Jaa

Yleiskatsaus ilmaisimista Microsoft Defender for Endpoint

Koskee seuraavia:

Kompromissi-ilmaisimen (IoC) yleiskatsaus

Kompromissin ilmaisin (IoC) on verkossa tai isännässä havaittu rikostekninen esine. IoC ilmaisee suurella luotettavuudella, että tietokoneeseen tai verkkoon on tunkeuduttu. IOC-yhdisteet ovat havaittavissa, mikä linkittää ne suoraan mitattavissaisiin tapahtumiin. Esimerkkejä IoC:stä:

  • tunnetun haittaohjelman hashes
  • haitallisen verkkoliikenteen allekirjoitukset
  • URL-osoitteet tai verkkotunnukset, jotka ovat tunnettuja haittaohjelmien jakelijoita

Muiden kompromissien pysäyttämiseksi tai tunnettujen IOC-keskusten rikkomisen estämiseksi onnistuneiden IoC-työkalujen pitäisi pystyä havaitsemaan kaikki työkalun sääntöjoukossa luetteloimat haitalliset tiedot. IoC-vastaavuus on olennainen ominaisuus jokaisessa päätepisteen suojausratkaisussa. Tämä ominaisuus antaa SecOpsille mahdollisuuden määrittää luettelo ilmaisimista havaitsemiseksi ja estämiseksi (ennaltaehkäisy ja reagointi).

Organisaatiot voivat luoda ilmaisimia, jotka määrittävät IoC-entiteettien tunnistamisen, estämisen ja poissulkemisen. Voit määrittää suoritettavan toiminnon sekä toiminnon käyttöönoton keston ja sen laiteryhmän laajuuden, jossa sitä käytetään.

Tässä videossa esitellään ilmaisimien luominen ja lisääminen:

Tietoja Microsoftin ilmaisimista

Yleensä sinun tulisi luoda ilmaisimia vain tunnetuille huonoille INTERNET-tietokoneille tai tiedostoille / verkkosivustoille, jotka tulisi nimenomaisesti sallia organisaatiossasi. Lisätietoja sivustotyypeistä, jotka Defender for Endpoint voi oletusarvoisesti estää, on Microsoft Defender SmartScreenin yleiskatsauksessa.

Epätosi-positiivinen (FP) viittaa epätosi-positiiviseen Microsoftin uhkatietojen arvoon. Jos tietty resurssi ei ole uhka, voit luoda Salli IoC -toiminnon, joka sallii resurssin. Voit myös auttaa parantamaan Microsoftin suojaustietoja lähettämällä vääriä positiivisia ja epäilyttäviä tai tunnettuja huonoja IOC-tiloja analyysia varten. Jos tiedoston tai sovelluksen varoitus tai esto näkyy virheellisesti tai jos epäilet, että havaitsematon tiedosto on haittaohjelma, voit lähettää tiedoston Microsoftille tarkistettavaksi. Lisätietoja on kohdassa Tiedostojen lähettäminen analyysia varten.

IP/URL-osoite/Toimialueilmaisimet

Voit hallita sivuston käyttöä IP-osoitteen ja URL-osoitteen/toimialueen ilmaisimien avulla.

Jos haluat estää yhteydet IP-osoitteeseen, kirjoita IPv4-osoite pisteneljännesmuodossa (esim. 8.8.8.8). Määritä IPv6-osoitteille kaikki 8 segmenttiä (esim. 2001:4860:4860:0:0:0:0:8888). Huomaa, että yleismerkkejä ja alueita ei tueta.

Jos haluat estää yhteydet toimialueeseen ja sen alitoimialueisiin, määritä toimialue (esim. example.com). Tämä ilmaisin vastaa example.com - ja -mittaria sub.example.comanything.sub.example.com.

