Créer des indicateurs pour les fichiers

S’applique à :

• Microsoft 365 Defender
• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender pour les PME

Conseil

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Empêchez la propagation d’une attaque dans votre organisation en interdisant les fichiers potentiellement malveillants ou les programmes malveillants suspects. Si vous connaissez un fichier exécutable portable (PE) potentiellement malveillant, vous pouvez le bloquer. Cette opération empêche la lecture, l’écriture ou l’exécution sur les appareils de votre organisation.

Il existe trois façons de créer des indicateurs pour les fichiers :

• En créant un indicateur via la page des paramètres
• En créant un indicateur contextuel à l’aide du bouton Ajouter un indicateur à partir de la page des détails du fichier
• En créant un indicateur via l’API Indicateur

Avant de commencer

Avant de créer des indicateurs pour les fichiers, il est important de comprendre les prérequis suivants :

• Cette fonctionnalité est disponible si votre organisation utilise Microsoft Defender Antivirus (en mode actif) et que la protection basée sur le cloud est activée. Pour plus d’informations, consultez Gérer la protection basée sur le cloud.

• La version du client Antimalware doit être 4.18.1901.x ou ultérieure. Consultez Versions mensuelles de la plateforme et du moteur

• Pris en charge sur les appareils avec Windows 10 version 1703 ou ultérieure, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 et Windows Server 2022.

  Remarque

  Windows Server 2016 et Windows Server 2012 R2 devront être intégrés à l’aide des instructions fournies dans Intégrer des serveurs Windows pour que cette fonctionnalité fonctionne. Les indicateurs de fichier personnalisés avec les actions Autoriser, Bloquer et Corriger sont désormais également disponibles dans les fonctionnalités améliorées du moteur anti-programme malveillant pour macOS et Linux.

• Pour commencer à bloquer des fichiers, vous devez d’abord activer la fonctionnalité « bloquer ou autoriser » dans Paramètres.

Cette fonctionnalité est conçue pour empêcher le téléchargement de programmes malveillants suspects (ou de fichiers potentiellement malveillants) à partir du web. Il prend actuellement en charge les fichiers exécutables portables (PE), y compris les fichiers .exe et .dll. La couverture sera étendue au fil du temps.

Importante

Dans Defender pour point de terminaison Plan 1 et Defender entreprise, vous pouvez créer un indicateur pour bloquer ou autoriser un fichier. Dans Defender for Business, votre indicateur est appliqué dans votre environnement et ne peut pas être étendu à des appareils spécifiques.

Créer un indicateur pour les fichiers à partir de la page paramètres

1. Dans le volet de navigation, sélectionnez Paramètres Indicateurs>de >points de terminaison(sous Règles).

2. Sélectionnez l’onglet Hachages de fichiers .

3. Sélectionnez Ajouter un élément.

4. Spécifiez les détails suivants :

   • Indicateur : spécifiez les détails de l’entité et définissez l’expiration de l’indicateur.
   • Action : spécifiez l’action à entreprendre et fournissez une description.
   • Étendue : définissez l’étendue du groupe d’appareils (l’étendue n’est pas disponible dans Defender entreprise).

     Remarque

     La création de groupes d’appareils est prise en charge à la fois dans Defender pour point de terminaison Plan 1 et Plan 2

5. Passez en revue les détails sous l’onglet Résumé, puis sélectionnez Enregistrer.

Créer un indicateur contextuel à partir de la page détails du fichier

Lorsque vous effectuez des actions de réponse sur un fichier , l’une des options consiste à ajouter un indicateur pour le fichier. Lorsque vous ajoutez un hachage d’indicateur pour un fichier, vous pouvez choisir de déclencher une alerte et de bloquer le fichier chaque fois qu’un appareil de votre organisation tente de l’exécuter.

Les fichiers bloqués automatiquement par un indicateur ne s’affichent pas dans le Centre de notifications du fichier, mais les alertes restent visibles dans la file d’attente Des alertes.

Préversion publique : Alertes sur les actions de blocage de fichiers

Importante

Les informations contenues dans cette section (Préversion publique pour le moteur d’investigation et de correction automatisées) concernent la préversion du produit qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Les actions actuellement prises en charge pour le fichier IOC sont autoriser, auditer, bloquer et corriger. Après avoir choisi de bloquer un fichier, vous pouvez choisir si le déclenchement d’une alerte est nécessaire. De cette façon, vous serez en mesure de contrôler le nombre d’alertes qui arrivent à vos équipes d’opérations de sécurité et de vous assurer que seules les alertes requises sont déclenchées.

Dans Microsoft 365 Defender, accédez à Paramètres Indicateurs>>de> points de terminaisonAjouter un nouveau hachage de fichier.

Choisissez Bloquer et corriger le fichier.

