Ilmaisimien luominen

  • Artikkeli

Koskee seuraavia:

Vihje

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Kompromissi-ilmaisimen (IoC) yleiskatsaus

Kompromissin ilmaisin (IoC) on rikostekninen esine, joka on havaittu verkossa tai isännässä. IoC ilmaisee – erittäin luotettavasti - tietokoneen tai verkon tunkeutumisen. IOC-yhdisteet ovat havaittavissa, mikä linkittää ne suoraan mitattavissaisiin tapahtumiin. Esimerkkejä IoC:stä:

  • tunnetun haittaohjelman hashes
  • haitallisen verkkoliikenteen allekirjoitukset
  • URL-osoitteet tai verkkotunnukset, jotka ovat tunnettuja haittaohjelmien jakelijoita

Muiden kompromissien pysäyttämiseksi tai tunnettujen IOC-keskusten rikkomisen estämiseksi onnistuneiden IoC-työkalujen pitäisi pystyä havaitsemaan kaikki työkalun sääntöjoukossa luetteloimat haitalliset tiedot. IoC-vastaavuus on olennainen ominaisuus jokaisessa päätepisteen suojausratkaisussa. Tämä ominaisuus antaa SecOpsille mahdollisuuden määrittää luettelo ilmaisimista havaitsemiseksi ja estämiseksi (ennaltaehkäisy ja reagointi).

Organisaatiot voivat luoda ilmaisimia, jotka määrittävät IoC-entiteettien tunnistamisen, estämisen ja poissulkemisen. Voit määrittää suoritettavan toiminnon sekä toiminnon käyttöönoton keston ja sen laiteryhmän laajuuden, jossa sitä käytetään.

Tässä videossa esitellään ilmaisimien luominen ja lisääminen:

Tietoja Microsoftin ilmaisimista

Yleensä sinun tulisi luoda ilmaisimia vain tunnetuille huonoille INTERNET-tietokoneille tai tiedostoille / verkkosivustoille, jotka tulisi nimenomaisesti sallia organisaatiossasi. Lisätietoja sivustotyypeistä, jotka Defender for Endpoint voi oletusarvoisesti estää, on Microsoft Defender SmartScreenin yleiskatsauksessa.

False-positiivinen (FP) viittaa SmartScreen false -positiiviseen, niin että sitä pidetään haittaohjelmistona tai tietojen kalasteluna, mutta se ei itse asiassa ole uhka, joten haluat luoda sille sallimiskäytännön.

Voit myös auttaa parantamaan Microsoftin suojaustietoja lähettämällä vääriä positiivisia ja epäilyttäviä tai tunnettuja huonoja IOC-tiloja analyysia varten. Jos tiedoston tai sovelluksen varoitus tai esto näkyy virheellisesti tai jos epäilet, että havaitsematon tiedosto on haittaohjelma, voit lähettää tiedoston Microsoftille tarkistettavaksi. Lisätietoja on kohdassa Tiedostojen lähettäminen analyysia varten.

IP-osoitin/URL-ilmaisimet

IP-osoite-/URL-ilmaisimien avulla voit poistaa käyttäjien eston SmartScreen false -positiivisesta (FP) tai ohittaa verkkosisällön suodatuksen (WFC) lohkon.

Voit hallita sivuston käyttöä URL- ja IP-ilmaisimien avulla. Voit luoda väliaikaisia IP- ja URL-ilmaisimia poistaaksesi tilapäisesti käyttäjien eston SmartScreen-lohkosta. Sinulla voi myös olla ilmaisimia, joita säilytät pitkään ohittaaksesi valikoivasti verkkosisällön suodatuslohkot.

Harkitse tapausta, jossa sinulla on verkkosisällön suodatuksen luokitus tietylle sivustolle, joka on oikein. Tässä esimerkissä verkkosisällön suodatus on määritetty estämään kaikki sosiaalinen media, mikä vastaa organisaation yleisiä tavoitteita. Markkinointitiimillä on kuitenkin todellinen tarve käyttää tiettyä sosiaalisen median sivustoa mainontaan ja ilmoituksiin. Tässä tapauksessa voit poistaa tietyn sosiaalisen median sivuston eston käyttämällä tietyn ryhmän (tai ryhmien) IP- tai URL-ilmaisimia.

Katso www-suojaus ja verkkosisällön suodatus

IP/URL-ilmaisimet: Verkon suojaus ja TCP-kolmisuuntainen kättely

Verkon suojauksen avulla määritetään, sallitaanko sivustolle pääsy vai estetäänkö se sen jälkeen, kun kolmitiekäsittely on suoritettu TCP/IP:n kautta. Näin ollen, kun verkkosuojaus estää sivuston, saatat nähdä -toimintotyypin ConnectionSuccessNetworkConnectionEvents Microsoft Defender portaalissa, vaikka sivusto on estetty. NetworkConnectionEvents ilmoitetaan TCP-kerroksesta, ei verkon suojauksesta. Kun kaksisuuntainen kättely on valmis, verkkosuojaus sallii tai estää sivuston käytön.