Jos haluat estää tietyn URL-polun, määritä URL-polku (esim. https://example.com/block). Tämä ilmaisin vastaa kohteen polun /blockexample.comresursseja. Huomaa, että HTTPS-URL-polut vastaavat vain Microsoft Edgessä. HTTP-URL-polkuja voidaan yhdistää missä tahansa selaimessa.

Voit myös luoda IP- ja URL-ilmaisimia poistaaksesi käyttäjien eston SmartScreen-lohkosta tai ohittaaksesi valikoivasti verkkosisällön suodatuslohkot sivustoissa, jotka haluat sallia lataamisen. Harkitse esimerkiksi tapausta, jossa verkkosisällön suodatus on määritetty estämään kaikki sosiaalisen median verkkosivustot. Markkinointitiimin on kuitenkin käytettävä tiettyä sosiaalisen median sivustoa mainosten sijoittelujen seuraamiseen. Tässä tapauksessa voit poistaa tietyn sosiaalisen median sivuston eston luomalla toimialueen Salli ilmaisin ja määrittämällä sen markkinointitiimin laiteryhmälle.

Katso www-suojaus ja verkkosisällön suodatus

IP/URL-ilmaisimet: Verkon suojaus ja TCP-kolmisuuntainen kättely

Verkon suojauksen avulla määritetään, sallitaanko sivustolle pääsy vai estetäänkö se sen jälkeen, kun kolmitiekäsittely on suoritettu TCP/IP:n kautta. Näin ollen, kun verkkosuojaus estää sivuston, saatat nähdä -toimintotyypin ConnectionSuccessNetworkConnectionEvents Microsoft Defender portaalissa, vaikka sivusto on estetty. NetworkConnectionEvents ilmoitetaan TCP-kerroksesta, ei verkon suojauksesta. Kun kaksisuuntainen kättely on valmis, verkkosuojaus sallii tai estää sivuston käytön.

Tässä on esimerkki siitä, miten tämä toimii:

  1. Oletetaan, että käyttäjä yrittää käyttää verkkosivustoa laitteessaan. Sivustoa isännöidä todennäköisesti vaarallisella toimialueella, ja verkkosuojaus tulisi estää.

  2. Kolmisuuntainen kättely TCP/IP:n kautta alkaa. Ennen kuin se on valmis, NetworkConnectionEvents toiminto kirjataan lokiin, ja sen ActionType luettelona ConnectionSuccesson . Kuitenkin heti, kun kaksisuuntainen kättelyprosessi on valmis, verkon suojaus estää pääsyn sivustoon. Kaikki tämä tapahtuu nopeasti. Samanlainen prosessi tapahtuu smartscreen-Microsoft Defender: kun kolmisuuntainen kädenpuristus valmistuu, määritys tehdään ja sivuston käyttö on joko estetty tai sallittu.

  3. Microsoft Defender portaalissa ilmoitus näkyy ilmoitusjonossa. Tämän ilmoituksen tiedot ovat sekä että NetworkConnectionEventsAlertEvents. Näet, että sivusto on estetty, vaikka sinulla on myös kohde, jonka NetworkConnectionEvents ActionType on ConnectionSuccess.

Tiedoston hajautusarvoilmaisimet

Joissakin tapauksissa uuden ilmaisimen luominen juuri tunnistetulle tiedostolle IoC - välittömänä väliaikamittarina - voi olla tarkoituksenmukaista tiedostojen tai jopa sovellusten estämiseksi. Sovelluksen estäminen ilmaisimien avulla ei kuitenkaan välttämättä anna odotettuja tuloksia, koska sovellukset koostuvat yleensä monista eri tiedostoista. Sovellusten estämisen ensisijaisia menetelmiä ovat Windows Defenderin sovellusohjausobjektin (WDAC) tai AppLockerin käyttäminen.

Koska jokaisella sovelluksen versiolla on erilainen hajautusarvo, hajautusarvojen estoilmaisimien käyttämistä ei suositella.

