Übersicht über Indikatoren in Microsoft Defender for Endpoint
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Tipp
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Übersicht über den Indikator der Kompromittierung (IoC)
Ein Indikator der Kompromittierung (Indicator of Compromise, IoC) ist ein forensisches Artefakt, das im Netzwerk oder Host beobachtet wird. Ein IoC weist mit hoher Zuverlässigkeit darauf hin, dass ein Computer- oder Netzwerkeinbruch aufgetreten ist. IoCs sind beobachtbar, wodurch sie direkt mit messbaren Ereignissen verknüpft werden. Einige IoC-Beispiele umfassen:
- Hashes bekannter Schadsoftware
- Signaturen von schädlichem Netzwerkdatenverkehr
- URLs oder Domänen, die bekannte Schadsoftwareverteiler sind
Um andere Kompromittierungen zu verhindern oder Verletzungen bekannter IoCs zu verhindern, sollten erfolgreiche IoC-Tools in der Lage sein, alle schädlichen Daten zu erkennen, die vom Regelsatz des Tools aufgezählt werden. IoC-Abgleich ist ein wesentliches Feature in jeder Endpoint Protection-Lösung. Diese Funktion bietet SecOps die Möglichkeit, eine Liste von Indikatoren für die Erkennung und blockierung (Prävention und Reaktion) festzulegen.
Organisationen können Indikatoren erstellen, die die Erkennung, Verhinderung und Ausschluss von IoC-Entitäten definieren. Sie können die auszuführende Aktion sowie die Dauer für die Anwendung der Aktion und den Bereich der Gerätegruppe definieren, auf die sie angewendet werden soll.
Dieses Video zeigt eine exemplarische Vorgehensweise zum Erstellen und Hinzufügen von Indikatoren:
Informationen zu Microsoft-Indikatoren
In der Regel sollten Sie nur Indikatoren für bekannte fehlerhafte IoCs oder für Dateien/Websites erstellen, die in Ihrem organization explizit zugelassen werden sollten. Weitere Informationen zu den Typen von Websites, die Defender für Endpunkt standardmäßig blockieren kann, finden Sie unter Microsoft Defender SmartScreen-Übersicht.
False Positive (FP) bezieht sich auf ein SmartScreen False Positive, sodass es als Schadsoftware oder Phish betrachtet wird, aber eigentlich keine Bedrohung darstellt, daher möchten Sie eine Zulassungsrichtlinie dafür erstellen.
Sie können auch dazu beitragen, die Sicherheitsinformationen von Microsoft zu verbessern, indem Sie falsch positive Ergebnisse und verdächtige oder bekanntermaßen fehlerhafte IoCs zur Analyse übermitteln. Wenn eine Warnung oder ein Block fälschlicherweise für eine Datei oder Anwendung angezeigt wird oder Wenn Sie vermuten, dass es sich bei einer nicht erkannten Datei um Schadsoftware handelt, können Sie eine Datei zur Überprüfung an Microsoft übermitteln. Weitere Informationen finden Sie unter Übermitteln von Dateien zur Analyse.
IP/URL-Indikatoren
Sie können IP-/URL-Indikatoren verwenden, um Die Sperrung von Benutzern für ein SmartScreen-False Positive (FP) aufzuheben oder einen WFC-Block (Web Content Filtering, Webinhaltsfilterung) zu überschreiben.
Sie können URL- und IP-Indikatoren verwenden, um den Websitezugriff zu verwalten. Sie können Zwischen-IP- und URL-Indikatoren erstellen, um Benutzer vorübergehend für einen SmartScreen-Block zu entsperren. Möglicherweise verfügen Sie auch über Indikatoren, die Sie für einen längeren Zeitraum beibehalten, um Filterblöcke für Webinhalte selektiv zu umgehen.
