Créer des indicateurs basés sur des certificats

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Vous pouvez créer des indicateurs pour les certificats. Voici quelques cas d’usage courants :

• Scénarios dans lesquels vous devez déployer des technologies bloquantes, telles que des règles de réduction de la surface d’attaque et un accès contrôlé aux dossiers , mais que vous devez autoriser les comportements des applications signées en ajoutant le certificat dans la liste verte.
• Blocage de l’utilisation d’une application signée spécifique dans votre organization. En créant un indicateur pour bloquer le certificat de l’application, Windows Defender AV empêche les exécutions de fichiers (bloquer et corriger) et l’investigation et la correction automatisées se comportent de la même façon.

Avant de commencer

Il est important de comprendre les exigences suivantes avant de créer des indicateurs pour les certificats :

• Cette fonctionnalité est disponible si votre organization utilise Microsoft Defender antivirus et la protection basée sur le cloud est activée. Pour plus d’informations, consultez Gérer la protection basée sur le cloud.

• La version du client Antimalware doit être 4.18.1901.x ou ultérieure.

• Pris en charge sur les machines Windows 10, version 1703 ou ultérieure, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 et Windows Server 2022.

  Remarque

  Windows Server 2016 et Windows Server 2012 R2 doivent être intégrés à l’aide des instructions fournies dans Intégrer des serveurs Windows pour que cette fonctionnalité fonctionne.

• Les définitions de protection contre les virus et les menaces doivent être à jour.

• Cette fonctionnalité prend actuellement en charge l’entrée de . CER ou . Extensions de fichier PEM.

Importante

• Un certificat feuille valide est un certificat de signature qui a un chemin de certification valide et doit être chaîné à l’autorité de certification racine approuvée par Microsoft. Vous pouvez également utiliser un certificat personnalisé (auto-signé) tant qu’il est approuvé par le client (le certificat d’autorité de certification racine est installé sous l’ordinateur local « Autorités de certification racines approuvées »).
• Les enfants ou les parents des ICS de certificat autoriser/bloquer ne sont pas inclus dans la fonctionnalité Autoriser/bloquer l’IoC, seuls les certificats feuille sont pris en charge.
• Les certificats signés Microsoft ne peuvent pas être bloqués.

Créez un indicateur pour les certificats à partir de la page paramètres :

Importante

La création et la suppression d’un certificat IoC peuvent prendre jusqu’à 3 heures.

1. Dans le volet de navigation, sélectionnez Paramètres Indicateurs>de >points de terminaison(sous Règles).

2. Sélectionnez Ajouter un indicateur.

3. Spécifiez les détails suivants :

   • Indicateur : spécifiez les détails de l’entité et définissez l’expiration de l’indicateur.
   • Action : spécifiez l’action à entreprendre et fournissez une description.
   • Étendue : définissez l’étendue du groupe de machines.

4. Passez en revue les détails sous l’onglet Résumé, puis cliquez sur Enregistrer.

Articles connexes

• Créer des indicateurs
• Créer des indicateurs pour les fichiers
• Créer des indicateurs pour les IP et URL/domaines
• Gérer des indicateurs
• Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.