Tässä on esimerkki siitä, miten tämä toimii:

  1. Oletetaan, että käyttäjä yrittää käyttää verkkosivustoa laitteessaan. Sivustoa isännöidä todennäköisesti vaarallisella toimialueella, ja verkkosuojaus tulisi estää.

  2. Kolmisuuntainen kättely TCP/IP:n kautta alkaa. Ennen kuin se on valmis, NetworkConnectionEvents toiminto kirjataan lokiin, ja sen ActionType luettelona ConnectionSuccesson . Kuitenkin heti, kun kaksisuuntainen kättelyprosessi on valmis, verkon suojaus estää pääsyn sivustoon. Kaikki tämä tapahtuu nopeasti. Samanlainen prosessi tapahtuu smartscreen-Microsoft Defender: kun kolmisuuntainen kädenpuristus valmistuu, määritys tehdään ja sivuston käyttö on joko estetty tai sallittu.

  3. Microsoft Defender portaalissa ilmoitus näkyy ilmoitusjonossa. Tämän ilmoituksen tiedot ovat sekä että NetworkConnectionEventsAlertEvents. Näet, että sivusto on estetty, vaikka sinulla on myös kohde, jonka NetworkConnectionEvents ActionType on ConnectionSuccess.

Tiedoston hajautusarvoilmaisimet

Joissakin tapauksissa uuden ilmaisimen luominen juuri tunnistetulle tiedostolle IoC - välittömänä väliaikamittarina - voi olla tarkoituksenmukaista tiedostojen tai jopa sovellusten estämiseksi. Sovelluksen estäminen ilmaisimien avulla ei kuitenkaan välttämättä anna odotettuja tuloksia, koska sovellukset koostuvat yleensä monista eri tiedostoista. Sovellusten estämisen ensisijaisia menetelmiä ovat Windows Defender Application Control (WDAC) tai AppLocker.

Koska jokaisella sovelluksen versiolla on erilainen hajautusarvo, hajautusarvojen estoilmaisimien käyttämistä ei suositella.

Windows Defender Application Control (WDAC)

Varmenneilmaisimet

Joissakin tapauksissa tietty varmenne, jota käytetään allekirjoittamaan tiedosto tai sovellus, jonka organisaatiosi on määrittänyt sallimaan tai estämään. Defender for Endpoint tukee varmenne-ilmaisimia, jos ne käyttävät -sovellusta. CER tai . PEM-tiedostomuoto. Katso lisätietoja kohdasta Create varmenteisiin perustuvat ilmaisimet.

IoC-tunnistusmoottorit

Tällä hetkellä tuettuja Microsoftin IOC-lähteitä ovat seuraavat:

Pilvitunnistusmoduuli

Defender for Endpointin pilvitunnistusmoduuli tarkistaa kerätyt tiedot säännöllisesti ja yrittää vastata määrittämiäsi ilmaisimia. Kun vastaavuus on olemassa, toiminto suoritetaan IoC:lle määritettyjen asetusten mukaisesti.

Päätepisteiden estomoduuli

Ehkäisyn välittäjä noudattaa samaa indikaattoriluetteloa. Tämä tarkoittaa sitä, että jos Microsoft Defender virustentorjunta on määritetty ensisijaiseksi virustentorjuntaohjelmaksi, vastaavat ilmaisimet käsitellään asetusten mukaisesti. Jos toiminto on esimerkiksi "Ilmoitus ja estä", Microsoft Defender virustentorjunta estää tiedostojen suorittamisen (estä ja korjaa) ja vastaava ilmoitus tulee näkyviin. Jos taas toiminnoksi on määritetty "Salli", Microsoft Defender virustentorjunta ei tunnista tai estä tiedostoa.

Automatisoitu tutkimus- ja korjausmoduuli

Automaattinen tutkimus ja korjaus toimivat samalla tavalla kuin päätepisteiden estomoduuli. Jos ilmaisimen asetuksena on "Salli", automaattinen tutkimus ja korjaus ohittavat "huonon" tuomion. Jos asetuksena on "Block", automaattinen tutkimus ja korjaus käsittelevät sitä "huonona".

Asetus EnableFileHashComputation laskee tiedoston hajautusarvon varmenteelle ja tiedostolle IoC tiedostojen tarkistuksen aikana. Se tukee hajautusten ja varmenteiden IoC-täytäntöönpanoa, joka kuuluu luotettaviin sovelluksiin. Se on käytössä samanaikaisesti Salli tai estä tiedosto -asetuksen kanssa. EnableFileHashComputationon käytössä manuaalisesti ryhmäkäytäntö kautta, ja se on oletusarvoisesti poissa käytöstä.

