Compartir a través de

Introducción a los indicadores en Microsoft Defender para punto de conexión

Se aplica a:

Información general del indicador de riesgo (IoC)

Un indicador de riesgo (IoC) es un artefacto forense observado en la red o el host. Una instancia de IoC indica, con una gran confianza, que se ha producido una intrusión de equipo o red. Los IOC son observables, lo que los vincula directamente a eventos medibles. Algunos ejemplos de IoC incluyen:

  • hashes de malware conocido
  • firmas de tráfico de red malintencionado
  • Direcciones URL o dominios que son distribuidores de malware conocidos

Para detener otros riesgos o evitar infracciones de los ioC conocidos, las herramientas de IoC correctas deben ser capaces de detectar todos los datos malintencionados enumerados por el conjunto de reglas de la herramienta. La coincidencia de IoC es una característica esencial en todas las soluciones de Endpoint Protection. Esta funcionalidad ofrece a SecOps la capacidad de establecer una lista de indicadores para la detección y el bloqueo (prevención y respuesta).

Las organizaciones pueden crear indicadores que definan la detección, prevención y exclusión de entidades de IoC. Puede definir la acción que se va a realizar, así como la duración de la aplicación de la acción y el ámbito del grupo de dispositivos al que se va a aplicar.

En este vídeo se muestra un tutorial sobre cómo crear y agregar indicadores:

Acerca de los indicadores de Microsoft

Como regla general, solo debe crear indicadores para los IOC incorrectos conocidos o para los archivos o sitios web que se deben permitir explícitamente en su organización. Para obtener más información sobre los tipos de sitios que Defender para punto de conexión puede bloquear de forma predeterminada, consulte Microsoft Defender información general de SmartScreen.

Un falso positivo (FP) hace referencia a un falso positivo en la inteligencia sobre amenazas de Microsoft. Si un recurso determinado no es realmente una amenaza, puede crear una instancia de Allow IoC para permitir el recurso. También puede ayudar a impulsar las mejoras en la inteligencia de seguridad de Microsoft mediante el envío de falsos positivos e IOC sospechosos o incorrectos conocidos para su análisis. Si se muestra una advertencia o un bloque incorrectamente para un archivo o aplicación, o si sospecha que un archivo no detectado es malware, puede enviar un archivo a Microsoft para su revisión. Para más información, consulte Enviar archivos para su análisis.

Indicadores de IP/URL/Dominio

Puede usar indicadores ip y dirección URL/dominio para administrar el acceso al sitio.

Para bloquear las conexiones a una dirección IP, escriba la dirección IPv4 en forma de cuatro puntos (por ejemplo, 8.8.8.8). Para las direcciones IPv6, especifique los 8 segmentos (por ejemplo, 2001:4860:4860:0:0:0:0:8888). Tenga en cuenta que no se admiten caracteres comodín ni intervalos.

Para bloquear las conexiones a un dominio y a cualquiera de sus subdominios, especifique el dominio (por ejemplo, example.com). Este indicador coincidirá example.com con sub.example.com y anything.sub.example.com.

Para bloquear una ruta de dirección URL específica, especifique la ruta de acceso de dirección URL (por ejemplo, https://example.com/block). Este indicador coincidirá con los recursos de la /block ruta de acceso en example.com. Tenga en cuenta que las rutas de acceso url HTTPS solo coincidirán en Microsoft Edge; Las rutas de acceso url HTTP se pueden buscar en cualquier explorador.

También puede crear indicadores IP y URL para desbloquear a los usuarios desde un bloque SmartScreen o omitir selectivamente los bloques de filtrado de contenido web de los sitios que le gustaría permitir cargar. Por ejemplo, considere un caso en el que tiene configurado el filtrado de contenido web para bloquear todos los sitios web de redes sociales. Sin embargo, el equipo de marketing tiene el requisito de usar un sitio de redes sociales específico para supervisar sus ubicaciones de anuncios. En este caso, puede desbloquear el sitio de medios sociales específico mediante la creación de un indicador de permiso de dominio y su asignación al grupo de dispositivos del equipo de marketing.

