Partager via

Vue d’ensemble des indicateurs dans Microsoft Defender pour point de terminaison

S’applique à :

Vue d’ensemble de l’indicateur de compromission (IoC)

Un indicateur de compromission (IoC) est un artefact d’investigation observé sur le réseau ou l’hôte. Un IoC indique, avec un niveau de confiance élevé, qu’une intrusion d’ordinateur ou de réseau s’est produite. Les ioC sont observables, ce qui les lie directement à des événements mesurables. Voici quelques exemples d’IoC :

  • hachages de programmes malveillants connus
  • signatures du trafic réseau malveillant
  • URL ou domaines qui sont des distributeurs de programmes malveillants connus

Pour arrêter d’autres compromissions ou empêcher les violations d’IoC connus, les outils IoC réussis doivent être en mesure de détecter toutes les données malveillantes énumérées par l’ensemble de règles de l’outil. La correspondance ioC est une fonctionnalité essentielle dans chaque solution de protection de point de terminaison. Cette fonctionnalité permet à SecOps de définir une liste d’indicateurs de détection et de blocage (prévention et réponse).

Les organisations peuvent créer des indicateurs qui définissent la détection, la prévention et l’exclusion des entités IoC. Vous pouvez définir l’action à entreprendre, ainsi que la durée d’application de l’action et l’étendue du groupe d’appareils auquel l’appliquer.

Cette vidéo montre une procédure pas à pas de création et d’ajout d’indicateurs :

À propos des indicateurs Microsoft

En règle générale, vous devez uniquement créer des indicateurs pour les ioC défectueux connus, ou pour tous les fichiers/sites web qui doivent être explicitement autorisés dans votre organization. Pour plus d’informations sur les types de sites que Defender pour point de terminaison peut bloquer par défaut, consultez Microsoft Defender vue d’ensemble de SmartScreen.

Un faux positif (FP) fait référence à un faux positif dans le renseignement sur les menaces de Microsoft. Si une ressource donnée n’est pas réellement une menace, vous pouvez créer une autorisation d’ioC pour autoriser la ressource. Vous pouvez également contribuer à améliorer les informations de sécurité de Microsoft en envoyant des faux positifs et des ioC suspects ou connus pour analyse. Si un avertissement ou un blocage est affiché de manière incorrecte pour un fichier ou une application, ou si vous pensez qu’un fichier non détecté est un logiciel malveillant, vous pouvez envoyer un fichier à Microsoft pour révision. Pour plus d’informations, consultez Envoyer des fichiers à des fins d’analyse.

Ip/URL/Indicateurs de domaine

Vous pouvez utiliser des indicateurs d’adresse IP et d’URL/domaine pour gérer l’accès au site.

Pour bloquer les connexions à une adresse IP, tapez l’adresse IPv4 au format quad pointillé (par exemple 8.8.8.8). Pour les adresses IPv6, spécifiez les 8 segments (par exemple 2001:4860:4860:0:0:0:0:8888). Notez que les caractères génériques et les plages ne sont pas pris en charge.

Pour bloquer les connexions à un domaine et à l’un de ses sous-domaines, spécifiez le domaine (par exemple example.com, ). Cet indicateur correspond example.com à ainsi qu’à sub.example.com et anything.sub.example.com.

Pour bloquer un chemin d’URL spécifique, spécifiez le chemin d’URL (par exemple https://example.com/block). Cet indicateur correspond aux ressources sous le chemin d’accès /block sur example.com. Notez que les chemins d’URL HTTPS sont mis en correspondance uniquement dans Microsoft Edge . Les chemins d’URL HTTP peuvent être mis en correspondance dans n’importe quel navigateur.

Vous pouvez également créer des indicateurs d’ADRESSE IP et d’URL pour débloquer les utilisateurs d’un bloc SmartScreen ou contourner de manière sélective les blocs de filtrage de contenu web des sites que vous souhaitez autoriser à charger. Par exemple, prenons le cas où le filtrage de contenu web est défini pour bloquer tous les sites web de réseaux sociaux. Toutefois, l’équipe marketing a l’obligation d’utiliser un site de médias sociaux spécifique pour surveiller ses placements publicitaires. Dans ce cas, vous pouvez débloquer le site de médias sociaux spécifique en créant un indicateur Autoriser de domaine et en l’affectant au groupe d’appareils de l’équipe marketing.