Windows Defender -sovellusohjausobjekti (WDAC)

Varmenneilmaisimet

Voit luoda IoC:n, joka sallii tai estää kyseisen varmenteen allekirjoittamia tiedostoja ja sovelluksia. Varmenne-ilmaisimet voidaan toimittaa kohdassa . CER tai . PEM-tiedostomuoto. Lisätietoja on artikkelissa Varmenteisiin perustuvien ilmaisimien luominen .

IoC-tunnistusmoottorit

Tällä hetkellä tuettuja Microsoftin IOC-lähteitä ovat seuraavat:

Pilvitunnistusmoduuli

Defender for Endpointin pilvitunnistusmoduuli tarkistaa kerätyt tiedot säännöllisesti ja yrittää vastata määrittämiäsi ilmaisimia. Kun vastaavuus on olemassa, toiminto suoritetaan IoC:lle määritettyjen asetusten mukaisesti.

Päätepisteiden estomoduuli

Ehkäisyn välittäjä noudattaa samaa indikaattoriluetteloa. Tämä tarkoittaa sitä, että jos Microsoft Defender virustentorjunta on määritetty ensisijaiseksi virustentorjuntaohjelmaksi, vastaavat ilmaisimet käsitellään asetusten mukaisesti. Jos toiminto esimerkiksi estetään ja korjataan, Microsoft Defender virustentorjunta estää tiedostojen suorittamisen ja vastaava ilmoitus tulee näkyviin. Toisaalta jos toiminnon asetuksena on Salli, Microsoft Defender virustentorjunta ei tunnista tai estä tiedostoa.

Automatisoitu tutkimus- ja korjausmoduuli

Automaattinen tutkimus ja korjaus toimivat samalla tavalla kuin päätepisteiden estomoduuli. Jos ilmaisimen asetuksena on Salli, automaattinen tutkimus ja korjaus ohittavat virheellisen tuomion. Jos asetuksena on Block, automaattinen tutkinta ja korjaus käsittelevät sitä huonona.

Asetus EnableFileHashComputation laskee tiedoston hajautusarvon tiedostotarkistusten aikana. Se tukee IoC:n täytäntöönpanoa luotettaviin sovelluksiin kuuluvia hajautuksia vastaan. Se on käytössä samanaikaisesti Salli tai estä tiedosto -asetuksen kanssa. EnableFileHashComputationon käytössä manuaalisesti ryhmäkäytäntö kautta, ja se on oletusarvoisesti poissa käytöstä.

Ilmaisimien pakotustyypit

Kun suojaustiimisi luo uuden ilmaisimen (IoC), käytettävissä ovat seuraavat toiminnot:

  • Salli: IoC voi toimia laitteissasi.
  • Valvonta: IoC:n suorittamisen yhteydessä käynnistyy ilmoitus.
  • Varoita: IoC antaa varoituksen, jonka käyttäjä voi ohittaa
  • Lohkon suorittaminen: IoC:n suorittaminen ei ole sallittua.
  • Estä ja korjaa: IoC:n suorittaminen ei ole sallittua ja korjaustoimintoa sovelletaan IoC:hen.

Huomautus

Varoita-tilan käyttäminen antaa käyttäjille varoituksen, jos he avaavat riskialttiin sovelluksen tai verkkosivuston. Kehote ei estä sovellusta tai sivustoa toimimasta, mutta voit antaa mukautetun viestin ja linkkejä yrityksen sivulle, joka kuvaa sovelluksen asianmukaista käyttöä. Käyttäjät voivat silti ohittaa varoituksen ja jatkaa sovelluksen käyttöä tarvittaessa. Lisätietoja on artikkelissa Microsoft Defender for Endpoint löytämien sovellusten hallitseminen.

