Créer des indicateurs

S’applique à :

Conseil

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Vue d’ensemble de l’indicateur de compromission (IoC)

Un indicateur de compromission (IoC) est un artefact d’investigation, observé sur le réseau ou l’hôte. Un IoC indique, avec un niveau de confiance élevé, qu’une intrusion d’ordinateur ou de réseau s’est produite. Les ioC sont observables, ce qui les lie directement à des événements mesurables. Voici quelques exemples d’IoC :

  • hachages de programmes malveillants connus
  • signatures du trafic réseau malveillant
  • URL ou domaines qui sont des distributeurs de programmes malveillants connus

Pour arrêter les compromissions supplémentaires ou empêcher les violations d’IoC connus, les outils IoC réussis doivent être en mesure de détecter toutes les données malveillantes énumérées par l’ensemble de règles de l’outil. La correspondance ioC est une fonctionnalité essentielle dans chaque solution de protection de point de terminaison. Cette fonctionnalité permet à SecOps de définir une liste d’indicateurs de détection et de blocage (prévention et réponse).

Les organisations peuvent créer des indicateurs qui définissent la détection, la prévention et l’exclusion des entités IoC. Vous pouvez définir l’action à entreprendre, ainsi que la durée d’application de l’action et l’étendue du groupe d’appareils auquel l’appliquer.

À propos des indicateurs Microsoft

En règle générale, vous devez uniquement créer des indicateurs pour les ioC incorrects connus, ou pour tous les fichiers/sites web qui doivent être explicitement autorisés dans votre organisation. Pour plus d’informations sur les types de sites que MDE peut bloquer par défaut, consultez Microsoft Defender vue d’ensemble de SmartScreen.

Faux positif (FP) fait référence à un faux positif SmartScreen, Microsoft dit qu’il s’agit d’un programme malveillant / hameçonnage, mais il s’agit en fait d’un site sûr, donc le client souhaite créer une stratégie d’autorisation pour cela.

Vous pouvez également contribuer à améliorer les informations de sécurité de Microsoft en envoyant des faux positifs et des ioC suspects ou connus pour analyse. Si vous pensez qu’un avertissement ou un blocage a été affiché de manière incorrecte pour un fichier ou une application, ou si vous pensez qu’un fichier non détecté est un logiciel malveillant, vous pouvez envoyer un fichier à Microsoft pour révision. Pour plus d’informations, consultez Envoyer des fichiers à des fins d’analyse.

Indicateurs IP/URL

Il existe plusieurs raisons d’utiliser des indicateurs IP/URL, telles que le déblocage des utilisateurs d’un faux positif (FP) SmartScreen ou le remplacement d’un bloc WFC (Web Content Filtering).

Vous pouvez utiliser des indicateurs d’URL et d’ADRESSE IP pour gérer l’accès au site. Vous pouvez créer des indicateurs d’ADRESSE IP et d’URL intermédiaires pour débloquer temporairement les utilisateurs d’un bloc SmartScreen. Vous pouvez également avoir des indicateurs que vous conservez pendant une longue période pour contourner de manière sélective les blocs de filtrage de contenu web.

Considérez le cas où vous avez une catégorisation de filtrage de contenu web pour un site particulier qui est correcte. Dans cet exemple, le filtrage de contenu web est défini pour bloquer tous les réseaux sociaux, ce qui correspond aux objectifs globaux de votre organisation. Toutefois, l’équipe marketing a un réel besoin d’utiliser un site de médias sociaux spécifique pour la publicité et les annonces. Dans ce cas, vous pouvez débloquer le site de médias sociaux spécifique à l’aide d’indicateurs d’ADRESSE IP ou d’URL pour le ou les groupes spécifiques à utiliser.

Consultez Protection web et filtrage de contenu web

Indicateurs de hachage de fichier

Dans certains cas, la création d’un nouvel indicateur pour un ioC de fichier nouvellement identifié , en tant que mesure d’intervalle d’arrêt immédiat, peut être appropriée pour bloquer des fichiers ou même des applications. Toutefois, l’utilisation d’indicateurs pour tenter de bloquer une application peut ne pas fournir les résultats attendus, car les applications sont généralement composées de nombreux fichiers différents. Les méthodes recommandées pour bloquer des applications sont d’utiliser Windows Defender Contrôle d’application (WDAC) ou AppLocker.

Étant donné que chaque version d’une application a un hachage de fichier différent, l’utilisation d’indicateurs pour bloquer les hachages n’est pas recommandée.

Windows Defender Application Control (WDAC)

Indicateurs de certificat

Dans certains cas, il peut y avoir un certificat spécifique qui a été utilisé pour signer un fichier ou une application que votre organisation souhaite autoriser/bloquer. Les indicateurs de certificat sont pris en charge dans MDE, à condition qu’ils soient du . CER ou . Format de fichier PEM. Pour plus d’informations, consultez Créer des indicateurs basés sur des certificats .

