Gérer les indicateurs

  • 10 minutes

Les indicateurs de correspondance compromise (IoCs) est une fonctionnalité essentielle de chaque solution de protection de point de terminaison. Cette fonctionnalité permet à SecOP de définir une liste d’indicateurs de détection et de blocage (prévention et réponse). Créez des indicateurs qui définissent la détection, la prévention et l’exclusion des entités. Vous pouvez définir l’action à entreprendre, la durée d’application de l’action et l’étendue du groupe d’appareils auquel l’appliquer.

Les sources actuellement prises en charge sont le moteur de détection cloud de Defender pour point de terminaison, le moteur d’investigation et de correction automatisé et le moteur de prévention des points de terminaison (Microsoft Defender AV).

Moteur de détection cloud

Le moteur de détection cloud du point de terminaison analyse régulièrement les données collectées et tente d’établir une correspondance avec les indicateurs que vous avez définis. En cas de correspondance, l’action est effectuée en fonction des paramètres IdC que vous avez spécifiés.

Moteur de prévention des points de terminaison

La même liste d’indicateurs est honorée par l’agent de prévention. Autrement dit, si Microsoft Defender AV est l'AV primaire configuré, les indicateurs correspondants seront traités en fonction des paramètres. Par exemple, si l’action est « Alerte et blocage », Microsoft Defender AV empêche les exécutions de fichiers (bloquer et corriger) et une alerte correspondante est générée. Sinon, si l’action est définie sur « Autoriser », Microsoft Defender AV ne détecte pas et ne bloque pas l’exécution du fichier.

Moteur d’investigation et de correction automatisées

L’investigation et la correction automatisées se comportent de la même façon. Si un indicateur est défini sur « Autoriser », une investigation et une mise à jour automatisées ignorent le verdict « Incorrect ». S’il est défini sur « Bloquer », l’investigation et la correction automatisées le considèrent comme « Incorrect ».

Les actions prises en charge sont les suivantes :

  • Allow

  • Alerter uniquement

  • Alerter et bloquer

Vous pouvez créer un indicateur pour :

  • Fichiers

  • Adresses IP, URL/domaines

  • Certificats

La limite est de 15 000 indicateurs par locataire.

Gérer les indicateurs

Pour gérer les indicateurs :

  • Dans le volet de navigation, sélectionnez Paramètres > Points de terminaison, puis sélectionnez Indicateurs dans la zone Règles.

  • Sélectionnez l’onglet du type d’entité que vous souhaitez gérer.

  • Mettez à jour les détails de l’indicateur et sélectionnez « Enregistrer » ou « Supprimer » si vous souhaitez supprimer l’entité de la liste.

Créer des indicateurs pour les fichiers

Vous pouvez empêcher la propagation d’une attaque au sein de votre organisation en interdisant des fichiers ou programmes potentiellement malveillants. Si vous connaissez un fichier exécutable portable (PE, Portable Executable) potentiellement malveillant, vous pouvez le bloquer. Cette opération empêche sa lecture, son écriture ou son exécution sur les machines de votre organisation.

Vous pouvez créer des indicateurs pour les fichiers de deux manières :

  • En créant un indicateur via la page « Paramètres »

  • En créant un indicateur contextuel à l’aide du bouton « Ajouter un indicateur » à partir de la page « Détails du fichier »

Prérequis

Avant de créer des indicateurs pour les fichiers, vous devez comprendre les prérequis suivants :

  • Cette fonctionnalité est disponible si votre organisation utilise l’antivirus Windows Defender et si la protection basée sur le cloud est activée. Pour plus d’informations, consultez « Gérer la protection basée sur le Cloud ».

  • La version du client anti-programme malveillant doit être 4.18.1901.x ou version ultérieure.

  • Il est pris en charge sur les ordinateurs dotés de Windows 10, version 1703 ou ultérieure, Windows Server 2016 et 2019.

  • Pour commencer à bloquer les fichiers, vous devez d’abord activer la fonctionnalité Bloquer ou Autoriser dans Paramètres.

  • Cette fonctionnalité est conçue pour empêcher le téléchargement de programmes malveillants suspects (ou de fichiers potentiellement malveillants) à partir du web. Elle prend actuellement en charge les fichiers exécutables portables (PE), y compris les fichiers .exe et .dll. La couverture sera étendue dans le temps.

Important

La fonction d’autorisation ou de blocage ne peut pas être effectuée sur des fichiers si la classification du fichier existe dans le cache de l’appareil avant l’action. Les fichiers signés approuvés sont traités différemment. Defender pour point de terminaison est optimisé pour gérer des fichiers malveillants. Essayez de bloquer les fichiers signés approuvés, dans certains cas, peut avoir des répercussions sur les performances. En règle générale, les blocs de fichiers sont appliqués en quelques minutes, mais ils peuvent prendre jusqu’à 30 minutes.

