Crear indicadores para los archivos

  • Artículo

Se aplica a:

Sugerencia

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Evite la propagación de un ataque en su organización mediante la prohibición de archivos potencialmente malintencionados o sospechas de malware. Si conoce un archivo ejecutable portátil (PE) potencialmente malintencionado, puede bloquearlo. Esta operación impedirá que se lea, escriba o ejecute en dispositivos de su organización.

Hay tres maneras de crear indicadores para los archivos:

  • Mediante la creación de un indicador a través de la página de configuración
  • Mediante la creación de un indicador contextual mediante el botón agregar indicador desde la página de detalles del archivo
  • Mediante la creación de un indicador a través de indicator API

Nota:

Para que esta característica funcione en Windows Server 2016 y Windows Server 2012 R2, estos dispositivos deben incorporarse mediante las instrucciones de Incorporación de servidores Windows. Los indicadores de archivos personalizados con las acciones Permitir, Bloquear y Corregir ahora también están disponibles en las funcionalidades mejoradas del motor antimalware para macOS y Linux.

Antes de empezar

Conozca los siguientes requisitos previos antes de crear indicadores para los archivos:

Esta característica está diseñada para evitar que se descargue malware sospechoso (o archivos potencialmente malintencionados) desde la web. Actualmente admite archivos ejecutables portátiles (PE), incluidos .exe los archivos y .dll . La cobertura se extiende con el tiempo.

Importante

En El plan 1 de Defender para punto de conexión y Defender para empresas, puede crear un indicador para bloquear o permitir un archivo. En Defender para empresas, el indicador se aplica en todo el entorno y no se puede limitar a dispositivos específicos.

Create un indicador de archivos de la página de configuración

  1. En el panel de navegación, seleccione Configuración>Indicadores depuntos> de conexión (en Reglas).

  2. Seleccione la pestaña Hashes de archivo .

  3. Seleccione Agregar elemento.

  4. Especifique los detalles siguientes:

    • Indicador: especifique los detalles de la entidad y defina la expiración del indicador.
    • Acción: especifique la acción que se va a realizar y proporcione una descripción.
    • Ámbito: defina el ámbito del grupo de dispositivos (el ámbito no está disponible en Defender para empresas).

    Nota:

    La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión

  5. Revise los detalles de la pestaña Resumen y, a continuación, seleccione Guardar.

Create un indicador contextual de la página de detalles del archivo

Una de las opciones al realizar acciones de respuesta en un archivo es agregar un indicador para el archivo. Al agregar un hash de indicador para un archivo, puede optar por generar una alerta y bloquear el archivo cada vez que un dispositivo de su organización intente ejecutarlo.

Los archivos bloqueados automáticamente por un indicador no se mostrarán en el Centro de acciones del archivo, pero las alertas seguirán siendo visibles en la cola Alertas.

Alertas sobre acciones de bloqueo de archivos (versión preliminar)

Importante

La información de esta sección (versión preliminar pública para el motor de investigación y corrección automatizada) se refiere al producto de versión preliminar que podría modificarse sustancialmente antes de que se publique comercialmente. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Las acciones admitidas actuales para IOC de archivos son permitir, auditar y bloquear, y corregir. Después de elegir bloquear un archivo, puede elegir si se necesita desencadenar una alerta. De este modo, podrá controlar el número de alertas que reciben los equipos de operaciones de seguridad y asegurarse de que solo se generan las alertas necesarias.

En Microsoft Defender XDR, vaya aIndicadores de puntos> de conexiónde>configuración>Agregar nuevo hash de archivo.

Elija Bloquear y corregir el archivo.

Elija si desea generar una alerta en el evento de bloque de archivos y defina la configuración de alertas:

  • El título de la alerta
  • Gravedad de la alerta
  • Categoría
  • Descripción
  • Acciones recomendadas

