יצירת מחוונים עבור קבצים
חל על:
- Microsoft Defender XDR
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender for Business
עצה
רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
מנע הפצה נוספת של התקפה בארגון שלך על-ידי חסימת קבצים שעלולים להיות זדוניים או תוכנות זדוניות חשודות. אם אתה יודע קובץ הפעלה נייד (PE) שעשוי להיות זדוני, באפשרותך לחסום אותו. פעולה זו תמנע את הקריאה, ההכתבה או ההפעלה שלו במכשירים בארגון שלך.
קיימות שלוש דרכים ליצירת מחוונים עבור קבצים:
- על-ידי יצירת מחוון דרך דף ההגדרות
- על-ידי יצירת מחוון הקשרי באמצעות לחצן 'הוסף מחוון' מתוך דף פרטי הקובץ
- על-ידי יצירת מחוון באמצעות ה- API של המחוון
הערה
כדי שתכונה זו ת לפעול ב- Windows Server 2016 וב- Windows Server 2012 R2, מכשירים אלה חייבים להיות מחוברים באמצעות ההוראות המופיעות בשרתי Windows הצירוף. מחווני קובץ מותאמים אישית עם הפעולות 'אפשר', 'חסום' ו'תיקון' זמינים כעת גם ביכולות המשופרות של מנוע למניעת תוכנות זדוניות עבור macOS ו- Linux.
לפני שתתחיל
הבן את הדרישות המוקדמות הבאות לפני שתיצור מחוונים עבור קבצים:
תכונה זו זמינה אם הארגון שלך משתמש באנטי-וירוס של Microsoft Defender (במצב פעיל)
גירסת הלקוח נגד תוכנות זדוניות חייבת להיות מתקדמת
4.18.1901.xיותר. ראה גירסאות חודשיות של פלטפורמה ומנועתכונה זו נתמכת במכשירים שבהם פועל Windows 10, גירסה 1703 ואילך, Windows 11, Windows Server 2012 R2, Windows Server 2016 ואילך, Windows Server 2019 או Windows Server 2022.
ב
Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\- , יש להגדיר את תכונת חישוב ה- Hash של הקובץ כזמינהכדי להתחיל לחסום קבצים, הפעל את התכונה 'חסום או אפשר' בהגדרות (בפורטל Microsoft Defender,>>>> עבור אל הגדרות נקודות קצה של תכונות מתקדמות כלליות אפשר אוחסום קובץ).
תכונה זו נועדה למנוע הורדה של תוכנות זדוניות חשודות (או קבצים שעלולים להיות זדוניים) מהאינטרנט. הוא תומך כעת בקבצים ניתנים להפעלה ניידים (PE), כולל .exe וקבצים .dll . הכיסוי הוא לאורך זמן.
חשוב
ב- Defender for Endpoint תוכנית 1 וב- Defender for Business, באפשרותך ליצור מחוון כדי לחסום או לאפשר קובץ. ב- Defender for Business, המחוון מוחל על הסביבה שלך ולא ניתן להגדיר טווח למכשירים ספציפיים.
יצירת מחוון עבור קבצים בדף ההגדרות
בחלונית הניווט, בחר הגדרות מחווני>נקודות קצה> (תחת כללים).
בחר את הכרטיסיה Hashs של קבצים.
בחר הוסף פריט.
ציין את הפרטים הבאים:
- מחוון: ציין את פרטי הישות והגדיר את תפוגת המחוון.
- פעולה: ציין את הפעולה שיש לבצע וספק תיאור.
- טווח: הגדרת הטווח של קבוצת המכשירים (הגדרת הטווח אינה זמינה ב- Defender for Business).
הערה
יצירת קבוצת מכשירים נתמכת הן בתוכנית Defender for Endpoint 1 והן בתוכנית 2
סקור את הפרטים בכרטיסיה סיכום ולאחר מכן בחר שמור.
