Créer des indicateurs pour les fichiers

S’applique à :

• Microsoft Defender XDR
• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender pour les PME

Important

Dans Defender pour point de terminaison Plan 1 et Defender for Business, vous pouvez créer un indicateur pour bloquer ou autoriser un fichier. Dans Defender for Business, votre indicateur est appliqué dans votre environnement et ne peut pas être étendu à des appareils spécifiques.

Remarque

Pour que cette fonctionnalité fonctionne sur Windows Server 2016 et Windows Server 2012 R2, ces appareils doivent être intégrés en suivant les instructions fournies dans Intégrer des serveurs Windows. Les indicateurs de fichier personnalisés avec les actions Autoriser, Bloquer et Corriger sont désormais également disponibles dans les fonctionnalités améliorées du moteur anti-programme malveillant pour macOS et Linux.

Les indicateurs de fichier empêchent la propagation d’une attaque dans votre organization en interdisant les fichiers potentiellement malveillants ou les programmes malveillants suspects. Si vous connaissez un fichier exécutable portable (PE) potentiellement malveillant, vous pouvez le bloquer. Cette opération empêche la lecture, l’écriture ou l’exécution sur les appareils de votre organization.

Il existe trois façons de créer des indicateurs pour les fichiers :

• En créant un indicateur via la page des paramètres
• En créant un indicateur contextuel à l’aide du bouton Ajouter un indicateur à partir de la page des détails du fichier
• En créant un indicateur via l’API Indicateur

Avant de commencer

Avant de créer des indicateurs pour les fichiers, familiarisez-vous avec les prérequis suivants :

• La surveillance du comportement est activée
• La protection basée sur le cloud est activée.
• La connectivité réseau Cloud Protection est fonctionnelle
• Pour commencer à bloquer des fichiers, activez la fonctionnalité « bloquer ou autoriser » dans Paramètres (dans le portail Microsoft Defender, accédez à Paramètres Points>de terminaisonFonctionnalités>avancées> générales >Autoriser ou bloquer le fichier).

Conditions préalables pour Windows

• Cette fonctionnalité est disponible si votre organization utilise Microsoft Defender Antivirus (en mode actif)
• La version du client anti-programme malveillant doit être 4.18.1901.x ou ultérieure. Consultez Versions mensuelles de la plateforme et du moteur
• Cette fonctionnalité est prise en charge sur les appareils exécutant Windows 10, version 1703 ou ultérieure, Windows 11, Windows Server 2012 R2, Windows Server 2016 ou version ultérieure, Windows Server 2019, Windows Server 2022 et Windows Server 2025.
• Le calcul de hachage de fichier est activé, en définissant sur Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\Activé

Remarque

Les indicateurs de fichier prennent en charge les fichiers exécutables portables (PE), y compris .exe les fichiers et .dll uniquement.

Prérequis pour macOS

• La protection en temps réel (RTP) doit être active.
• Le calcul de hachage de fichier doit être activé. Exécutez la commande suivante : mdatp config enable-file-hash-computation --value enabled

Remarque

Sur Mac, les indicateurs de fichier prennent en charge les fichiers Mach-O (comme .exe et .dll dans Windows), tels que les fichiers sh/bash et AppleScript File (.scpt).

Prérequis Linux

• Disponible dans Defender pour point de terminaison version 101.85.27 ou ultérieure.
• Le calcul de hachage de fichier doit être activé dans le portail Microsoft Defender ou dans le json managé
• La surveillance du comportement est préférable, mais cette fonctionnalité fonctionne avec toute autre analyse (RTP ou Personnalisée).

Créer un indicateur pour les fichiers à partir de la page paramètres

1. Dans le volet de navigation, sélectionnez Paramètres Indicateurs>de >points de terminaison(sous Règles).

2. Sélectionnez l’onglet Hachages de fichiers .

3. Sélectionnez Ajouter un élément.

4. Spécifiez les détails suivants :

   • Indicateur : spécifiez les détails de l’entité et définissez l’expiration de l’indicateur.
   • Action : spécifiez l’action à entreprendre et fournissez une description.
   • Étendue : définissez l’étendue du groupe d’appareils (l’étendue n’est pas disponible dans Defender for Business).

   Remarque

   La création de groupes d’appareils est prise en charge à la fois dans Defender pour point de terminaison Plan 1 et Plan 2

5. Passez en revue les détails sous l’onglet Résumé, puis sélectionnez Enregistrer.

Créer un indicateur contextuel à partir de la page détails du fichier

Lorsque vous effectuez des actions de réponse sur un fichier , l’une des options consiste à ajouter un indicateur pour le fichier. Lorsque vous ajoutez un hachage d’indicateur pour un fichier, vous pouvez choisir de déclencher une alerte et de bloquer le fichier chaque fois qu’un appareil de votre organization tente de l’exécuter.

Les fichiers bloqués automatiquement par un indicateur ne s’affichent pas dans le Centre de notifications du fichier, mais les alertes restent visibles dans la file d’attente Des alertes.

Alertes sur les actions de blocage de fichiers (préversion)

Important

Les informations contenues dans cette section (préversion publique pour le moteur d’investigation et de correction automatisées) concernent la préversion du produit qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Les actions actuellement prises en charge pour le fichier IOC sont autoriser, auditer, bloquer et corriger. Après avoir choisi de bloquer un fichier, vous pouvez choisir si le déclenchement d’une alerte est nécessaire. De cette façon, vous serez en mesure de contrôler le nombre d’alertes qui arrivent à vos équipes d’opérations de sécurité et de vous assurer que seules les alertes requises sont déclenchées.