Betrachten Sie den Fall, in dem Sie eine Filterung von Webinhalten für eine bestimmte Website haben, die richtig ist. In diesem Beispiel haben Sie die Filterung von Webinhalten so festgelegt, dass alle sozialen Medien blockiert werden, was für Ihre allgemeinen Organisationsziele richtig ist. Das Marketingteam muss jedoch eine bestimmte Social-Media-Website für Werbung und Ankündigungen verwenden. In diesem Fall können Sie die Blockierung der spezifischen Social-Media-Website mithilfe von IP- oder URL-Indikatoren für die jeweilige Gruppe (oder Gruppen) aufheben.
Weitere Informationen finden Sie unter Webschutz und Webinhaltsfilterung.
IP/URL-Indikatoren: Netzwerkschutz und der TCP-Drei-Wege-Handshake
Beim Netzwerkschutz wird bestimmt, ob der Zugriff auf einen Standort zugelassen oder blockiert werden soll, nachdem der Drei-Wege-Handshake über TCP/IP abgeschlossen wurde. Wenn ein Standort durch Netzwerkschutz blockiert wird, wird im Microsoft Defender Portal möglicherweise der Aktionstyp ConnectionSuccess
unter NetworkConnectionEvents
angezeigt, obwohl die Website blockiert wurde.
NetworkConnectionEvents
werden von der TCP-Ebene und nicht vom Netzwerkschutz gemeldet. Nach Abschluss des Drei-Wege-Handshakes wird der Zugriff auf die Website durch den Netzwerkschutz zugelassen oder blockiert.
Hier sehen Sie ein Beispiel dafür, wie dies funktioniert:
Angenommen, ein Benutzer versucht, auf einem Gerät auf eine Website zuzugreifen. Die Website wird in einer gefährlichen Domäne gehostet und sollte durch den Netzwerkschutz blockiert werden.
Der Drei-Wege-Handshake über TCP/IP beginnt. Bevor sie abgeschlossen ist, wird eine
NetworkConnectionEvents
Aktion protokolliert, dieActionType
alsConnectionSuccess
aufgeführt wird. Sobald der Drei-Wege-Handshakeprozess abgeschlossen ist, blockiert der Netzwerkschutz jedoch den Zugriff auf den Standort. All dies geschieht schnell. Ein ähnlicher Prozess tritt bei Microsoft Defender SmartScreen auf. Wenn der Drei-Wege-Handshake abgeschlossen ist, wird eine Bestimmung getroffen, und der Zugriff auf eine Website wird entweder blockiert oder zugelassen.Im Microsoft Defender-Portal wird eine Warnung in der Warnungswarteschlange aufgeführt. Details zu dieser Warnung enthalten sowohl als
AlertEvents
auchNetworkConnectionEvents
. Sie können sehen, dass die Website blockiert wurde, obwohl Sie auch über einNetworkConnectionEvents
Element mit dem ActionType vonConnectionSuccess
verfügen.
Dateihashindikatoren
In einigen Fällen kann das Erstellen eines neuen Indikators für eine neu identifizierte Datei-IoC - als sofortiges Stop-Gap-Measure - geeignet sein, um Dateien oder sogar Anwendungen zu blockieren. Die Verwendung von Indikatoren zum Blockieren einer Anwendung liefert jedoch möglicherweise nicht die erwarteten Ergebnisse, da Anwendungen in der Regel aus vielen verschiedenen Dateien bestehen. Die bevorzugten Methoden zum Blockieren von Anwendungen sind die Verwendung von Windows Defender Application Control (WDAC) oder AppLocker.
Da jede Version einer Anwendung über einen anderen Dateihash verfügt, wird die Verwendung von Indikatoren zum Blockieren von Hashes nicht empfohlen.