Consultez Protection web et filtrage de contenu web

Indicateurs IP/URL : protection réseau et établissement d’une liaison TCP triple

Avec la protection réseau, la détermination de l’autorisation ou du blocage de l’accès à un site est effectuée après la fin de l’établissement d’une liaison triple via TCP/IP. Par conséquent, lorsqu’un site est bloqué par la protection réseau, vous pouvez voir un type d’action sous ConnectionSuccessNetworkConnectionEvents dans le portail Microsoft Defender, même si le site a été bloqué. NetworkConnectionEvents sont signalés à partir de la couche TCP, et non à partir de la protection réseau. Une fois la négociation triple terminée, l’accès au site est autorisé ou bloqué par la protection réseau.

Voici un exemple de fonctionnement :

  1. Supposons qu’un utilisateur tente d’accéder à un site web sur son appareil. Le site est hébergé sur un domaine dangereux et doit être bloqué par la protection réseau.

  2. L’établissement d’une liaison triple via TCP/IP commence. Avant qu’elle ne se termine, une NetworkConnectionEvents action est journalisée et son ActionType est répertorié en tant que ConnectionSuccess. Toutefois, dès que le processus de négociation triple est terminé, la protection réseau bloque l’accès au site. Tout cela se produit rapidement. Un processus similaire se produit avec Microsoft Defender SmartScreen ; c’est lorsque la négociation tridirectionnel se termine qu’une détermination est effectuée et que l’accès à un site est bloqué ou autorisé.

  3. Dans le portail Microsoft Defender, une alerte est répertoriée dans la file d’attente des alertes. Les détails de cette alerte incluent à la fois NetworkConnectionEvents et AlertEvents. Vous pouvez voir que le site a été bloqué, même si vous avez également un NetworkConnectionEvents élément avec l’ActionType de ConnectionSuccess.

Indicateurs de hachage de fichier

Dans certains cas, la création d’un nouvel indicateur pour un ioC de fichier nouvellement identifié , en tant que mesure d’intervalle d’arrêt immédiat, peut être appropriée pour bloquer des fichiers ou même des applications. Toutefois, l’utilisation d’indicateurs pour tenter de bloquer une application peut ne pas fournir les résultats attendus, car les applications sont généralement composées de nombreux fichiers différents. Les méthodes recommandées pour bloquer les applications sont d’utiliser Windows Defender Application Control (WDAC) ou AppLocker.

Étant donné que chaque version d’une application a un hachage de fichier différent, l’utilisation d’indicateurs pour bloquer les hachages n’est pas recommandée.

Windows Defender Application Control (WDAC)

Indicateurs de certificat

Vous pouvez créer un IoC pour autoriser ou bloquer les fichiers et les applications signés par ce certificat. Les indicateurs de certificat peuvent être fournis dans . CER ou . Format de fichier PEM. Pour plus d’informations, consultez Créer des indicateurs basés sur des certificats .

Moteurs de détection ioC

Actuellement, les sources Microsoft prises en charge pour les ioC sont les suivantes :

Moteur de détection cloud

Le moteur de détection cloud de Defender pour point de terminaison analyse régulièrement les données collectées et tente de faire correspondre les indicateurs que vous définissez. En cas de correspondance, l’action est effectuée en fonction des paramètres que vous avez spécifiés pour l’IoC.

Moteur de prévention des points de terminaison

La même liste d’indicateurs est respectée par l’agent de prévention. En d’autres termes, si Microsoft Defender Antivirus est l’antivirus principal configuré, les indicateurs correspondants sont traités en fonction des paramètres. Par exemple, si l’action est bloquer et corriger, Microsoft Defender Antivirus empêche les exécutions de fichiers et une alerte correspondante s’affiche. En revanche, si l’Action est définie sur Autoriser, Microsoft Defender Antivirus ne détecte pas ou ne bloque pas le fichier.

Moteur automatisé d’investigation et de correction

L’examen et la correction automatisés se comportent de la même façon que le moteur de prévention des points de terminaison. Si un indicateur est défini sur Autoriser, l’investigation et la correction automatisées ignorent un verdict incorrect . S’il est défini sur Bloquer, l’investigation et la correction automatisées le traitent comme incorrect.

Le EnableFileHashComputation paramètre calcule le hachage de fichier pendant les analyses de fichiers. Il prend en charge l’application de l’IoC contre les hachages appartenant à des applications approuvées. Il est activé simultanément avec le paramètre autoriser ou bloquer le fichier. EnableFileHashComputationest activé manuellement via stratégie de groupe et est désactivé par défaut.