Ilmaisimien pakotustyypit

Kun suojaustiimisi luo uuden ilmaisimen (IoC), käytettävissä ovat seuraavat toiminnot:

  • Salli – IoC voi toimia laitteissasi.
  • Valvonta – IoC:n suorittamisen yhteydessä käynnistyy ilmoitus.
  • Warn – IoC varoittaa, että käyttäjä voi ohittaa
  • Lohkon suorittaminen – IoC:tä ei sallita suoritettavaksi.
  • Estä ja korjaa – IoC:n suorittaminen ei ole sallittua ja korjaustoiminto otetaan käyttöön IoC:ssä.

Huomautus

Varoita-tilan käyttäminen antaa käyttäjille varoituksen, jos he avaavat riskialttiin sovelluksen tai verkkosivuston. Kehote ei estä sovellusta tai sivustoa toimimasta, mutta voit antaa mukautetun viestin ja linkkejä yrityksen sivulle, joka kuvaa sovelluksen asianmukaista käyttöä. Käyttäjät voivat edelleen ohittaa varoituksen ja jatkaa sovelluksen käyttöä tarvittaessa. Lisätietoja on artikkelissa Microsoft Defender for Endpoint löytämien sovellusten hallitseminen.

Voit luoda ilmaisimen:

Alla olevassa taulukossa näytetään tarkasti, mitkä toiminnot ovat käytettävissä ilmaisintyyppiä (IoC) kohden:

IoC-tyyppi Käytettävissä olevat toiminnot
Tiedostot Salli
Tarkastuksen
Varoittaa
Lohkon suorittaminen
Lohko ja korjaa
IP-osoitteet Salli
Tarkastuksen
Varoittaa
Lohkon suorittaminen
URL-osoitteet ja toimialueet Salli
Tarkastuksen
Varoittaa
Lohkon suorittaminen
Todistukset Salli
Lohko ja korjaa

Aiemmin luotujen IOC-kutsujen toiminnot eivät muutu. Ilmaisimet on kuitenkin nimetty uudelleen vastaamaan nykyisiä tuettuja vastaustoimintoja:

  • Vain hälytys -vastaustoiminto nimettiin uudelleen nimellä "audit", kun luotu ilmoitusasetus oli käytössä.
  • "Ilmoitus ja esto" -vastaus nimettiin uudelleen nimellä "estä ja korjaa" valinnaisella Luo ilmoitus -asetuksella.

IoC-ohjelmointirajapinnan rakenne ja uhkatunnukset ennen metsästystä päivitetään IoC-vastaustoimien uudelleennimeämiseksi. Ohjelmointirajapintamallin muutokset koskevat kaikkia IoC-tyyppejä.

Huomautus

Vuokraajaa kohden on raja 15 000 ilmaisinta. Tiedoston ja varmenteen ilmaisimet eivät estä Microsoft Defender virustentorjuntaa varten määritettyjä poissulkemisia. Ilmaisimia ei tueta Microsoft Defender virustentorjuntaohjelmassa, kun virus on passiivitilassa.

Uusien ilmaisimien (IOC) tuontimuoto on muuttunut uusien päivitettyjen toimintojen ja ilmoitusten asetusten mukaisesti. Suosittelemme lataamaan uuden CSV-muodon, joka löytyy tuontipaneelin alareunasta.

Tunnetut ongelmat ja rajoitukset

Asiakkailla saattaa ilmetä ongelmia kompromissi-ilmaisimien hälytyksissä. Seuraavissa tilanteissa ilmoituksia ei luoda tai luoda virheellisillä tiedoilla. Suunnittelutiimimme tutkii jokaisen ongelman.

  • Lohkoilmaisimet – Vain tieto vakavuutta sisältävät yleishälytykset käynnistetään. Mukautetut ilmoitukset (eli mukautettu otsikko ja vakavuus) eivät käynnisty näissä tapauksissa.
  • Varoitusilmaisimet – Yleiset hälytykset ja mukautetut hälytykset ovat mahdollisia tässä skenaariossa, mutta tulokset eivät ole deterministisiä hälytyksen tunnistuslogiikan ongelman vuoksi. Joissakin tapauksissa asiakkaat saattavat nähdä yleisen ilmoituksen, kun taas muissa tapauksissa saattaa näkyä mukautettu hälytys.
  • Salli – Ilmoituksia ei luoda (rakenteen mukaan).
  • Valvonta – Ilmoitukset luodaan asiakkaan antaman vakavuuden perusteella.
  • Joissakin tapauksissa EDR-tunnistyksistä tulevat hälytykset saattavat olla etusijalla virustentorjuntalohkoista johtuviin hälytyksiin nähden, jolloin luodaan tietoilmoitus.

Defender ei voi estää Microsoft Store -sovelluksia, koska Microsoft on allekirjoittanut ne.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.