יצירת מחוון הקשר מתוך דף פרטי הקובץ
אחת מהאפשרויות בעת נקיטת פעולות תגובה בקובץ מוסיפה מחוון עבור הקובץ. בעת הוספת קוד Hash של מחוון עבור קובץ, באפשרותך לבחור להעלות התראה ולחסימת הקובץ בכל פעם שמכשיר בארגון שלך מנסה להפעיל אותו.
קבצים שנחסמו אוטומטית על-ידי מחוון לא יופיעו במרכז הפעולות של הקובץ, אך ההתראות עדיין יהיו גלויות בתור התראות.
התראה לגבי פעולות חסימת קבצים (תצוגה מקדימה)
חשוב
מידע בסעיף זה (Public Preview עבור מנגנון חקירה ותיקון אוטומטי) מתייחס למוצר קדם-הפצה אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
הפעולות הנתמכות הנוכחיות עבור IOC של קבצים מאפשרות, מבקרות וחסוםות ומבצעות תיקון. לאחר שתבחר לחסום קובץ, תוכל לבחור אם יש צורך בהפעלת התראה. באופן זה, תוכל לשלוט במספר ההתראות הנכנסות לצוותי פעולות האבטחה שלך ולהוודא שרק ההתראות הנדרשות מורמות.
ב- XDR של Microsoft Defender, עבור אל מחווני>נקודות קצה של> הגדרותהוסף>קוד Hash של קובץ חדש.
בחר לחסום ולבצע תיקון של הקובץ.
בחר אם ליצור התראה באירוע חסימת הקובץ ולהגדיר את הגדרות ההתראות:
- כותרת ההתראה
- חומרת ההתראה
- קטגוריה
- תיאור
- פעולות מומלצות
חשוב
- בדרך כלל, בלוקי קבצים נאכפים ווסרים תוך 15 דקות, ממוצע של 30 דקות, אך עשוי להימשך יותר מ- 2 שעות.
- אם קיימים פריטי מדיניות IoC מתנגשים של קבצים עם אותו סוג אכיפה ויעד, המדיניות של קוד ה- Hash המאובטח יותר תחול. מדיניות IoC של קוד Hash של קובץ SHA-256 תנצח על מדיניות Hash של קובץ SHA-1 IoC, שתנצח על מדיניות Hash של קובץ MD5 IoC אם סוגי ה- Hash מגדירים את אותו קובץ. הדבר נכון תמיד, ללא קשר לקבוצת המכשירים.
- בכל המקרים האחרים, אם מדיניות IoC מתנגשת של קובץ עם אותה יעד אכיפה חלה על כל המכשירים ועל קבוצת המכשירים, ולאחר מכן עבור מכשיר, המדיניות בקבוצת המכשירים תנצח.
- אם המדיניות הקבוצתית EnableFileHashComputation אינה זמינה, דיוק החסימה של הקובץ IoC מוקטן. עם זאת, הפעלת עשויה
EnableFileHashComputationלהשפיע על ביצועי המכשיר. לדוגמה, העתקת קבצים גדולים משיתוף רשת למכשיר המקומי שלך, במיוחד באמצעות חיבור VPN, עשויה להשפיע על ביצועי המכשיר.
לקבלת מידע נוסף אודות המדיניות הקבוצתית EnableFileHashComputation, ראה CSP Defender.
לקבלת מידע נוסף אודות קביעת התצורה של תכונה זו ב- Defender for Endpoint ב- Linux וב- macOS, ראה קביעת תצורה של תכונת חישוב Hash של קבצים ב- Linux והגדרת תכונת חישוב Hash של קבצים ב - macOS.
יכולות ציד מתקדמות (תצוגה מקדימה)
חשוב
מידע בסעיף זה (Public Preview עבור מנגנון חקירה ותיקון אוטומטי) מתייחס למוצר קדם-הפצה אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
בשלב זה בתצוגה מקדימה, באפשרותך לבצע שאילתה בפעילות של פעולת התגובה לציד מראש. להלן שאילתת ציד התקדמות לדוגמה:
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"
לקבלת מידע נוסף אודות ציד מתקדם, ראה ציד יזום אחר איומים עם ציד מתקדם.
