikker med samme håndhævelsestype og mål, anvendes politikken for den mere sikre hash (hvilket betyder længere). En SHA-256-filhash IoC-politik tilsidesætter f.eks. en IoC-politik for MD5-filhash, hvis begge hashtyper definerer den samme fil.

Advarsel

Politikkonflikthåndtering for filer og certifikater adskiller sig fra politikkonflikthåndtering for domæner/URL-adresser/IP-adresser.

Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender blokerer sårbare programfunktioner, bruger fil-IOCs til håndhævelse og følger den rækkefølge for håndtering af konflikter, der er beskrevet tidligere i dette afsnit.

Eksempler

Komponent Gennemtvingelse af komponent Filindikatorhandling Resultat
Udeladelse af filsti til reduktion af angrebsoverflade Tillad Bloker Bloker
Regel for reduktion af angrebsoverflade Bloker Tillad Tillad
Windows Defender programkontrolelement Tillad Bloker Tillad
Windows Defender programkontrolelement Bloker Tillad Bloker
Microsoft Defender Antivirus-udeladelse Tillad Bloker Tillad

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.