Opret indikatorer

  • Artikel

Gælder for:

Tip

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Oversigt over indikator for kompromis (IoC)

En indikator for kompromis (IoC) er en kriminalteknisk artefakt, der observeres på netværket eller værten. En IoC angiver – med høj genkendelsessikkerhed – at der er opstået en computer- eller netværksindtrængen. Der kan observeres IOC'er, som linker dem direkte til målbare hændelser. Nogle IoC-eksempler omfatter:

  • hashes af kendt malware
  • signaturer for skadelig netværkstrafik
  • URL-adresser eller domæner, der er kendte malwaredistributører

Hvis du vil stoppe andre kompromiser eller forhindre brud på kendte IoC'er, bør vellykkede IoC-værktøjer kunne registrere alle skadelige data, der er angivet i værktøjets regelsæt. IoC-matchning er en vigtig funktion i alle løsning til beskyttelse af slutpunkter. Denne funktion giver SecOps mulighed for at angive en liste over indikatorer for registrering og blokering (forebyggelse og svar).

Organisationer kan oprette indikatorer, der definerer registrering, forebyggelse og udeladelse af IoC-enheder. Du kan definere den handling, der skal udføres, samt varigheden af, hvornår handlingen skal anvendes, og omfanget af den enhedsgruppe, den skal anvendes på.

I denne video kan du se en gennemgang af, hvordan du opretter og tilføjer indikatorer:

Om Microsoft-indikatorer

Generelt bør du kun oprette indikatorer for kendte dårlige IoCs eller for filer/websteder, der udtrykkeligt skal være tilladt i din organisation. Du kan finde flere oplysninger om de typer websteder, som Defender for Endpoint som standard kan blokere, under Microsoft Defender Oversigt over SmartScreen.

Falsk positiv (FP) refererer til en SmartScreen falsk positiv, sådan at det anses for at være malware eller phish, men faktisk ikke er en trussel, så du ønsker at oprette en tilladelsespolitik for det.

Du kan også hjælpe med at skabe forbedringer af Microsofts sikkerhedsintelligens ved at indsende falske positiver og mistænkelige eller kendte dårlige IoCs til analyse. Hvis en advarsel eller blok vises forkert for en fil eller et program, eller hvis du har mistanke om, at en fil, der ikke er registreret, er malware, kan du sende en fil til Microsoft til gennemsyn. Du kan få flere oplysninger under Send filer til analyse.

IP/URL-indikatorer

Du kan bruge IP/URL-indikatorer til at fjerne blokeringen af brugere fra en SmartScreen-falsk positiv (FP) eller til at tilsidesætte en WFC-blok (Web Content Filtering).

Du kan bruge URL- og IP-indikatorer til at administrere webstedsadgang. Du kan oprette midlertidige IP- og URL-indikatorer for midlertidigt at fjerne blokeringen af brugere fra en SmartScreen-blok. Du kan også have indikatorer, som du opbevarer i lang tid, så du selektivt tilsidesætter filtreringsblokke for webindhold.

Overvej det, hvis du har en kategorisering af webindholdsfiltrering for et bestemt websted, der er korrekt. I dette eksempel har du indstillet filtrering af webindhold til at blokere alle sociale medier, hvilket er korrekt i forhold til dine overordnede organisationsmål. Marketingteamet har dog et reelt behov for at bruge et bestemt websted til sociale medier til annoncering og meddelelser. I så fald kan du fjerne blokeringen af det specifikke websted for sociale medier ved hjælp af IP- eller URL-indikatorer for den specifikke gruppe (eller grupper), der skal bruges.

Se Filtrering af webbeskyttelse og webindhold

IP/URL-indikatorer: Netværksbeskyttelse og TCP-trevejs-håndtryk

Med netværksbeskyttelse bestemmes det, om der skal tillades eller blokeres adgang til et websted, efter at det trevejshåndtryk er fuldført via TCP/IP. Når et websted er blokeret af netværksbeskyttelse, kan du derfor se en handlingstype ConnectionSuccess under NetworkConnectionEvents på Microsoft Defender-portalen, selvom webstedet er blokeret. NetworkConnectionEvents rapporteres fra TCP-laget og ikke fra netværksbeskyttelse. Når det trevejshåndtryk er fuldført, er adgang til webstedet tilladt eller blokeret af netværksbeskyttelse.

