Jaa

Luo ilmaisimia tiedostoille

  • Artikkeli

Koskee seuraavia:

Vihje

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tärkeää

Defender for Endpointin palvelupakettiin 1 ja Defender for Business voit luoda ilmaisimen tiedoston estämiseksi tai sallimiseksi. Defender for Business ilmaisinta käytetään koko ympäristössä, eikä sitä voi rajata tiettyihin laitteisiin.

Huomautus

Jotta tämä ominaisuus toimisi Windows Server 2016:ssa ja Windows Server 2012 R2:ssa, kyseiset laitteet on otettava käyttöön Onboard Windows -palvelimien ohjeiden mukaisesti. Mukautetut tiedostoilmaisimet, joissa on Salli-, Estä- ja Korjaa-toimintoja, ovat nyt käytettävissä myös macOS:n ja Linuxin parannetuissa haittaohjelmatoimintojen toiminnoissa.

Tiedostoilmaisimet estävät hyökkäyksen leviämisen organisaatioosi kieltämällä mahdollisesti haitalliset tiedostot tai epäillyt haittaohjelmat. Jos tiedät mahdollisesti haitallisen kannettavan suoritettavan tiedoston (PE), voit estää sen. Tämä toiminto estää sen lukemisen, kirjoittamisen tai suorittamisen organisaatiosi laitteissa.

Tiedostojen ilmaisimia voi luoda kolmella tavalla:

  • Luomalla ilmaisimen Asetus-sivun kautta
  • Luomalla tilannekohtaisen ilmaisimen tiedoston tietosivun Lisää ilmaisin -painikkeella
  • Luomalla ilmaisimen ilmaisimen ohjelmointirajapinnan kautta

Alkuvalmistelut

Tutustu seuraaviin edellytyksiin, ennen kuin luot tiedostojen ilmaisimia:

Windows-edellytykset

  • Tämä ominaisuus on käytettävissä, jos organisaatiosi käyttää Microsoft Defender virustentorjuntaohjelmaa (aktiivisessa tilassa)

  • Haittaohjelmien torjunta -asiakasversion on oltava uudempi tai uudempi 4.18.1901.x . Näytä kuukausittaiset käyttöympäristön ja moduulin versiot

  • Tätä ominaisuutta tuetaan laitteissa, joissa on käytössä Windows 10 versio 1703 tai uudempi versio Windows 11, Windows Server 2012 R2, Windows Server 2016 tai uudempi versio, Windows Server 2019 tai Windows Server 2022.

  • Tiedoston hajautusarvon laskenta on käytössä, kun asetuksena Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\ on Käytössä

Huomautus

Tiedostoilmaisimet tukevat kannettavia suoritettavaa tiedostoa (PE), mukaan lukien .exe ja .dll vain tiedostot.

macOS-edellytykset

linux-edellytykset

Luo tiedostoille ilmaisin asetussivulta

  1. Valitse siirtymisruudussa Asetukset>Päätepisteen ilmaisimet> (Säännöt-kohdasta).

  2. Valitse Tiedosto hajautuksia -välilehti.

  3. Valitse Lisää kohde.

  4. Määritä seuraavat tiedot:

    • Ilmaisin: Määritä entiteetin tiedot ja ilmaisimen vanhentuminen.
    • Toiminto: Määritä suoritettava toiminto ja anna kuvaus.
    • Laajuus: Määritä laiteryhmän laajuus (kopiointi ei ole käytettävissä Defender for Business).

    Huomautus

    Laiteryhmän luontia tuetaan sekä Defender for Endpoint -palvelupaketti 1 että palvelupaketti 2

  5. Tarkista tiedot Yhteenveto-välilehdessä ja valitse sitten Tallenna.

Luo tilannekohtainen ilmaisin tiedoston tietosivulta

Yksi vaihtoehdoista , kun tiedostolle tehdään vastaustoimintoja , on ilmaisimen lisääminen tiedostoon. Kun lisäät tiedostoon ilmaisimen hajautusarvon, voit halutessasi lisätä ilmoituksen ja estää tiedoston aina, kun organisaatiosi laite yrittää suorittaa sen.

Ilmaisimen automaattisesti estämät tiedostot eivät näy tiedoston toimintokeskuksessa, mutta ilmoitukset näkyvät silti Ilmoitusjonossa.

Ilmoitus tiedoston estotoiminnoista (esikatselu)

Tärkeää

Tämän osion tiedot (julkinen esikatselu automatisoidulle tutkimukselle ja korjausmoduulille) liittyvät esiversiotuotteeseen, jota voidaan muuttaa huomattavasti ennen sen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Tiedoston OC (IOC) nykyiset tuetut toiminnot ovat salliminen, valvonta ja estäminen sekä korjaaminen. Kun olet valinnut tiedoston estämisen, voit valita, tarvitaanko ilmoituksen käynnistäminen. Tällä tavalla voit hallita suojaustoimintatiimeihin pääsevien hälytysten määrää ja varmistaa, että vain pakolliset hälytykset annetaan.