Voit luoda ilmaisimen:

Alla olevassa taulukossa näytetään, mitkä toiminnot ovat käytettävissä ilmaisintyyppiä (IoC) kohden:

IoC-tyyppi Käytettävissä olevat toiminnot
Tiedostot Salli
Valvonta
Varoittaa
Lohkon suorittaminen
Lohko ja korjaa
IP-osoitteet Salli
Valvonta
Varoittaa
Lohkon suorittaminen
URL-osoitteet ja toimialueet Salli
Valvonta
Varoittaa
Lohkon suorittaminen
Todistukset Salli
Lohko ja korjaa

Olemassa olevien IOC-kutsujen toiminnot eivät muutu. Ilmaisimet nimetään kuitenkin uudelleen vastaamaan tällä hetkellä tuettuja vastaustoimintoja:

  • Vain hälytys -vastaustoiminto nimettiin uudelleen valvomaan, ja luotu ilmoitusasetus oli käytössä.
  • Ilmoitus ja estovastaus nimettiin uudelleen estämään ja korjaamaan valinnaisella Luo ilmoitus -asetuksella.

IoC-ohjelmointirajapintarakenne ja kehittyneen metsästyksen uhkatunnukset päivitetään IoC-vastaustoimintojen uudelleennimeämisen mukaisesti. Ohjelmointirajapintamallin muutokset koskevat kaikkia IoC-tyyppejä.

Huomautus

Vuokraajaa kohden on raja 15 000 ilmaisinta. Tämän rajan korotuksia ei tueta.

Tiedoston ja varmenteen ilmaisimet eivät estä Microsoft Defender virustentorjuntaa varten määritettyjä poissulkemisia. Ilmaisimia ei tueta Microsoft Defender virustentorjuntaohjelmassa, kun virus on passiivitilassa.

Uusien ilmaisimien (IOC) tuontimuoto on muuttunut uusien päivitettyjen toimintojen ja ilmoitusten asetusten mukaisesti. Suosittelemme lataamaan uuden CSV-muodon, joka löytyy tuontipaneelin alareunasta.

Jos ilmaisimet synkronoidaan Microsoft Defender-portaaliin Microsoft Defender for Cloud Apps pakotteiden tai hyväksymättömien sovellusten osalta, Generate Alert asetus on oletusarvoisesti käytössä Microsoft Defender portaalissa. Jos yrität tyhjentää Generate Alert Defender for Endpoint -asetuksen, se otetaan uudelleen käyttöön jonkin ajan kuluttua, koska Defender for Cloud Apps käytäntö ohittaa sen.

Tunnetut ongelmat ja rajoitukset

Microsoft Defender ei voi estää Microsoft Store -sovelluksia, koska Microsoft on allekirjoittanut ne.

Asiakkailla voi olla ongelmia IOC-ilmoitusten kanssa. Seuraavissa tilanteissa ilmoituksia ei luoda tai luoda virheellisillä tiedoilla. Suunnittelutiimimme tutkii jokaisen ongelman.

  • Lohkoilmaisimet: Luodaan yleisiä ilmoituksia, joiden vakavuus on vain tieto. Mukautetut ilmoitukset (eli mukautettu otsikko ja vakavuus) eivät käynnisty näissä tapauksissa.
  • Varoitusilmaisimet: Yleiset hälytykset ja mukautetut hälytykset ovat mahdollisia tässä skenaariossa. Tulokset eivät kuitenkaan ole deterministisiä hälytyksen tunnistuslogiikan ongelman vuoksi. Joissakin tapauksissa asiakkaat saattavat nähdä yleisen ilmoituksen, kun taas muissa tapauksissa saattaa näkyä mukautettu hälytys.
  • Salli: Ilmoituksia ei luoda (rakenteen mukaan).
  • Valvonta: Ilmoitukset luodaan asiakkaan antaman vakavuuden perusteella (rakenteen mukaan).
  • Joissakin tapauksissa EDR-tunnistyksistä tulevat hälytykset saattavat olla etusijalla virustentorjuntalohkoista johtuviin hälytyksiin nähden, jolloin luodaan tietoilmoitus.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.