Types d’application pour les indicateurs

Lorsque votre équipe de sécurité crée un indicateur (IoC), les actions suivantes sont disponibles :

  • Autoriser : l’IoC est autorisé à s’exécuter sur vos appareils.
  • Audit : une alerte est déclenchée lorsque l’IoC s’exécute.
  • Avertir : l’IoC affiche un avertissement indiquant que l’utilisateur peut contourner
  • Bloquer l’exécution : l’IoC n’est pas autorisé à s’exécuter.
  • Bloquer et corriger : l’IoC n’est pas autorisé à s’exécuter et une action de correction est appliquée à l’IoC.

Remarque

L’utilisation du mode Avertissement invite les utilisateurs à indiquer un avertissement s’ils ouvrent une application ou un site web à risque. L’invite ne les empêche pas d’autoriser l’exécution de l’application ou du site web, mais vous pouvez fournir un message personnalisé et des liens vers une page d’entreprise qui décrit l’utilisation appropriée de l’application. Les utilisateurs peuvent toujours ignorer l’avertissement et continuer à utiliser l’application si nécessaire. Pour plus d’informations, consultez Gouverner les applications découvertes par Microsoft Defender pour point de terminaison.

Vous pouvez créer un indicateur pour :

Le tableau ci-dessous montre les actions disponibles par type d’indicateur (IoC) :

Type d’IoC Actions disponibles
Files Autoriser
Audit
Avertir
Bloquer l’exécution
Bloquer et corriger
Adresses IP Autoriser
Audit
Avertir
Bloquer l’exécution
URL et domaines Autoriser
Audit
Avertir
Bloquer l’exécution
Certificats Autoriser
Bloquer et corriger

Les fonctionnalités des ioC préexistantes ne changent pas. Toutefois, les indicateurs sont renommés pour correspondre aux actions de réponse actuellement prises en charge :

  • L’action de réponse d’alerte uniquement a été renommée pour auditer avec le paramètre d’alerte généré activé.
  • La réponse d’alerte et de blocage a été renommée pour bloquer et corriger avec le paramètre facultatif générer l’alerte.

Le schéma de l’API IoC et les ID de menace dans Advanced Hunting sont mis à jour pour s’aligner sur le changement de nom des actions de réponse IoC. Les modifications apportées au schéma d’API s’appliquent à tous les types IoC.

Remarque

Il existe une limite de 15 000 indicateurs par locataire. Les augmentations de cette limite ne sont pas prises en charge.

Les indicateurs de fichier et de certificat ne bloquent pas les exclusions définies pour Microsoft Defender Antivirus. Les indicateurs ne sont pas pris en charge dans Microsoft Defender Antivirus lorsqu’il est en mode passif.

Le format d’importation des nouveaux indicateurs (IoC) a changé en fonction des nouveaux paramètres d’actions et d’alertes mis à jour. Nous vous recommandons de télécharger le nouveau format CSV qui se trouve en bas du panneau d’importation.

Si les indicateurs sont synchronisés avec le portail Microsoft Defender à partir de Microsoft Defender for Cloud Apps pour les applications approuvées ou non approuvées, l’option Generate Alert est activée par défaut dans le portail Microsoft Defender. Si vous essayez d’effacer l’option Generate Alert pour Defender pour point de terminaison, elle est réactivé après un certain temps, car la stratégie Defender for Cloud Apps la remplace.

Problèmes connus et conseils

Les applications du Microsoft Store ne peuvent pas être bloquées par Microsoft Defender car elles sont signées par Microsoft.

Les clients peuvent rencontrer des problèmes avec les alertes pour les ioC. Les scénarios suivants sont des situations où les alertes ne sont pas créées ou sont créées avec des informations inexactes. Chaque problème est examiné par notre équipe d’ingénierie.

  • Indicateurs de blocage : des alertes génériques avec une gravité d’information uniquement sont créées. Les alertes personnalisées (c’est-à-dire le titre et la gravité personnalisés) ne sont pas déclenchées dans ces cas.
  • Indicateurs d’avertissement : les alertes génériques et les alertes personnalisées sont possibles dans ce scénario. Toutefois, les résultats ne sont pas déterministes en raison d’un problème avec la logique de détection d’alerte. Dans certains cas, les clients peuvent voir une alerte générique, tandis qu’une alerte personnalisée peut s’afficher dans d’autres cas.
  • Autoriser : aucune alerte n’est générée (par conception).
  • Audit : les alertes sont générées en fonction de la gravité fournie par le client (par conception).
  • Dans certains cas, les alertes provenant des détections EDR peuvent être prioritaires sur les alertes provenant de blocs antivirus, auquel cas une alerte d’informations est générée.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.