Her er et eksempel på, hvordan det fungerer:

  1. Lad os antage, at en bruger forsøger at få adgang til et websted på sin enhed. Webstedet hostes tilfældigvis på et farligt domæne, og det bør blokeres af netværksbeskyttelse.

  2. Det trevejs-håndtryk via TCP/IP begynder. Før den fuldføres, logføres en NetworkConnectionEvents handling, og den ActionType er angivet som ConnectionSuccess. Men så snart den trevejshandtryksproces er fuldført, blokerer netværksbeskyttelse adgangen til webstedet. Alt dette sker hurtigt. En lignende proces forekommer med Microsoft Defender SmartScreen. Det er, når det trevejshåndtryk fuldfører, at der foretages en bestemmelse, og adgang til et websted enten er blokeret eller tilladt.

  3. I Microsoft Defender-portalen vises en besked i beskedkøen. Oplysningerne om denne besked omfatter både NetworkConnectionEvents og AlertEvents. Du kan se, at webstedet er blokeret, selvom du også har et NetworkConnectionEvents element med ActionType for ConnectionSuccess.

Filhashindikatorer

I nogle tilfælde kan det være hensigtsmæssigt at oprette en ny indikator for en nyligt identificeret fil IoC – som en øjeblikkelig stop-gap-måling – til at blokere filer eller endda programmer. Brug af indikatorer til at forsøge at blokere et program giver muligvis ikke de forventede resultater, da programmer typisk består af mange forskellige filer. De foretrukne metoder til blokering af programmer er at bruge Windows Defender Application Control (WDAC) eller AppLocker.

Da hver version af et program har en anden filhash, anbefales det ikke at bruge indikatorer til at blokere hashværdier.

WDAC (Windows Defender Application Control)

Certifikatindikatorer

I nogle tilfælde et bestemt certifikat, der bruges til at signere en fil eller et program, som din organisation er indstillet til at tillade eller blokere. Certifikatindikatorer understøttes i Defender for Endpoint, hvis de bruger . CER eller . PEM-filformat. Se Opret indikatorer baseret på certifikater for at få flere oplysninger.

IoC-registreringsprogrammer

I øjeblikket er de understøttede Microsoft-kilder til IoCs:

Cloudregistreringsprogram

Programmet til cloudregistrering i Defender for Endpoint scanner jævnligt indsamlede data og forsøger at matche de indikatorer, du angiver. Når der er et match, udføres der en handling i henhold til de indstillinger, du har angivet for IoC' en.

Slutpunktsforebyggelsesprogram

Den samme liste over indikatorer æres af forebyggelsesagenten. Det betyder, at hvis Microsoft Defender Antivirus er det primære antivirusprogram konfigureret, behandles de tilsvarende indikatorer i henhold til indstillingerne. Hvis handlingen f.eks. er "Besked og Bloker", forhindrer Microsoft Defender Antivirus filudførelser (bloker og afhjælpning), og der vises en tilsvarende besked. På den anden side, hvis handlingen er angivet til "Tillad", registrerer eller blokerer Microsoft Defender Antivirus ikke filen.

Automatiseret undersøgelses- og afhjælpningsprogram

Den automatiserede undersøgelse og afhjælpning fungerer på samme måde som programmet til forebyggelse af slutpunkter. Hvis en indikator er angivet til "Tillad", ignorerer automatiseret undersøgelse og afhjælpning en "dårlig" dom for den. Hvis den er angivet til "Block", behandler automatiseret undersøgelse og afhjælpning det som "dårligt".

Indstillingen EnableFileHashComputation beregner filhash for certifikatet og fil-IoC under filscanninger. Det understøtter IoC-håndhævelse af hash, og certifikater tilhører programmer, der er tillid til. Den aktiveres samtidig med indstillingen tillad eller bloker fil. EnableFileHashComputationaktiveres manuelt via Gruppepolitik og er deaktiveret som standard.