Consulte Protección web y filtrado de contenido web

Indicadores IP/URL: protección de red y protocolo de enlace triple TCP

Con la protección de red, la determinación de si se va a permitir o bloquear el acceso a un sitio se realiza después de la finalización del protocolo de enlace triple a través de TCP/IP. Por lo tanto, cuando la protección de red bloquea un sitio, es posible que vea un tipo de acción de ConnectionSuccessNetworkConnectionEvents en en el portal de Microsoft Defender, aunque el sitio esté bloqueado. NetworkConnectionEvents se notifican desde la capa TCP y no desde la protección de red. Una vez completado el protocolo de enlace triple, la protección de red permite o bloquea el acceso al sitio.

Este es un ejemplo de cómo funciona:

  1. Supongamos que un usuario intenta acceder a un sitio web en su dispositivo. El sitio se hospeda en un dominio peligroso y debe estar bloqueado por la protección de red.

  2. Comienza el protocolo de enlace triple a través de TCP/IP. Antes de que se complete, se registra una NetworkConnectionEvents acción y su ActionType aparece como ConnectionSuccess. Sin embargo, en cuanto se completa el proceso de protocolo de enlace triple, la protección de red bloquea el acceso al sitio. Todo esto sucede rápidamente. Se produce un proceso similar con Microsoft Defender SmartScreen; es cuando se completa el protocolo de enlace de tres vías que se realiza una determinación y se bloquea o se permite el acceso a un sitio.

  3. En el portal de Microsoft Defender, se muestra una alerta en la cola de alertas. Los detalles de esa alerta incluyen tanto NetworkConnectionEvents como AlertEvents. Puede ver que el sitio se bloqueó, aunque también tenga un NetworkConnectionEvents elemento con actiontype de ConnectionSuccess.

Indicadores hash de archivo

En algunos casos, la creación de un nuevo indicador para un ioC de archivo recién identificado ,como medida inmediata de detención de brechas, podría ser adecuado para bloquear archivos o incluso aplicaciones. Sin embargo, es posible que el uso de indicadores para intentar bloquear una aplicación no proporcione los resultados esperados, ya que las aplicaciones suelen estar compuestas de muchos archivos diferentes. Los métodos preferidos para bloquear aplicaciones son usar el Control de aplicaciones de Windows Defender (WDAC) o AppLocker.

Dado que cada versión de una aplicación tiene un hash de archivo diferente, no se recomienda usar indicadores para bloquear hashes.

Control de aplicaciones de Windows Defender (WDAC)

Indicadores de certificado

Puede crear una instancia de IoC para permitir o bloquear archivos y aplicaciones firmados por ese certificado. Los indicadores de certificado se pueden proporcionar en . CER o . Formato de archivo PEM. Consulte Creación de indicadores basados en certificados para obtener más información.

Motores de detección de IoC

Actualmente, los orígenes de Microsoft admitidos para IoC son:

Motor de detección de nube

El motor de detección en la nube de Defender para punto de conexión examina periódicamente los datos recopilados e intenta coincidir con los indicadores establecidos. Cuando hay una coincidencia, se realiza una acción según la configuración especificada para IoC.

Motor de prevención de puntos de conexión

El agente de prevención respeta la misma lista de indicadores. Es decir, si Microsoft Defender Antivirus es el antivirus principal configurado, los indicadores coincidentes se tratan según la configuración. Por ejemplo, si la acción se bloquea y corrige, Microsoft Defender Antivirus impide las ejecuciones de archivos y aparece una alerta correspondiente. Por otro lado, si la acción está establecida en Permitir, Microsoft Defender Antivirus no detecta ni bloquea el archivo.

Motor de investigación y corrección automatizado

La investigación y corrección automatizadas se comportan de forma similar al motor de prevención de puntos de conexión. Si un indicador está establecido en Permitir, la investigación y la corrección automatizadas omiten un veredicto incorrecto para él. Si se establece en Bloquear, la investigación y la corrección automatizadas la tratan como incorrectas.

La EnableFileHashComputation configuración calcula el hash de archivo durante los exámenes de archivos. Admite la aplicación de IoC en hashes que pertenecen a aplicaciones de confianza. Se habilita simultáneamente con la configuración de permitir o bloquear el archivo. EnableFileHashComputationse habilita manualmente a través de directiva de grupo y está deshabilitado de forma predeterminada.