Moteurs de détection ioC

Actuellement, les sources Microsoft prises en charge pour les ioC sont les suivantes :

Moteur de détection cloud

Le moteur de détection cloud de Defender pour point de terminaison analyse régulièrement les données collectées et tente de faire correspondre les indicateurs que vous définissez. En cas de correspondance, une action est effectuée en fonction des paramètres que vous avez spécifiés pour l’IoC.

Moteur de prévention des points de terminaison

La même liste d’indicateurs est respectée par l’agent de prévention. Cela signifie que si Microsoft Defender Antivirus est l’antivirus principal configuré, les indicateurs correspondants sont traités en fonction des paramètres. Par exemple, si l’action est « Alerte et bloquer », Microsoft Defender Antivirus empêche les exécutions de fichiers (bloquer et corriger) et une alerte correspondante est déclenchée. En revanche, si l’action est définie sur « Autoriser », Microsoft Defender Antivirus ne détecte pas et ne bloque pas l’exécution du fichier.

Moteur automatisé d’investigation et de correction

L’examen et la correction automatisés se comportent de la même façon. Si un indicateur est défini sur « Autoriser », l’examen et la correction automatisés ignorent un verdict « incorrect » pour celui-ci. Si la valeur est « Bloquer », l’examen et la correction automatisés le traitent comme « incorrect ».

Le EnableFileHashComputation paramètre calcule le hachage de fichier pour le certificat et l’IoC de fichier pendant les analyses de fichiers. Il prend en charge l’application ioC des hachages et des certificats appartenant aux applications approuvées. Il sera simultanément activé et désactivé avec le paramètre autoriser ou bloquer le fichier. EnableFileHashComputationest activé manuellement via stratégie de groupe et est désactivé par défaut.

Types d’application pour les indicateurs

Lors de la création d’un indicateur (IoC), une ou plusieurs des actions suivantes sont disponibles :

  • Autoriser : l’IoC est autorisé à s’exécuter sur vos appareils.
  • Audit : une alerte est déclenchée lors de l’exécution de l’IoC.
  • Avertir : l’IoC affiche un avertissement indiquant que l’utilisateur peut contourner
  • Exécution de bloc : l’IoC ne sera pas autorisé à s’exécuter.
  • Bloquer et corriger : l’IoC ne sera pas autorisé à s’exécuter et une action de correction sera appliquée à l’IoC.

Remarque

L’utilisation du mode Avertissement invite vos utilisateurs à afficher un avertissement s’ils ouvrent une application ou un site web à risque. L’invite ne les empêche pas d’autoriser l’exécution de l’application ou du site web, mais vous pouvez fournir un message personnalisé et des liens vers une page d’entreprise qui décrit l’utilisation appropriée de l’application. Les utilisateurs peuvent toujours ignorer l’avertissement et continuer à utiliser l’application s’ils en ont besoin. Pour plus d’informations, consultez Gouverner les applications découvertes par Microsoft Defender pour point de terminaison.

Vous pouvez créer un indicateur pour :

Le tableau ci-dessous montre exactement quelles actions sont disponibles par type d’indicateur (IoC) :

Type d’IoC Actions disponibles
Files Autoriser
Audit
Avertir
Bloquer l’exécution
Bloquer et corriger
Adresses IP Autoriser
Audit
Avertir
Bloquer l’exécution
URL et domaines Autoriser
Audit
Avertir
Bloquer l’exécution
Certificats Autoriser
Bloquer et corriger

Les fonctionnalités des ioC préexistantes ne changeront pas. Toutefois, les indicateurs ont été renommés pour correspondre aux actions de réponse prises en charge actuelles :

  • L’action de réponse « alerte uniquement » a été renommée « audit » avec le paramètre générer l’alerte activé.
  • La réponse « alerte et blocage » a été renommée « bloquer et corriger » avec le paramètre facultatif générer une alerte.

Le schéma de l’API IoC et les ID de menace de repérage à l’avance ont été mis à jour pour s’aligner sur le changement de nom des actions de réponse IoC. Les modifications apportées au schéma d’API s’appliquent à tous les types IoC.

Remarque

Il existe une limite de 15 000 indicateurs par locataire. Les indicateurs de fichier et de certificat ne bloquent pas les exclusions définies pour Microsoft Defender Antivirus. Les indicateurs ne sont pas pris en charge dans Microsoft Defender Antivirus lorsqu’il est en mode passif.

Le format d’importation des nouveaux indicateurs (IoC) a changé en fonction des nouveaux paramètres d’actions et d’alertes mis à jour. Nous vous recommandons de télécharger le nouveau format CSV qui se trouve en bas du panneau d’importation.