Créer des indicateurs pour les fichiers

S’applique à :

• Microsoft Defender XDR
• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender pour les PME

Conseil

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Empêchez la propagation d’une attaque dans votre organization en interdisant les fichiers potentiellement malveillants ou les programmes malveillants suspects. Si vous connaissez un fichier exécutable portable (PE) potentiellement malveillant, vous pouvez le bloquer. Cette opération empêche la lecture, l’écriture ou l’exécution sur les appareils de votre organization.

Il existe trois façons de créer des indicateurs pour les fichiers :

• En créant un indicateur via la page des paramètres
• En créant un indicateur contextuel à l’aide du bouton Ajouter un indicateur à partir de la page des détails du fichier
• En créant un indicateur via l’API Indicateur

Remarque

Pour que cette fonctionnalité fonctionne sur Windows Server 2016 et Windows Server 2012 R2, ces appareils doivent être intégrés en suivant les instructions fournies dans Intégrer des serveurs Windows. Les indicateurs de fichier personnalisés avec les actions Autoriser, Bloquer et Corriger sont désormais également disponibles dans les fonctionnalités améliorées du moteur anti-programme malveillant pour macOS et Linux.

Avant de commencer

Avant de créer des indicateurs pour les fichiers, familiarisez-vous avec les prérequis suivants :

• Cette fonctionnalité est disponible si votre organization utilise Microsoft Defender Antivirus (en mode actif)

• La surveillance du comportement est activée

• La protection basée sur le cloud est activée.

• La connectivité réseau Cloud Protection est fonctionnelle

• La version du client Antimalware doit être 4.18.1901.x ou ultérieure. Consultez Versions mensuelles de la plateforme et du moteur

• Cette fonctionnalité est prise en charge sur les appareils exécutant Windows 10, version 1703 ou ultérieure, Windows 11, Windows Server 2012 R2, Windows Server 2016 ou version ultérieure, Windows Server 2019 ou Windows Server 2022.

• Dans Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\, la fonctionnalité de calcul de hachage de fichier doit être définie sur Activé

• Pour commencer à bloquer des fichiers, activez la fonctionnalité « bloquer ou autoriser » dans Paramètres (dans le portail Microsoft Defender, accédez à Paramètres Points>de terminaisonFonctionnalités>avancées> générales >Autoriser ou bloquer le fichier).

Cette fonctionnalité est conçue pour empêcher le téléchargement de programmes malveillants suspects (ou de fichiers potentiellement malveillants) à partir du web. Il prend actuellement en charge les fichiers exécutables portables (PE), y compris les .exe fichiers et .dll . La couverture est étendue au fil du temps.

Importante

Dans Defender pour point de terminaison Plan 1 et Defender entreprise, vous pouvez créer un indicateur pour bloquer ou autoriser un fichier. Dans Defender for Business, votre indicateur est appliqué dans votre environnement et ne peut pas être étendu à des appareils spécifiques.

Créer un indicateur pour les fichiers à partir de la page paramètres

1. Dans le volet de navigation, sélectionnez Paramètres Indicateurs>de >points de terminaison(sous Règles).

2. Sélectionnez l’onglet Hachages de fichiers .

3. Sélectionnez Ajouter un élément.

4. Spécifiez les détails suivants :

   • Indicateur : spécifiez les détails de l’entité et définissez l’expiration de l’indicateur.
   • Action : spécifiez l’action à entreprendre et fournissez une description.
   • Étendue : définissez l’étendue du groupe d’appareils (l’étendue n’est pas disponible dans Defender pour les entreprises).

   Remarque

   La création de groupes d’appareils est prise en charge à la fois dans Defender pour point de terminaison Plan 1 et Plan 2

5. Passez en revue les détails sous l’onglet Résumé, puis sélectionnez Enregistrer.

Créer un indicateur contextuel à partir de la page détails du fichier

Lorsque vous effectuez des actions de réponse sur un fichier , l’une des options consiste à ajouter un indicateur pour le fichier. Lorsque vous ajoutez un hachage d’indicateur pour un fichier, vous pouvez choisir de déclencher une alerte et de bloquer le fichier chaque fois qu’un appareil de votre organization tente de l’exécuter.

Les fichiers bloqués automatiquement par un indicateur ne s’affichent pas dans le Centre de notifications du fichier, mais les alertes restent visibles dans la file d’attente Des alertes.

Alertes sur les actions de blocage de fichiers (préversion)

Importante

Les informations contenues dans cette section (préversion publique pour le moteur d’investigation et de correction automatisées) concernent la préversion du produit qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Les actions actuellement prises en charge pour le fichier IOC sont autoriser, auditer, bloquer et corriger. Après avoir choisi de bloquer un fichier, vous pouvez choisir si le déclenchement d’une alerte est nécessaire. De cette façon, vous serez en mesure de contrôler le nombre d’alertes qui arrivent à vos équipes d’opérations de sécurité et de vous assurer que seules les alertes requises sont déclenchées.

Dans Microsoft Defender XDR, accédez à Paramètres Indicateurs>>de> points de terminaisonAjouter un nouveau hachage de fichier.

Choisissez Bloquer et corriger le fichier.