להלן שמות שרשור אחרים שניתן להשתמש בהם בשאילתה לדוגמה לעיל:
קבצים:
EUS:Win32/CustomEnterpriseBlock!clEUS:Win32/CustomEnterpriseNoAlertBlock!cl
אישורים:
EUS:Win32/CustomCertEnterpriseBlock!cl
ניתן גם להציג את פעילות פעולת התגובה בציר הזמן של המכשיר.
טיפול בהתנגשויות מדיניות
אישור וטיפול בהתנגשויות מדיניות IoC של אישור וקובץ פועלים לפי הסדר הבא:
אם הקובץ אינו מותר על-ידי מדיניות מצב אכוף של בקרת אפליקציות של Windows Defender ו- AppLocker, חסום.
אחרת, אם הקובץ מותר על-ידי אי-הכללות של האנטי-וירוס של Microsoft Defender, אז אפשר.
אחרת, אם הקובץ חסום או מזהיר על-ידי חסימה או אזהרה של קבצי IoCs, חסום /הזהר.
אחרת, אם הקובץ חסום על-ידי SmartScreen, חסום.
אחרת, אם הקובץ מותר על-ידי מדיניות Allow file IoC, לאחר מכן Allow.
אחרת, אם הקובץ נחסם על-ידי כללי הפחתת פני השטח של ההתקפה, גישה מבוקרת לתיקיה או הגנת אנטי-וירוס, אז חסום.
אחרת, אפשר (מעבר לבקרת אפליקציות של Windows Defender & AppLocker, לא חלים על כללים של IoC).
הערה
במצבים שבהם האנטי-וירוס של Microsoft Defender מוגדר לחסימה , אך מחווני Defender for Endpoint עבור קוד Hash של קובץ או אישורים מוגדרים לאפשר, ברירת המחדל של המדיניות היא אפשר.
אם קיימים פריטי מדיניות IoC מתנגשים של קבצים עם אותו סוג אכיפה ואותו יעד, המדיניות של קוד ה- Hash המאובטח יותר (כלומר ארוך יותר) מוחלת. לדוגמה, מדיניות HASH של IoC של קובץ SHA-256 מקבלת קדימות על-פני מדיניות IoC של קוד Hash של קובץ MD5 אם שני סוגי ה- Hash מגדירים את אותו קובץ.
אזהרה
טיפול בהתנגשות מדיניות עבור קבצים וכרטיסים שונה מטיפול בהתנגשויות מדיניות עבור תחומים/כתובות URL/כתובות IP.
תכונות היישום החגיע של ניהול פגיעויות של Microsoft Defender משתמשות ב- IoCs של הקבצים לצורך אכיפה ועוקבת אחר סדר הטיפול בהתנגשויות המתואר לעיל בסעיף זה.
דוגמאות
| רכיב | אכיפת רכיבים | פעולת מחוון קובץ | Result |
|---|---|---|---|
| אי הכללה של נתיב הפחתת פני השטח של ההתקפה | אפשר | חסום | חסום |
| כלל הפחתת פני השטח של ההתקפה | חסום | אפשר | אפשר |
| בקרת אפליקציות של Windows Defender | אפשר | חסום | אפשר |
| בקרת אפליקציות של Windows Defender | חסום | אפשר | חסום |
| אי הכללה באנטי-וירוס של Microsoft Defender | אפשר | חסום | אפשר |
למידע נוסף
- יצירת מחוונים
- צור מחוונים עבור כתובות IP וכתובות URL/תחומים
- יצירת מחוונים בהתבסס על אישורים
- נהל מחוונים
- פריטים שאינם נכללים ב- Microsoft Defender עבור נקודת קצה והאנטי-וירוס של Microsoft Defender
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.