  1. Siirry Microsoft Defender portaalissakohtaan Asetukset>Päätepisteet Ilmaisimet>>Lisää uusi tiedoston hajautusarvo.

  2. Estä tiedosto ja korjaa se.

  3. Määritä, luodaanko ilmoitus tiedostoestotapahtumalle ja määritetäänkö ilmoitusasetukset:

    • Ilmoituksen otsikko
    • Ilmoituksen vakavuus
    • Luokka
    • Kuvaus
    • Suositellut toiminnot

    Tiedostoilmaisimien ilmoitusasetukset

    Tärkeää

    • Yleensä tiedostolohkot pakotetaan käyttöön ja poistetaan 15 minuutin kuluessa, keskimäärin 30 minuutin kuluessa, mutta ne voivat kestää yli 2 tuntia.
    • Jos tiedostossa on ristiriitaisia IoC-käytäntöjä, joilla on sama pakotustyyppi ja kohde, käytetään turvallisemman hajautusarvon käytäntöä. SHA-256-tiedoston hajautuskoodin IoC-käytäntö voittaa SHA-1-tiedoston hajautusarvon IoC-käytännön, joka voittaa MD5-tiedoston hajautuskoodin IoC-käytännön, jos hajautustyypit määrittävät saman tiedoston. Tämä on aina tosi laiteryhmästä riippumatta.
    • Kaikissa muissa tapauksissa, jos ristiriitaisia tiedoston IoC-käytäntöjä, joilla on sama pakotuskohde, sovelletaan kaikkiin laitteisiin ja laitteen ryhmään, laiteryhmän käytäntö voittaa.
    • Jos EnableFileHashComputation-ryhmäkäytäntö on poistettu käytöstä, IoC-tiedoston estotarkkuutta vähennetään. Käyttöönotto EnableFileHashComputation voi kuitenkin vaikuttaa laitteen suorituskykyyn. Esimerkiksi suurten tiedostojen kopioiminen jaettavasta verkkoresurssista paikalliseen laitteeseesi, erityisesti VPN-yhteyden kautta, voi vaikuttaa laitteen suorituskykyyn. Lisätietoja EnableFileHashComputation-ryhmäkäytännöstä on kohdassa Defender CSP. Lisätietoja tämän ominaisuuden määrittämisestä Defender for Endpointissa Linuxissa ja macOS:ssä on ohjeartikkelissa Tiedostojen hajautusarvon laskentaominaisuuden määrittäminen Linuxissa ja Tiedoston hajautusarvon laskentaominaisuuden määrittäminen macOS:ssä.

Kehittyneet metsästysominaisuudet (esikatselu)

Tärkeää

Tämän osion tiedot (julkinen esikatselu automatisoidulle tutkimukselle ja korjausmoduulille) liittyvät esiversiotuotteeseen, jota voidaan muuttaa huomattavasti ennen sen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Tällä hetkellä esikatselussa voit kysellä vastaustoimintoa ennen metsästystä. Alla on esimerkki ennakkometsästyskyselystä:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Lisätietoja kehittyneestä metsästyksestä on kohdassa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä.

Alla on muita säikeiden nimiä, joita voidaan käyttää mallikyselyssä ylhäältä:

Tiedostot:

  • EUS:Win32/CustomEnterpriseBlock!cl
  • EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Todistukset:

  • EUS:Win32/CustomCertEnterpriseBlock!cl

Vastaustoiminnon toimintaa voidaan tarkastella myös laitteen aikajanalla.

Käytäntöristiriitojen käsittely

Varmenteiden ja tiedostojen IoC-käytäntöjen käsittelyristiriidat noudattavat tätä järjestystä:

  1. Jos Windows Defenderin sovellusohjausobjekti ja AppLockerin pakotustilakäytännöt eivät salli tiedostoa, valitse Estä.

  2. Muuten, jos Microsoft Defender virustentorjuntapoikkeukset sallivat tiedoston, valitse Salli.

  3. Jos tiedosto on estetty tai estetty tai varoita tiedoston IOC-tiedostoja, estä/varoita.

  4. Muuten, jos SmartScreen on estänyt tiedoston, valitse Estä.

  5. Jos tiedoston salliva IoC-käytäntö sallii tiedoston, valitse Salli.

  6. Muuten, jos hyökkäyspinnan vähentämissäännöt, valvotun kansion käyttö tai virustentorjunta estävät tiedoston käytön, valitse Estä.

  7. Muuten Salli (välittää Windows Defenderin sovellusohjausobjektin & AppLocker-käytännön, siihen ei sovelleta IoC-sääntöjä).

Huomautus

Jos Microsoft Defender virustentorjuntaohjelman asetuksena on Estä, mutta Tiedostojen hajautusarvojen tai varmenteiden Defender for Endpoint -ilmaisimien asetuksena on Salli, käytännön oletusarvona on Salli.

Jos tiedostossa on ristiriitaisia IoC-käytäntöjä, joilla on sama pakotustyyppi ja kohde, käytetään turvallisemman (eli pidemmän) hajautusarvon käytäntöä. Esimerkiksi SHA-256-tiedoston hajautuskoodin IoC-käytäntö on tärkeämpi kuin MD5-tiedoston hajautuskoodin IoC-käytäntö, jos molemmat hajautusarvotyypit määrittävät saman tiedoston.

Varoitus

Tiedostojen ja varmenteiden käytäntöjen ristiriitojen käsittely eroaa toimialueiden, URL-osoitteiden tai IP-osoitteiden käytäntöjen ristiriitojen käsittelystä.

Microsoft Defenderin haavoittuvuuksien hallinta estää haavoittuvassa asemassa olevat sovellusominaisuudet käyttävät tiedoston IOC-tiedostoja pakottamiseen, ja se noudattaa aiemmin tässä osiossa kuvattua ristiriitojen käsittelyjärjestystä.

Esimerkkejä

Osa Osien pakottaminen Tiedostoilmaisimen toiminto Tulos
Hyökkäysalueen pienentämistiedoston polkupoikkeus Salli Estä Estä
Hyökkäyspinnan pienentämissääntö Estä Salli Salli
Windows Defenderin sovellusohjausobjekti Salli Estä Salli
Windows Defenderin sovellusohjausobjekti Estä Salli Estä
Microsoft Defender virustentorjuntaohjelman poissulkeminen Salli Estä Salli

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.