Tipos de cumplimiento para indicadores

Cuando el equipo de seguridad crea un nuevo indicador (IoC), están disponibles las siguientes acciones:

  • Permitir: se permite que IoC se ejecute en los dispositivos.
  • Auditoría: se desencadena una alerta cuando se ejecuta IoC.
  • Advertencia: IoC solicita una advertencia que el usuario puede omitir
  • Ejecución de bloques: no se permite la ejecución de IoC.
  • Bloquear y corregir: no se permite la ejecución de IoC y se aplica una acción de corrección a IoC.

Nota:

El uso del modo Advertir solicita a los usuarios una advertencia si abren una aplicación o un sitio web de riesgo. El mensaje no impide que se pueda ejecutar la aplicación o el sitio web, pero puede proporcionar un mensaje personalizado y vínculos a una página de la empresa que describa el uso adecuado de la aplicación. Los usuarios pueden omitir la advertencia y seguir usando la aplicación si es necesario. Para obtener más información, consulte Control de las aplicaciones detectadas por Microsoft Defender para punto de conexión.

Puede crear un indicador para:

En la tabla siguiente se muestran las acciones disponibles por tipo de indicador (IoC):

Tipo de IoC Acciones disponibles
Files Permitir
Auditoría
Advertir
Ejecución de bloques
Bloquear y corregir
Direcciones IP Permitir
Auditoría
Advertir
Ejecución de bloques
Direcciones URL y dominios Permitir
Auditoría
Advertir
Ejecución de bloques
Certificados Permitir
Bloquear y corregir

La funcionalidad de los ioC existentes no cambia. Sin embargo, se cambia el nombre de los indicadores para que coincidan con las acciones de respuesta admitidas actualmente:

  • Se cambió el nombre de la acción de respuesta de solo alerta para auditar con la configuración de alerta generada habilitada.
  • Se cambió el nombre de la respuesta de alerta y bloque para bloquearla y corregirla con la configuración de generación de alertas opcional.

El esquema de la API de IoC y los identificadores de amenazas de búsqueda avanzada se actualizan para alinearse con el cambio de nombre de las acciones de respuesta de IoC. Los cambios del esquema de API se aplican a todos los tipos de IoC.

Nota:

Hay un límite de 15 000 indicadores por inquilino. No se admiten aumentos a este límite.

Los indicadores de archivo y certificado no bloquean las exclusiones definidas para Microsoft Defender Antivirus. Los indicadores no se admiten en Microsoft Defender Antivirus cuando está en modo pasivo.

El formato para importar nuevos indicadores (IoC) ha cambiado según la nueva configuración de alertas y acciones actualizadas. Se recomienda descargar el nuevo formato CSV que se encuentra en la parte inferior del panel de importación.

Si los indicadores se sincronizan con el portal de Microsoft Defender desde Microsoft Defender for Cloud Apps para aplicaciones autorizadas o no autorizadas, la Generate Alert opción se habilita de forma predeterminada en el portal de Microsoft Defender. Si intenta desactivar la Generate Alert opción de Defender para punto de conexión, se volverá a habilitar después de algún tiempo porque la directiva de Defender for Cloud Apps la invalida.

Problemas y limitaciones conocidos

Microsoft Defender no puede bloquear las aplicaciones de Microsoft Store porque están firmadas por Microsoft.

Es posible que los clientes experimenten problemas con las alertas de ioC. Los escenarios siguientes son situaciones en las que no se crean alertas o se crean con información inexacta. Nuestro equipo de ingeniería investiga cada problema.

  • Indicadores de bloque: solo se crean alertas genéricas con gravedad informativa. Las alertas personalizadas (es decir, el título y la gravedad personalizados) no se desencadenan en estos casos.
  • Indicadores de advertencia: las alertas genéricas y las alertas personalizadas son posibles en este escenario; sin embargo, los resultados no son deterministas debido a un problema con la lógica de detección de alertas. En algunos casos, los clientes podrían ver una alerta genérica, mientras que una alerta personalizada podría mostrarse en otros casos.
  • Permitir: no se generan alertas (por diseño).
  • Auditoría: las alertas se generan en función de la gravedad proporcionada por el cliente (por diseño).
  • En algunos casos, las alertas procedentes de detecciones de EDR pueden tener prioridad sobre las alertas derivadas de bloques antivirus, en cuyo caso se genera una alerta de información.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.