Håndhævelsestyper for indikatorer

Når dit sikkerhedsteam opretter en ny indikator (IoC), er følgende handlinger tilgængelige:

  • Allow – IoC må køre på dine enheder.
  • Overvågning – en besked udløses, når IoC kører.
  • Advar – IoC beder om en advarsel om, at brugeren kan tilsidesætte
  • Bloker udførelse – IoC må ikke køre.
  • Bloker og afhjælp – IoC må ikke køre, og der vil blive anvendt en afhjælpningshandling på IoC.

Bemærk!

Hvis du bruger Advar-tilstand, bliver brugerne bedt om at angive en advarsel, hvis de åbner en risikable app eller et websted. Prompten blokerer dem ikke fra at tillade, at programmet eller webstedet kører, men du kan angive en brugerdefineret meddelelse og links til en virksomhedsside, der beskriver korrekt brug af appen. Brugerne kan stadig tilsidesætte advarslen og fortsætte med at bruge appen, hvis de har brug for det. Du kan finde flere oplysninger under Styr de apps, der registreres af Microsoft Defender for Endpoint.

Du kan oprette en indikator for:

I nedenstående tabel kan du se præcis, hvilke handlinger der er tilgængelige pr. indikatortype (IoC):

IoC-type Tilgængelige handlinger
Filer Tillad
Revision
Advare
Bloker udførelse
Bloker og afhjælp
IP-adresser Tillad
Revision
Advare
Bloker udførelse
URL-adresser og domæner Tillad
Revision
Advare
Bloker udførelse
Certifikater Tillad
Bloker og afhjælp

Funktionaliteten af allerede eksisterende IoCs ændres ikke. Indikatorerne blev dog omdøbt, så de stemmer overens med de aktuelle understøttede svarhandlinger:

  • Svarhandlingen "kun besked" blev omdøbt til "overvågning" med den genererede beskedindstilling aktiveret.
  • Svaret "besked og blok" blev omdøbt til "bloker og afhjælp" med den valgfri indstilling for generér besked.

IoC API-skemaet og trussels-id'erne på forhånd jagt opdateres for at tilpasse sig omdøbningen af IoC-svarhandlinger. Ændringerne i API-skemaet gælder for alle IoC-typer.

Bemærk!

Der er en grænse på 15.000 indikatorer pr. lejer. Fil- og certifikatindikatorer blokerer ikke de udeladelser, der er defineret for Microsoft Defender Antivirus. Indikatorer understøttes ikke i Microsoft Defender Antivirus, når de er i passiv tilstand.

Formatet for import af nye indikatorer (IoCs) er ændret i henhold til de nye opdaterede indstillinger for handlinger og beskeder. Vi anbefaler, at du downloader det nye CSV-format, der findes nederst i importpanelet.

Kendte problemer og begrænsninger

Kunder kan opleve problemer med beskeder om indikatorer for kompromis. Følgende scenarier er situationer, hvor beskeder ikke oprettes eller oprettes med unøjagtige oplysninger. Hvert problem undersøges af vores teknikerteam.

  • Blokindikatorer – Generiske beskeder med oplysningers alvorsgrad udløses kun. Brugerdefinerede beskeder (dvs. brugerdefineret titel og alvorsgrad) udløses ikke i disse tilfælde.
  • Advarselsindikatorer – Generiske beskeder og brugerdefinerede beskeder er mulige i dette scenarie, men resultaterne er ikke deterministiske på grund af et problem med logikken til registrering af beskeder. I nogle tilfælde kan kunderne få vist en generisk besked, mens der kan blive vist en brugerdefineret besked i andre tilfælde.
  • Allow – der genereres ingen beskeder (via design).
  • Audit – Beskeder genereres på baggrund af den alvorsgrad, som kunden har angivet.
  • I nogle tilfælde kan beskeder fra EDR-registreringer have forrang frem for beskeder, der stammer fra antivirusblokke, og i så fald genereres en informationsbesked.

Microsoft Store-apps kan ikke blokeres af Defender, fordi de er signeret af Microsoft.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.