Windows Defender-Anwendungssteuerung (WDAC)
Zertifikatindikatoren
In einigen Fällen ist ein bestimmtes Zertifikat, das zum Signieren einer Datei oder Anwendung verwendet wird, die von Ihrem organization auf zulassen oder blockieren festgelegt ist. Zertifikatindikatoren werden in Defender für Endpunkt unterstützt, wenn sie verwenden. CER oder . PEM-Dateiformat. Weitere Informationen finden Sie unter Erstellen von Indikatoren basierend auf Zertifikaten .
IoC-Erkennungs-Engines
Derzeit werden die folgenden Microsoft-Quellen für IoCs unterstützt:
- Clouderkennungs-Engine von Defender für Endpunkt
- Air-Engine (Automated Investigation and Remediation) in Microsoft Defender for Endpoint
- Endpunktschutz-Engine (Microsoft Defender Antivirus)
Clouderkennungs-Engine
Die Clouderkennungs-Engine von Defender für Endpunkt überprüft regelmäßig die gesammelten Daten und versucht, die von Ihnen festgelegten Indikatoren abzugleichen. Wenn eine Übereinstimmung vorliegt, wird eine Aktion gemäß den Einstellungen ausgeführt, die Sie für ioC angegeben haben.
Endpunktschutz-Engine
Die gleiche Liste von Indikatoren wird vom Präventions-Agent berücksichtigt. Das heißt, wenn Microsoft Defender Antivirus das primäre Antivirenprogramm ist, das konfiguriert ist, werden die übereinstimmenden Indikatoren entsprechend den Einstellungen behandelt. Wenn die Aktion z. B. "Warnung und Blockieren" lautet, verhindert Microsoft Defender Antivirus Dateiausführungen (Blockieren und Korrigieren) und eine entsprechende Warnung wird angezeigt. Wenn die Aktion hingegen auf "Zulassen" festgelegt ist, erkennt oder blockiert Microsoft Defender Antivirus die Datei nicht.
Automatisierte Untersuchungs- und Wartungs-Engine
Die automatisierte Untersuchung und Wartung verhält sich ähnlich wie die Endpunktpräventions-Engine. Wenn ein Indikator auf "Zulassen" festgelegt ist, ignoriert die automatisierte Untersuchung und Korrektur ein "schlechtes" Urteil dafür. Wenn diese Einstellung auf "Blockieren" festgelegt ist, wird die Automatische Untersuchung und Wartung als "schlecht" behandelt.
Die EnableFileHashComputation
Einstellung berechnet den Dateihash für das Zertifikat und das Datei-IoC während der Dateiüberprüfungen. Es unterstützt die IoC-Erzwingung von Hashes und Zertifikaten, die zu vertrauenswürdigen Anwendungen gehören. Sie wird gleichzeitig mit der Einstellung Datei zulassen oder blockieren aktiviert.
EnableFileHashComputation
wird manuell über Gruppenrichtlinie aktiviert und ist standardmäßig deaktiviert.
Erzwingungstypen für Indikatoren
Wenn Ihr Sicherheitsteam einen neuen Indikator (IoC) erstellt, sind die folgenden Aktionen verfügbar:
- Zulassen: IoC darf auf Ihren Geräten ausgeführt werden.
- Überwachung: Eine Warnung wird ausgelöst, wenn das IoC ausgeführt wird.
- Warnung: IoC gibt eine Warnung aus, die der Benutzer umgehen kann.
- Ausführung blockieren: IoC darf nicht ausgeführt werden.
- Blockieren und Korrigieren: IoC darf nicht ausgeführt werden, und eine Korrekturaktion wird auf ioC angewendet.
Hinweis
Wenn Sie den Warnmodus verwenden, werden Ihre Benutzer mit einer Warnung aufgefordert, wenn sie eine riskante App oder Website öffnen. Die Eingabeaufforderung verhindert nicht, dass die Anwendung oder Website ausgeführt werden kann, aber Sie können eine benutzerdefinierte Nachricht und Links zu einer Unternehmensseite bereitstellen, die die entsprechende Verwendung der App beschreibt. Benutzer können die Warnung weiterhin umgehen und die App bei Bedarf weiterhin verwenden. Weitere Informationen finden Sie unter Steuern von Apps, die von Microsoft Defender for Endpoint ermittelt wurden.