Créer un indicateur contextuel à partir de la page « Détails du fichier »

L’une des options lors de l’exécution d’actions de réponse sur un fichier consiste à ajouter un indicateur pour le fichier. Lorsque vous ajoutez un code de hachage d’indicateur pour un fichier, vous pouvez choisir de déclencher une alerte et de bloquer le fichier chaque fois qu’une machine de votre organisation tente de l’exécuter. Les fichiers bloqués automatiquement par un indicateur ne s’affichent pas dans le Centre de maintenance des fichiers, mais les alertes sont toujours visibles dans la file d’attente des alertes.

Créer des indicateurs pour les adresses IP et les URL/domaines

Defender pour point de terminaison peut bloquer ce que Microsoft considère comme des adresses IP/URL malveillantes par le biais de Windows Defender SmartScreen pour les navigateurs Microsoft et par le biais de la protection réseau pour les navigateurs non-Microsoft ou les appels effectués en dehors d’un navigateur.

Le jeu de données de renseignement sur les menaces a été géré par Microsoft.

En créant des indicateurs pour les adresses IP et les URL ou les domaines, vous pouvez désormais autoriser ou bloquer des adresses IP, des URL ou des domaines en fonction de vos propres renseignements sur les menaces. Vous pouvez le faire via la page des paramètres ou par groupes de machines si vous estimez que certains groupes sont plus ou moins exposés à des risques que d’autres. La notation CIDR (Class Inter-Domain Routing) pour les adresses IP n’est pas prise en charge.

Prérequis

Vous devez comprendre les conditions préalables suivantes avant de créer des indicateurs pour les adresses IP, les URL ou les domaines :

  • L’autorisation et le blocage de l’URL/adresse IP s’appuient sur la protection réseau du composant Defender pour point de terminaison pour être activés en mode bloc. Pour plus d’informations sur la protection du réseau et les instructions de configuration, consultez « Activer la protection réseau ».

  • La version du client anti-programme malveillant doit être 4.18.1906.x ou version ultérieure.

  • Pris en charge sur les ordinateurs Windows 10, version 1709 ou ultérieure.

  • Vérifiez que les Indicateurs de réseau personnalisés sont activés dans le Centre de sécurité Microsoft Defender > Paramètres > Fonctionnalités avancées. Pour plus d'informations, consultez « Fonctionnalités avancées ».

Seules les adresses IP externes peuvent être ajoutées à la liste des indicateurs. Impossible de créer des indicateurs pour les adresses IP internes. Pour les scénarios de protection web, nous vous recommandons d’utiliser les fonctionnalités intégrées de Microsoft Edge. Microsoft Edge utilise la protection réseau pour inspecter le trafic réseau et autorise les blocs pour TCP, HTTP et HTTPS (TLS). Pour tous les autres processus, les scénarios de protection web utilisent la protection réseau pour l’inspection et l’application :

  • L’adresse IP est prise en charge pour les trois protocoles

  • Seules les adresses IP uniques sont prises en charge (pas de blocs CIDR ou de plages d’adresses IP)

  • Les URL chiffrées (chemin d’accès complet) ne peuvent être bloquées que sur les navigateurs de premier tiers

  • Les URL chiffrées (nom de domaine complet uniquement) peuvent être bloquées en dehors des navigateurs de premier tiers

  • Les blocs de chemin d’URL complets peuvent être appliqués au niveau du domaine et à toutes les URL non chiffrées

Il peut y avoir jusqu’à 2 heures de latence (généralement moins) entre le moment où l’action est effectuée et le blocage de l’URL et de l’adresse IP.

Créer un indicateur pour les adresses IP, les URL ou les domaines

  1. Dans le volet de navigation, sélectionnez Paramètres > Indicateurs.

  2. Sélectionnez l’onglet « Adresses IP ou URL/domaines ».

  3. Sélectionnez Ajouter un élément.

  4. Spécifiez les détails suivants :

    • Indicateur : spécifiez les détails de l’entité et définissez l’expiration de l’indicateur.

    • Action : spécifiez l’action à entreprendre et fournissez une description.

    • Étendue : définissez l’étendue du groupe de machines.

  5. Passez en revue les détails sous l’onglet « Résumé », puis sélectionnez Enregistrer.

Créer des indicateurs basés sur des certificats

Vous pouvez créer des indicateurs pour les certificats. Voici quelques cas d’utilisation courants :

  • Scénarios où vous devez déployer des technologies de blocage, par exemple des règles de réduction de la surface d’attaque et un accès contrôlé aux dossiers, mais où vous devez autoriser les comportements des applications signées en ajoutant le certificat à la liste verte.

  • Blocage de l’utilisation d’une application signée spécifique au sein de votre organisation. En créant un indicateur pour bloquer le certificat de l’application, l’antivirus Windows Defender empêchera les exécutions de fichiers (bloquer et corriger), mais l’investigation et la mise à jour automatisées se comporteront de la même façon.

Prérequis

Vous devez comprendre les exigences suivantes avant de créer des indicateurs pour les certificats :

  • Cette fonctionnalité est disponible si votre organisation utilise l’antivirus Windows Defender et si la protection basée sur le cloud est activée. Pour plus d’informations, consultez « Gérer la protection basée sur le Cloud ».

  • La version du client anti-programme malveillant doit être 4.18.1901.x ou version ultérieure.

  • Pris en charge sur les ordinateurs dotés de Windows 10, version 1703 ou ultérieure, Windows Server 2016 et 2019.

  • Les définitions de protection contre les virus et les menaces doivent être à jour.

  • Cette fonctionnalité prend actuellement en charge les extensions de fichier .CER ou .PEM.

Un certificat feuille valide est un certificat de signature avec un chemin d’accès de certification valide et doit être lié à l’autorité de certification (CA) racine approuvée par Microsoft. Un certificat personnalisé (auto-signé) peut également être utilisé tant qu’il est approuvé par le client (le certificat d’autorité de certification racine est installé sous les autorités de certification racines fiables de l’ordinateur local). Les enfants ou les parents des IOC de certificats d’autorisation/de blocage ne sont pas inclus dans la fonctionnalité des IoC ; seuls les certificats feuilles sont pris en charge. Les certificats signés Microsoft ne peuvent pas être bloqués.

La création et la suppression d’un IoC de certificat peut prendre jusqu’à 3 heures.

Créer un indicateur pour les certificats :

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres > Points de terminaison > Indicateurs.

  2. Sélectionnez l’onglet « Certificat ».

  3. Sélectionnez + Ajouter un élément.

  4. Spécifiez les détails suivants :

    • Indicateur : spécifiez les détails de l’entité et définissez l’expiration de l’indicateur.

    • Action : spécifiez l’action à entreprendre et fournissez une description.

    • Étendue : définissez l’étendue du groupe de machines.

  5. Passez en revue les détails sous l’onglet « Résumé », puis sélectionnez Enregistrer.

Importer une liste d’IoC

Vous pouvez également décider de charger un fichier CSV qui définit les attributs des indicateurs, l’action à entreprendre et d’autres détails.

Téléchargez l’exemple de fichier CSV pour connaître les attributs de colonne pris en charge.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres > Points de terminaison > Indicateurs.

  2. Sélectionnez l’onglet du type d’entité pour lequel vous souhaitez importer des indicateurs.

  3. Sélectionnez Importer > Choisir un fichier.

  4. Sélectionnez Importer. Procédez ainsi pour tous les fichiers que vous souhaitez importer.

  5. Sélectionnez Terminé.

Le tableau suivant montre les paramètres pris en charge.

Paramètre Type Description
indicatorType Enum Type de l’indicateur. Les valeurs possibles sont : « FileSha1 », « FileSha256 », « IpAddress », « DomainName » et « URL ». Obligatoire
indicatorValue String Identité de l’entité indicateur. Obligatoire
action Enum Action exécutée si l’indicateur est découvert dans l’organisation. Les valeurs possibles sont : « Alert », « AlertAndBlock » et « Allowed ». Obligatoire
title String Titre de l’alerte de l’indicateur. Obligatoire
description String Description de l’indicateur. Obligatoire
expirationTime DateTimeOffset Heure d’expiration de l’indicateur au format suivant : AAAA-MM-JJ HH:MM:SS.0Z. Facultatif
severity Enum Gravité de l’indicateur. Les valeurs possibles sont : « Informational », « Low », « Medium » et « High ». Facultatif
recommendedActions String Actions recommandées d’alerte indicateur TI. Facultatif
rbacGroupNames String Liste séparée par des virgules des noms de groupe RBAC auxquels l’indicateur est appliqué. Facultatif
catégorie String Catégorie de l’alerte. Voici quelques exemples : l’exécution et l’accès aux informations d’identification. Facultatif
Techniques MITRE String Code/ID des techniques MITRE (séparés par des virgules). Pour plus d’informations, consultez les tactiques d’entreprise. (Facultatif) Il est recommandé d’ajouter une valeur dans la catégorie en cas de technique MITRE.