Choisissez si vous souhaitez générer une alerte sur l’événement de blocage de fichiers et définissez les paramètres d’alertes :

• Titre de l’alerte
• Gravité de l’alerte
• Catégorie
• Description
• Actions recommandées

Importante

• En règle générale, les blocs de fichiers sont appliqués et supprimés en quelques minutes, mais peuvent prendre jusqu’à 30 minutes.
• S’il existe des stratégies d’IoC de fichier en conflit avec le même type d’application et la même cible, la stratégie du hachage plus sécurisé est appliquée. Une stratégie IoC de hachage de fichier SHA-256 l’emporte sur une stratégie IoC de hachage de fichier SHA-1, qui l’emportera sur une stratégie IoC de hachage de fichier MD5 si les types de hachage définissent le même fichier. Cela est toujours vrai, quel que soit le groupe d’appareils.
• Dans tous les autres cas, si des stratégies IoC de fichier en conflit avec la même cible d’application sont appliquées à tous les appareils et au groupe de l’appareil, pour un appareil, la stratégie dans le groupe d’appareils gagne.
• Si la stratégie de groupe EnableFileHashComputation est désactivée, la précision de blocage du fichier IoC est réduite. Toutefois, l’activation EnableFileHashComputation peut avoir un impact sur les performances de l’appareil. Par exemple, la copie de fichiers volumineux à partir d’un partage réseau sur votre appareil local, en particulier via une connexion VPN, peut avoir un effet sur les performances de l’appareil.

Pour plus d’informations sur la stratégie de groupe EnableFileHashComputation, consultez Csp Defender.

Pour plus d’informations sur la configuration de cette fonctionnalité sur Defender pour point de terminaison sur Linux et macOS, consultez Configurer la fonctionnalité de calcul de hachage de fichier sur Linux et Configurer la fonctionnalité de calcul de hachage de fichier sur macOS.

Fonctionnalités de repérage avancées (préversion)

Importante

Les informations contenues dans cette section (préversion publique pour le moteur d’investigation et de correction automatisés) concernent le produit de préversion qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Actuellement en préversion, vous pouvez interroger l’activité d’action de réponse à l’avance. Voici un exemple de requête de repérage avancé :

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Pour plus d’informations sur la chasse avancée, consultez La chasse proactive aux menaces avec la chasse avancée.

Vous trouverez ci-dessous d’autres noms de thread qui peuvent être utilisés dans l’exemple de requête ci-dessus :

Fichiers :

• EUS:Win32/CustomEnterpriseBlock!cl
• EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Certificats:

• EUS:Win32/CustomCertEnterpriseBlock!cl

L’activité d’action de réponse peut également être visible dans l’appareil chronologie.

Gestion des conflits de stratégie

Les conflits de gestion des stratégies IoC de certificat et de fichier suivent cet ordre :

1. Si le fichier n’est pas autorisé par Windows Defender stratégies de contrôle d’application et AppLocker appliquer le mode, bloquez.
2. Sinon, si le fichier est autorisé par la Microsoft Defender exclusions antivirus, puis Autoriser.
3. Sinon, si le fichier est bloqué ou averti par un bloc ou un ioC de fichier d’avertissement, puis Bloquer/Avertir.
4. Sinon, si le fichier est bloqué par SmartScreen, puis Bloquer.
5. Sinon, si le fichier est autorisé par une stratégie d’IoC de fichier d’autorisation, puis Autoriser.
6. Sinon, si le fichier est bloqué par des règles de réduction de la surface d’attaque, un accès contrôlé aux dossiers ou une protection antivirus, bloquez.
7. Sinon, Autoriser (passe Windows Defender Contrôle d’application & stratégie AppLocker, aucune règle IoC ne s’y applique).

Remarque

Dans les situations où Microsoft Defender Antivirus est défini sur Bloquer, mais que les indicateurs Defender pour point de terminaison pour le hachage de fichier ou les certificats sont définis sur Autoriser, la stratégie par défaut est Autoriser.

S’il existe des stratégies d’IoC de fichier en conflit avec le même type d’application et la même cible, la stratégie du hachage plus sécurisé (c’est-à-dire plus long) est appliquée. Par exemple, une stratégie IoC de hachage de fichier SHA-256 est prioritaire sur une stratégie IoC de hachage de fichier MD5 si les deux types de hachage définissent le même fichier.

Avertissement

La gestion des conflits de stratégie pour les fichiers et les certificats diffère de la gestion des conflits de stratégie pour les domaines/URL/adresses IP.

les fonctionnalités d’application vulnérables de blocage de Gestion des vulnérabilités Microsoft Defender utilisent les ICS de fichier pour l’application et suivent l’ordre de gestion des conflits décrit plus haut dans cette section.

Exemples

Composant	Application des composants	Action de l’indicateur de fichier	Résultat
Exclusion du chemin d’accès au fichier de réduction de la surface d’attaque	Autoriser	Bloquer	Bloquer
Règle de réduction de la surface d’attaque	Bloquer	Autoriser	Autoriser
Windows Defender Application Control	Autoriser	Bloquer	Autoriser
Windows Defender Application Control	Bloquer	Autoriser	Bloquer
exclusion de l’antivirus Microsoft Defender	Autoriser	Bloquer	Autoriser

Voir aussi

• Créer des indicateurs

• Créer des indicateurs pour les IP et URL/domaines

• Créer des indicateurs basés sur des certificats

• Gérer des indicateurs

• Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.