Configuración de alertas para los indicadores de archivo

Importante

  • Normalmente, los bloques de archivos se aplican y quitan en un par de minutos, pero pueden tardar más de 30 minutos.
  • Si hay directivas de IoC de archivos en conflicto con el mismo tipo de cumplimiento y destino, se aplicará la directiva del hash más seguro. Una directiva ioC de hash de archivo SHA-256 obtendrá una directiva ioC de hash de archivo SHA-1, que obtendrá una directiva ioC de hash de archivo MD5 si los tipos hash definen el mismo archivo. Esto siempre es cierto independientemente del grupo de dispositivos.
  • En todos los demás casos, si se aplican directivas de IoC de archivos en conflicto con el mismo destino de cumplimiento a todos los dispositivos y al grupo del dispositivo, en el caso de un dispositivo, la directiva del grupo de dispositivos ganará.
  • Si la directiva de grupo EnableFileHashComputation está deshabilitada, se reduce la precisión de bloqueo del archivo IoC. Sin embargo, la habilitación EnableFileHashComputation puede afectar al rendimiento del dispositivo. Por ejemplo, la copia de archivos grandes de un recurso compartido de red en el dispositivo local, especialmente a través de una conexión VPN, podría tener un efecto en el rendimiento del dispositivo.

Para obtener más información sobre la directiva de grupo EnableFileHashComputation, consulte CSP de Defender.

Para obtener más información sobre cómo configurar esta característica en Defender para punto de conexión en Linux y macOS, consulte Configuración de la característica de cálculo hash de archivos en Linux y Configuración de la característica de cálculo hash de archivos en macOS.

Funcionalidades avanzadas de búsqueda (versión preliminar)

Importante

La información de esta sección (versión preliminar pública para el motor de investigación y corrección automatizada) se refiere al producto de versión preliminar que se puede modificar sustancialmente antes de su publicación comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Actualmente en versión preliminar, puede consultar la actividad de acción de respuesta en la búsqueda anticipada. A continuación se muestra una consulta de búsqueda anticipada de ejemplo:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Para obtener más información sobre la búsqueda avanzada, vea Búsqueda proactiva de amenazas con búsqueda avanzada.

A continuación se muestran otros nombres de subproceso que se pueden usar en la consulta de ejemplo anterior:

Archivos:

  • EUS:Win32/CustomEnterpriseBlock!cl
  • EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Certificados:

  • EUS:Win32/CustomCertEnterpriseBlock!cl

La actividad de acción de respuesta también se puede ver en la escala de tiempo del dispositivo.

Control de conflictos de directivas

Los conflictos de control de directivas de IoC de certificados y archivos siguen este orden:

  1. Si el archivo no está permitido por Windows Defender directivas de modo de aplicación de Control de aplicaciones y AppLocker, bloquee.
  2. De lo contrario, si el archivo está permitido por las exclusiones de antivirus de Microsoft Defender, permitir.
  3. De lo contrario, si el archivo está bloqueado o advertido por un bloque o un ioC de archivo de advertencia, bloquee o advierta.
  4. De lo contrario, si SmartScreen bloquea el archivo, bloquee.
  5. De lo contrario, si una directiva de IoC de permitir el archivo permite el archivo, permitir.
  6. De lo contrario, si el archivo está bloqueado por reglas de reducción de superficie expuesta a ataques, acceso controlado a carpetas o protección antivirus, bloquear.
  7. De lo contrario, Permitir (pasa Windows Defender control de aplicaciones & directiva de AppLocker, no se le aplican reglas de IoC).

Nota:

En situaciones en las que Microsoft Defender Antivirus se establece en Bloquear, pero los indicadores de Defender para punto de conexión para hash de archivos o certificados se establecen en Permitir, la directiva tiene como valor predeterminado Permitir.

Si hay directivas de IoC de archivos en conflicto con el mismo tipo de cumplimiento y destino, se aplica la directiva del hash más seguro (es decir, más largo). Por ejemplo, una directiva ioC de hash de archivo SHA-256 tiene prioridad sobre una directiva ioC de hash de archivo MD5 si ambos tipos hash definen el mismo archivo.

Advertencia

El control de conflictos de directivas para archivos y certificados difiere del control de conflictos de directivas para dominios, direcciones URL o direcciones IP.

las características de aplicación vulnerables a bloques de Administración de vulnerabilidades de Microsoft Defender usan los ioC de archivo para su cumplimiento y siguen el orden de control de conflictos descrito anteriormente en esta sección.

Ejemplos

Componente Aplicación de componentes Acción del indicador de archivo Resultado
Exclusión de la ruta de acceso del archivo de reducción de superficie expuesta a ataques Permitir Bloquear Bloquear
Regla de reducción de superficie expuesta a ataques Bloquear Permitir Permitir
Control de aplicaciones de Windows Defender Permitir Bloquear Permitir
Control de aplicaciones de Windows Defender Bloquear Permitir Bloquear
Microsoft Defender exclusión de Antivirus Permitir Bloquear Permitir

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.