Sie können einen Indikator für Folgendes erstellen:
Die folgende Tabelle zeigt genau, welche Aktionen pro Indikatortyp (IoC) verfügbar sind:
IoC-Typ | Verfügbare Aktionen |
---|---|
Files | Zulassen Überwachung Warnen Ausführung blockieren Blockieren und Korrigieren |
IP-Adressen | Zulassen Überwachung Warnen Ausführung blockieren |
URLs und Domänen | Zulassen Überwachung Warnen Ausführung blockieren |
Zertifikate | Zulassen Blockieren und Korrigieren |
Die Funktionalität bereits vorhandener IoCs ändert sich nicht. Die Indikatoren wurden jedoch umbenannt, um den aktuell unterstützten Antwortaktionen zu entsprechen:
- Die Antwortaktion "Nur Warnung" wurde in "Audit" umbenannt, wobei die generierte Warnungseinstellung aktiviert war.
- Die Antwort "Warnung und Blockierung" wurde mit der optionalen Einstellung warnung generieren in "Blockieren und Korrigieren" umbenannt.
Das IoC-API-Schema und die Bedrohungs-IDs im Voraus werden entsprechend der Umbenennung der IoC-Antwortaktionen aktualisiert. Die API-Schemaänderungen gelten für alle IoC-Typen.
Hinweis
Es gibt einen Grenzwert von 15.000 Indikatoren pro Mandant. Erhöhungen bis zu diesem Grenzwert werden nicht unterstützt.
Datei- und Zertifikatindikatoren blockieren keine für Microsoft Defender Antivirus definierten Ausschlüsse. Indikatoren werden in Microsoft Defender Antivirus nicht unterstützt, wenn es sich im passiven Modus befindet.
Das Format für den Import neuer Indikatoren (IoCs) hat sich entsprechend den neuen aktualisierten Einstellungen für Aktionen und Warnungen geändert. Es wird empfohlen, das neue CSV-Format herunterzuladen, das sich unten im Importbereich befindet.
Bekannte Probleme und Einschränkungen
Kunden können Probleme mit Warnungen für Gefährdungsindikatoren haben. Die folgenden Szenarien sind Situationen, in denen Warnungen nicht oder mit ungenauen Informationen erstellt werden. Jedes Problem wird von unserem Entwicklungsteam untersucht.
- Indikatoren blockieren: Generische Warnungen, die nur einen Informationsschweregrad aufweisen, werden ausgelöst. Benutzerdefinierte Warnungen (d. h. benutzerdefinierter Titel und Schweregrad) werden in diesen Fällen nicht ausgelöst.
- Warnindikatoren: Generische Warnungen und benutzerdefinierte Warnungen sind in diesem Szenario möglich. Die Ergebnisse sind jedoch aufgrund eines Problems mit der Warnungserkennungslogik nicht deterministisch. In einigen Fällen wird kunden möglicherweise eine generische Warnung angezeigt, während in anderen Fällen eine benutzerdefinierte Warnung angezeigt wird.
- Zulassen: Es werden (standardmäßig) keine Warnungen generiert.
- Überwachung: Warnungen werden basierend auf dem vom Kunden bereitgestellten Schweregrad generiert.
- In einigen Fällen können Warnungen, die von EDR-Erkennungen stammen, Vorrang vor Warnungen haben, die von Antivirenblöcken stammen. In diesem Fall wird eine Informationswarnung generiert.
Microsoft Store-Apps können nicht von Defender blockiert werden, da sie von Microsoft signiert sind.
Verwandte Artikel
- Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus
- Erstellen eines kontextbezogenen IoC
- Verwenden der Microsoft Defender for Endpoint-Indikatoren-API
- Verwenden von partnerintegrten Lösungen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.