Choisissez si vous souhaitez générer une alerte sur l’événement de blocage de fichiers et définissez les paramètres d’alertes :

• Titre de l’alerte
• Gravité de l’alerte
• Catégorie
• Description
• Actions recommandées

Importante

• En règle générale, les blocs de fichiers sont appliqués et supprimés en quelques minutes, mais peuvent prendre jusqu’à 30 minutes.
• S’il existe des stratégies d’IoC de fichier en conflit avec le même type d’application et la même cible, la stratégie du hachage plus sécurisé est appliquée. Une stratégie IoC de hachage de fichier SHA-256 l’emporte sur une stratégie IoC de hachage de fichier SHA-1, qui l’emportera sur une stratégie IoC de hachage de fichier MD5 si les types de hachage définissent le même fichier. Cela est toujours vrai, quel que soit le groupe d’appareils.
• Dans tous les autres cas, si des stratégies IoC de fichier en conflit avec la même cible d’application sont appliquées à tous les appareils et au groupe de l’appareil, pour un appareil, la stratégie dans le groupe d’appareils gagne.
• Si la stratégie de groupe EnableFileHashComputation est désactivée, la précision de blocage du fichier IoC est réduite. Toutefois, l’activation EnableFileHashComputation peut avoir un impact sur les performances de l’appareil. Par exemple, la copie de fichiers volumineux à partir d’un partage réseau sur votre appareil local, en particulier via une connexion VPN, peut avoir un effet sur les performances de l’appareil.

Pour plus d’informations sur la stratégie de groupe EnableFileHashComputation, consultez Csp Defender.

Pour plus d’informations sur la configuration de cette fonctionnalité sur Defender pour point de terminaison sur Linux et macOS, consultez Configurer la fonctionnalité de calcul de hachage de fichier sur Linux et Configurer la fonctionnalité de calcul de hachage de fichier sur macOS.

Préversion publique : Fonctionnalités de repérage avancées

Importante

Les informations contenues dans cette section (préversion publique pour le moteur d’investigation et de correction automatisés) concernent le produit de préversion qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Vous pouvez interroger l’activité d’action de réponse à l’avance. Voici un exemple de requête de repérage avancé :

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Pour plus d’informations sur la chasse avancée, consultez La chasse proactive aux menaces avec la chasse avancée.

Vous trouverez ci-dessous d’autres noms de thread qui peuvent être utilisés dans l’exemple de requête ci-dessus :

Fichiers :

• EUS:Win32/CustomEnterpriseBlock!cl
• EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Certificats:

• EUS:Win32/CustomCertEnterpriseBlock!cl

L’activité d’action de réponse peut également être consultée dans la chronologie de l’appareil.

Gestion des conflits de stratégie

Le conflit de gestion des stratégies IoC de certificat et de fichier suit l’ordre ci-dessous :

• Si le fichier n’est pas autorisé par Windows Defender contrôle d’application et les stratégies de mode d’application AppLocker, bloquer
• Sinon, si le fichier est autorisé par l’exclusion antivirus Microsoft Defender, puis Autoriser
• Sinon, si le fichier est bloqué ou averti par un bloc ou un fichier d’avertissement IoC, puis Bloquer/Avertir
• Sinon, si le fichier est autorisé par une stratégie d’IoC de fichier d’autorisation, puis Autoriser
• Sinon, si le fichier est bloqué par les règles ASR, CFA, AV, SmartScreen, puis Bloquer
• Else Allow (passe Windows Defender stratégie AppLocker de contrôle & d’application, aucune règle IoC ne s’applique à celle-ci)

Remarque

Dans les situations où Microsoft Defender Antivirus est défini sur Bloquer, mais que Defender pour point de terminaison - Indicateurs - Hachage de fichier ou Certificat est défini sur Autoriser, la stratégie est par défaut Autoriser.

S’il existe des stratégies d’IoC de fichier en conflit avec le même type d’application et la même cible, la stratégie du hachage plus sécurisé (c’est-à-dire plus long) sera appliquée. Par exemple, une stratégie IoC de hachage de fichier SHA-256 l’emporte sur une stratégie IoC de hachage de fichier MD5 si les deux types de hachage définissent le même fichier.

Avertissement

La gestion des conflits de stratégie pour les fichiers et les certificats diffère de la gestion des conflits de stratégie pour les domaines/URL/adresses IP.

les fonctionnalités d’application vulnérables de blocage de Gestion des vulnérabilités Microsoft Defender utilisent les ICS de fichier pour l’application et suivent l’ordre de gestion des conflits ci-dessus.

Exemples

Composant	Application des composants	Action de l’indicateur de fichier	Résultat
Exclusion du chemin d’accès au fichier de réduction de la surface d’attaque	Autoriser	Bloquer	Bloquer
Règle de réduction de la surface d’attaque	Bloquer	Autoriser	Autoriser
Windows Defender Application Control	Autoriser	Bloquer	Autoriser
Windows Defender Application Control	Bloquer	Autoriser	Bloquer
exclusion de l’antivirus Microsoft Defender	Autoriser	Bloquer	Autoriser

Voir aussi

• Créer des indicateurs
• Créer des indicateurs pour les IP et URL/domaines
• Créer des indicateurs basés sur des certificats
• Gérer des indicateurs
• Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender