Indikatoren erstellen

  • Artikel

Gilt für:

Tipp

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Übersicht über den Indikator der Kompromittierung (IoC)

Ein Indikator der Kompromittierung (Indicator of Compromise, IoC) ist ein forensisches Artefakt, das im Netzwerk oder Host beobachtet wird. Ein IoC weist mit hoher Zuverlässigkeit darauf hin, dass ein Computer- oder Netzwerkeinbruch aufgetreten ist. IoCs sind beobachtbar, wodurch sie direkt mit messbaren Ereignissen verknüpft werden. Einige IoC-Beispiele umfassen:

  • Hashes bekannter Schadsoftware
  • Signaturen von schädlichem Netzwerkdatenverkehr
  • URLs oder Domänen, die bekannte Schadsoftwareverteiler sind

Um andere Kompromittierungen zu verhindern oder Verletzungen bekannter IoCs zu verhindern, sollten erfolgreiche IoC-Tools in der Lage sein, alle schädlichen Daten zu erkennen, die vom Regelsatz des Tools aufgezählt werden. IoC-Abgleich ist ein wesentliches Feature in jeder Endpoint Protection-Lösung. Diese Funktion bietet SecOps die Möglichkeit, eine Liste von Indikatoren für die Erkennung und blockierung (Prävention und Reaktion) festzulegen.

Organisationen können Indikatoren erstellen, die die Erkennung, Verhinderung und Ausschluss von IoC-Entitäten definieren. Sie können die auszuführende Aktion sowie die Dauer für die Anwendung der Aktion und den Bereich der Gerätegruppe definieren, auf die sie angewendet werden soll.

Dieses Video zeigt eine exemplarische Vorgehensweise zum Erstellen und Hinzufügen von Indikatoren:

Informationen zu Microsoft-Indikatoren

In der Regel sollten Sie nur Indikatoren für bekannte fehlerhafte IoCs oder für Dateien/Websites erstellen, die in Ihrem organization explizit zugelassen werden sollten. Weitere Informationen zu den Typen von Websites, die Defender für Endpunkt standardmäßig blockieren kann, finden Sie unter Microsoft Defender SmartScreen-Übersicht.

False Positive (FP) bezieht sich auf ein SmartScreen False Positive, sodass es als Schadsoftware oder Phish betrachtet wird, aber eigentlich keine Bedrohung darstellt, daher möchten Sie eine Zulassungsrichtlinie dafür erstellen.

Sie können auch dazu beitragen, die Sicherheitsinformationen von Microsoft zu verbessern, indem Sie falsch positive Ergebnisse und verdächtige oder bekanntermaßen fehlerhafte IoCs zur Analyse übermitteln. Wenn eine Warnung oder ein Block fälschlicherweise für eine Datei oder Anwendung angezeigt wird oder Wenn Sie vermuten, dass es sich bei einer nicht erkannten Datei um Schadsoftware handelt, können Sie eine Datei zur Überprüfung an Microsoft übermitteln. Weitere Informationen finden Sie unter Übermitteln von Dateien zur Analyse.

IP/URL-Indikatoren

Sie können IP-/URL-Indikatoren verwenden, um Die Sperrung von Benutzern für ein SmartScreen-False Positive (FP) aufzuheben oder einen WFC-Block (Web Content Filtering, Webinhaltsfilterung) zu überschreiben.

Sie können URL- und IP-Indikatoren verwenden, um den Websitezugriff zu verwalten. Sie können Zwischen-IP- und URL-Indikatoren erstellen, um Benutzer vorübergehend für einen SmartScreen-Block zu entsperren. Möglicherweise verfügen Sie auch über Indikatoren, die Sie für einen längeren Zeitraum beibehalten, um Filterblöcke für Webinhalte selektiv zu umgehen.

Betrachten Sie den Fall, in dem Sie eine Filterung von Webinhalten für eine bestimmte Website haben, die richtig ist. In diesem Beispiel haben Sie die Filterung von Webinhalten so festgelegt, dass alle sozialen Medien blockiert werden, was für Ihre allgemeinen Organisationsziele richtig ist. Das Marketingteam muss jedoch eine bestimmte Social-Media-Website für Werbung und Ankündigungen verwenden. In diesem Fall können Sie die Blockierung der spezifischen Social-Media-Website mithilfe von IP- oder URL-Indikatoren für die jeweilige Gruppe (oder Gruppen) aufheben.

Weitere Informationen finden Sie unter Webschutz und Webinhaltsfilterung.

IP/URL-Indikatoren: Netzwerkschutz und der TCP-Drei-Wege-Handshake

Beim Netzwerkschutz wird bestimmt, ob der Zugriff auf einen Standort zugelassen oder blockiert werden soll, nachdem der Drei-Wege-Handshake über TCP/IP abgeschlossen wurde. Wenn ein Standort durch Netzwerkschutz blockiert wird, wird im Microsoft Defender Portal möglicherweise der Aktionstyp ConnectionSuccess unter NetworkConnectionEvents angezeigt, obwohl die Website blockiert wurde. NetworkConnectionEvents werden von der TCP-Ebene und nicht vom Netzwerkschutz gemeldet. Nach Abschluss des Drei-Wege-Handshakes wird der Zugriff auf die Website durch den Netzwerkschutz zugelassen oder blockiert.

Hier sehen Sie ein Beispiel dafür, wie dies funktioniert:

  1. Angenommen, ein Benutzer versucht, auf einem Gerät auf eine Website zuzugreifen. Die Website wird in einer gefährlichen Domäne gehostet und sollte durch den Netzwerkschutz blockiert werden.

  2. Der Drei-Wege-Handshake über TCP/IP beginnt. Bevor sie abgeschlossen ist, wird eine NetworkConnectionEvents Aktion protokolliert, die ActionType als ConnectionSuccessaufgeführt wird. Sobald der Drei-Wege-Handshakeprozess abgeschlossen ist, blockiert der Netzwerkschutz jedoch den Zugriff auf den Standort. All dies geschieht schnell. Ein ähnlicher Prozess tritt bei Microsoft Defender SmartScreen auf. Wenn der Drei-Wege-Handshake abgeschlossen ist, wird eine Bestimmung getroffen, und der Zugriff auf eine Website wird entweder blockiert oder zugelassen.

  3. Im Microsoft Defender-Portal wird eine Warnung in der Warnungswarteschlange aufgeführt. Details zu dieser Warnung enthalten sowohl als AlertEventsauch NetworkConnectionEvents . Sie können sehen, dass die Website blockiert wurde, obwohl Sie auch über ein NetworkConnectionEvents Element mit dem ActionType von ConnectionSuccessverfügen.

Dateihashindikatoren

In einigen Fällen kann das Erstellen eines neuen Indikators für eine neu identifizierte Datei-IoC - als sofortiges Stop-Gap-Measure - geeignet sein, um Dateien oder sogar Anwendungen zu blockieren. Die Verwendung von Indikatoren zum Blockieren einer Anwendung liefert jedoch möglicherweise nicht die erwarteten Ergebnisse, da Anwendungen in der Regel aus vielen verschiedenen Dateien bestehen. Die bevorzugten Methoden zum Blockieren von Anwendungen sind die Verwendung Windows Defender Anwendungssteuerung (WDAC) oder AppLocker.

Da jede Version einer Anwendung über einen anderen Dateihash verfügt, wird die Verwendung von Indikatoren zum Blockieren von Hashes nicht empfohlen.

Windows Defender Application Control (WDAC)

Zertifikatindikatoren

In einigen Fällen ist ein bestimmtes Zertifikat, das zum Signieren einer Datei oder Anwendung verwendet wird, die von Ihrem organization auf zulassen oder blockieren festgelegt ist. Zertifikatindikatoren werden in Defender für Endpunkt unterstützt, wenn sie verwenden. CER oder . PEM-Dateiformat. Weitere Informationen finden Sie unter Erstellen von Indikatoren basierend auf Zertifikaten .

IoC-Erkennungs-Engines

Derzeit werden die folgenden Microsoft-Quellen für IoCs unterstützt:

Clouderkennungs-Engine

Die Clouderkennungs-Engine von Defender für Endpunkt überprüft regelmäßig die gesammelten Daten und versucht, die von Ihnen festgelegten Indikatoren abzugleichen. Wenn eine Übereinstimmung vorliegt, wird eine Aktion gemäß den Einstellungen ausgeführt, die Sie für ioC angegeben haben.

Endpunktschutz-Engine

Die gleiche Liste von Indikatoren wird vom Präventions-Agent berücksichtigt. Das heißt, wenn Microsoft Defender Antivirus das primäre Antivirenprogramm ist, das konfiguriert ist, werden die übereinstimmenden Indikatoren entsprechend den Einstellungen behandelt. Wenn die Aktion z. B. "Warnung und Blockieren" lautet, verhindert Microsoft Defender Antivirus Dateiausführungen (Blockieren und Korrigieren) und eine entsprechende Warnung wird angezeigt. Wenn die Aktion hingegen auf "Zulassen" festgelegt ist, erkennt oder blockiert Microsoft Defender Antivirus die Datei nicht.

Automatisierte Untersuchungs- und Wartungs-Engine

Die automatisierte Untersuchung und Wartung verhält sich ähnlich wie die Endpunktpräventions-Engine. Wenn ein Indikator auf "Zulassen" festgelegt ist, ignoriert die automatisierte Untersuchung und Korrektur ein "schlechtes" Urteil dafür. Wenn diese Einstellung auf "Blockieren" festgelegt ist, wird die Automatische Untersuchung und Wartung als "schlecht" behandelt.

Die EnableFileHashComputation Einstellung berechnet den Dateihash für das Zertifikat und das Datei-IoC während der Dateiüberprüfungen. Es unterstützt die IoC-Erzwingung von Hashes und Zertifikaten, die zu vertrauenswürdigen Anwendungen gehören. Sie wird gleichzeitig mit der Einstellung Datei zulassen oder blockieren aktiviert. EnableFileHashComputationwird manuell über Gruppenrichtlinie aktiviert und ist standardmäßig deaktiviert.