1. Dans le portail Microsoft Defender, accédez à Paramètres Indicateurs>>de> points de terminaisonAjouter un nouveau hachage de fichier.

2. Choisissez de bloquer et de corriger le fichier.

3. Spécifiez s’il faut générer une alerte sur l’événement de bloc de fichiers et définir les paramètres des alertes :

   • Titre de l’alerte
   • Gravité de l’alerte
   • Catégorie
   • Description
   • Actions recommandées

   

   Important

   • En règle générale, les blocs de fichiers sont appliqués et supprimés en 15 minutes, en moyenne 30 minutes, mais peuvent prendre jusqu’à 2 heures.
   • S’il existe des stratégies d’IoC de fichier en conflit avec le même type d’application et la même cible, la stratégie du hachage plus sécurisé est appliquée. Une stratégie IoC de hachage de fichier SHA-256 l’emporte sur une stratégie IoC de hachage de fichier SHA-1, qui l’emportera sur une stratégie IoC de hachage de fichier MD5 si les types de hachage définissent le même fichier. Cela est toujours vrai, quel que soit le groupe d’appareils.
   • Dans tous les autres cas, si des stratégies IoC de fichier en conflit avec la même cible d’application sont appliquées à tous les appareils et au groupe de l’appareil, pour un appareil, la stratégie dans le groupe d’appareils gagne.
   • Si la stratégie de groupe EnableFileHashComputation est désactivée, la précision de blocage du fichier IoC est réduite. Toutefois, l’activation EnableFileHashComputation peut avoir un impact sur les performances de l’appareil. Par exemple, la copie de fichiers volumineux à partir d’un partage réseau sur votre appareil local, en particulier via une connexion VPN, peut avoir un effet sur les performances de l’appareil. Pour plus d’informations sur la stratégie de groupe EnableFileHashComputation, consultez Csp Defender. Pour plus d’informations sur la configuration de cette fonctionnalité sur Defender pour point de terminaison sur Linux et macOS, consultez Configurer la fonctionnalité de calcul de hachage de fichier sur Linux et Configurer la fonctionnalité de calcul de hachage de fichier sur macOS.

Fonctionnalités de repérage avancées (préversion)

Important

Les informations contenues dans cette section (préversion publique pour le moteur d’investigation et de correction automatisés) concernent le produit de préversion qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Actuellement en préversion, vous pouvez interroger l’activité d’action de réponse à l’avance. Voici un exemple de requête de repérage avancé :

Console

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Pour plus d’informations sur la chasse avancée, consultez La chasse proactive aux menaces avec la chasse avancée.

Voici d’autres noms de thread qui peuvent être utilisés dans l’exemple de requête :

Fichiers :

• EUS:Win32/CustomEnterpriseBlock!cl
• EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Certificats:

• EUS:Win32/CustomCertEnterpriseBlock!cl

L’activité d’action de réponse peut également être visible dans l’appareil chronologie.

Gestion des conflits de stratégie

Les conflits de gestion des stratégies IoC de certificat et de fichier suivent cet ordre :

1. Si le fichier n’est pas autorisé par le contrôle d’application Windows Defender et les stratégies de mode d’application AppLocker, bloquez.

2. Sinon, si le fichier est autorisé par la Microsoft Defender exclusions antivirus, puis Autoriser.

3. Sinon, si le fichier est bloqué ou averti par un bloc ou un ioC de fichier d’avertissement, puis Bloquer/Avertir.

4. Sinon, si le fichier est bloqué par SmartScreen, puis Bloquer.

5. Sinon, si le fichier est autorisé par une stratégie d’IoC de fichier d’autorisation, puis Autoriser.

6. Sinon, si le fichier est bloqué par des règles de réduction de la surface d’attaque, un accès contrôlé aux dossiers ou une protection antivirus, bloquez.

7. Sinon, Autoriser (passe le contrôle d’application Windows Defender & stratégie AppLocker, aucune règle IoC ne s’y applique).

Remarque

Dans les situations où Microsoft Defender Antivirus est défini sur Bloquer, mais que les indicateurs Defender pour point de terminaison pour le hachage de fichier ou les certificats sont définis sur Autoriser, la stratégie par défaut est Autoriser.

S’il existe des stratégies d’IoC de fichier en conflit avec le même type d’application et la même cible, la stratégie du hachage plus sécurisé (c’est-à-dire plus long) est appliquée. Par exemple, une stratégie IoC de hachage de fichier SHA-256 est prioritaire sur une stratégie IoC de hachage de fichier MD5 si les deux types de hachage définissent le même fichier.

Attention

La gestion des conflits de stratégie pour les fichiers et les certificats diffère de la gestion des conflits de stratégie pour les domaines/URL/adresses IP.

les fonctionnalités d’application vulnérables de blocage de Gestion des vulnérabilités Microsoft Defender utilisent les ICS de fichier pour l’application et suivent l’ordre de gestion des conflits décrit plus haut dans cette section.

Exemples

Composant	Application des composants	Action de l’indicateur de fichier	Résultat
Exclusion du chemin d’accès au fichier de réduction de la surface d’attaque	Autoriser	Bloquer	Bloquer
Règle de réduction de la surface d’attaque	Bloquer	Autoriser	Autoriser
Windows Defender Application Control	Autoriser	Bloquer	Autoriser
Windows Defender Application Control	Bloquer	Autoriser	Bloquer
exclusion de l’antivirus Microsoft Defender	Autoriser	Bloquer	Autoriser

Voir aussi

• Créer des indicateurs
• Créer des indicateurs pour les IP et URL/domaines
• Créer des indicateurs basés sur des certificats
• Gérer des indicateurs
• Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender

Astuce

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.