Compartir a través de


Creación de indicadores basados en certificados

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Puede crear indicadores para los certificados. Algunos casos de uso comunes incluyen:

  • Escenarios en los que es necesario implementar tecnologías de bloqueo, como reglas de reducción de superficie expuesta a ataques , pero es necesario permitir comportamientos de aplicaciones firmadas agregando el certificado en la lista de permitidos.
  • Bloquear el uso de una aplicación firmada específica en toda la organización. Al crear un indicador para bloquear el certificado de la aplicación, el Antivirus de Windows Defender impedirá las ejecuciones de archivos (bloquear y corregir) y la investigación y corrección automatizadas se comportarán igual.

Antes de empezar

Es importante comprender los siguientes requisitos antes de crear indicadores de certificados:

  • Esta característica está disponible si su organización usa el Antivirus de Microsoft Defender y la protección basada en la nube está habilitada. Para obtener más información, consulte Administración de la protección basada en la nube.

  • La versión de cliente de Antimalware debe ser 4.18.1901.x o posterior.

  • Compatible con máquinas en Windows 10, versión 1703 o posterior, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2022.

    Nota:

    Windows Server 2016 y Windows Server 2012 R2 tendrán que incorporarse mediante las instrucciones de Incorporación de servidores Windows para que esta característica funcione.

  • Las definiciones de protección contra virus y amenazas deben estar actualizadas.

  • Actualmente, esta característica admite la introducción de . CER o . Extensiones de archivo PEM.

Importante

  • Un certificado hoja válido es un certificado de firma que tiene una ruta de certificación válida y se debe encadenar a la entidad de certificación raíz (CA) de confianza de Microsoft. Como alternativa, se puede usar un certificado personalizado (autofirmado) siempre que sea de confianza para el cliente (el certificado de entidad de certificación raíz está instalado en la máquina local "Entidades de certificación raíz de confianza").
  • Los elementos secundarios o primarios de los IOC de certificado de permitir o bloquear no se incluyen en la funcionalidad de IoC de permitir o bloquear, solo se admiten certificados hoja.
  • No se pueden bloquear los certificados firmados por Microsoft.

Cree un indicador para los certificados desde la página de configuración:

Importante

La creación y eliminación de un certificado IoC puede tardar hasta 3 horas.

  1. En el panel de navegación, seleccione Configuración>Indicadores depuntos> de conexión (en Reglas).

  2. Seleccione Agregar indicador.

  3. Especifique los detalles siguientes:

    • Indicador: especifique los detalles de la entidad y defina la expiración del indicador.
    • Acción: especifique la acción que se va a realizar y proporcione una descripción.
    • Ámbito: defina el ámbito del grupo de máquinas.
  4. Revise los detalles de la pestaña Resumen y haga clic en Guardar.

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.