Erzwingungstypen für Indikatoren

Wenn Ihr Sicherheitsteam einen neuen Indikator (IoC) erstellt, sind die folgenden Aktionen verfügbar:

  • Zulassen : IoC darf auf Ihren Geräten ausgeführt werden.
  • Überwachung : Eine Warnung wird ausgelöst, wenn das IoC ausgeführt wird.
  • Warnung : IoC gibt eine Warnung aus, die der Benutzer umgehen kann.
  • Ausführung blockieren : IoC darf nicht ausgeführt werden.
  • Blockieren und Korrigieren : IoC darf nicht ausgeführt werden, und eine Korrekturaktion wird auf ioC angewendet.

Hinweis

Wenn Sie den Warnmodus verwenden, werden Ihre Benutzer mit einer Warnung aufgefordert, wenn sie eine riskante App oder Website öffnen. Die Eingabeaufforderung verhindert nicht, dass die Anwendung oder Website ausgeführt werden kann, aber Sie können eine benutzerdefinierte Nachricht und Links zu einer Unternehmensseite bereitstellen, die die entsprechende Verwendung der App beschreibt. Benutzer können die Warnung weiterhin umgehen und die App bei Bedarf weiterhin verwenden. Weitere Informationen finden Sie unter Steuern von Apps, die von Microsoft Defender for Endpoint ermittelt wurden.

Sie können einen Indikator für Folgendes erstellen:

Die folgende Tabelle zeigt genau, welche Aktionen pro Indikatortyp (IoC) verfügbar sind:

IoC-Typ Verfügbare Aktionen
Files Zulassen
Überwachung
Warnen
Ausführung blockieren
Blockieren und Korrigieren
IP-Adressen Zulassen
Überwachung
Warnen
Ausführung blockieren
URLs und Domänen Zulassen
Überwachung
Warnen
Ausführung blockieren
Zertifikate Zulassen
Blockieren und Korrigieren

Die Funktionalität bereits vorhandener IoCs ändert sich nicht. Die Indikatoren wurden jedoch umbenannt, um den aktuell unterstützten Antwortaktionen zu entsprechen:

  • Die Antwortaktion "Nur Warnung" wurde in "Audit" umbenannt, wobei die generierte Warnungseinstellung aktiviert war.
  • Die Antwort "Warnung und Blockierung" wurde mit der optionalen Einstellung warnung generieren in "Blockieren und Korrigieren" umbenannt.

Das IoC-API-Schema und die Bedrohungs-IDs im Voraus werden entsprechend der Umbenennung der IoC-Antwortaktionen aktualisiert. Die API-Schemaänderungen gelten für alle IoC-Typen.

Hinweis

Es gibt einen Grenzwert von 15.000 Indikatoren pro Mandant. Datei- und Zertifikatindikatoren blockieren keine für Microsoft Defender Antivirus definierten Ausschlüsse. Indikatoren werden in Microsoft Defender Antivirus nicht unterstützt, wenn es sich im passiven Modus befindet.

Das Format für den Import neuer Indikatoren (IoCs) hat sich entsprechend den neuen aktualisierten Einstellungen für Aktionen und Warnungen geändert. Es wird empfohlen, das neue CSV-Format herunterzuladen, das sich unten im Importbereich befindet.

Bekannte Probleme und Einschränkungen

Kunden können Probleme mit Warnungen für Gefährdungsindikatoren haben. Die folgenden Szenarien sind Situationen, in denen Warnungen nicht oder mit ungenauen Informationen erstellt werden. Jedes Problem wird von unserem Entwicklungsteam untersucht.

  • Indikatoren blockieren : Generische Warnungen mit nur informationsbasiertem Schweregrad werden ausgelöst. Benutzerdefinierte Warnungen (d. h. benutzerdefinierter Titel und Schweregrad) werden in diesen Fällen nicht ausgelöst.
  • Warnindikatoren : Generische Warnungen und benutzerdefinierte Warnungen sind in diesem Szenario möglich. Die Ergebnisse sind jedoch aufgrund eines Problems mit der Warnungserkennungslogik nicht deterministisch. In einigen Fällen wird kunden möglicherweise eine generische Warnung angezeigt, während in anderen Fällen eine benutzerdefinierte Warnung angezeigt wird.
  • Zulassen : Es werden (standardmäßig) keine Warnungen generiert.
  • Überwachung : Warnungen werden basierend auf dem vom Kunden bereitgestellten Schweregrad generiert.
  • In einigen Fällen können Warnungen, die von EDR-Erkennungen stammen, Vorrang vor Warnungen haben, die von Antivirenblöcken stammen. In diesem Fall wird eine Informationswarnung generiert.

Microsoft Store-Apps können nicht von Defender blockiert werden, da sie von Microsoft signiert sind.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.