הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
מבט כולל על מחוון לפשרה (IoC)
מחוון של פשרה (IoC) הוא חפץ משפטי שנצפה ברשת או במארח. IoC מציין - בביטחון גבוה - שאירעה הפרעה במחשב או ברשת. ניתן לצפות ב- IoCs, המקשר אותם ישירות לאירועים הניתנים למדידה. חלק מהדוגמאות של IoC כוללות:
- Hashs של תוכנות זדוניות ידועות
- חתימות של תעבורת רשת זדונית
- כתובות URL או תחומים שהם מפיצי תוכנות זדוניות ידועים
כדי לעצור סכנה אחרת או למנוע הפרות של רכיבי IoC ידועים, כלי IoC מוצלחים אמורים להיות מסוגלים לזהות את כל הנתונים הזדון שנכללים בערכת הכללים של הכלי. התאמת IoC היא תכונה חיונית בכל פתרון הגנה של נקודת קצה. יכולת זו מעניקה ל- SecOps את היכולת להגדיר רשימת מחוונים לזיהוי ולחסימה (מניעה ותגובה).
ארגונים יכולים ליצור מחוונים המגדירים את הזיהוי, המניעה והמניעה של ישויות IoC. באפשרותך להגדיר את הפעולה שיש לבצע וכן את משך הזמן להחלת הפעולה ואת הטווח של קבוצת המכשירים שבהם יש להחיל אותה.
סרטון וידאו זה מציג הדרכה של יצירה והוספת מחוונים:
אודות מחוונים של Microsoft
ככלל, עליך ליצור מחוונים רק עבור מחשבי IoC פגומים ידועים, או עבור קבצים/אתרי אינטרנט שיש להתיר באופן מפורש בארגון שלך. לקבלת מידע נוסף על סוגי האתרים ש- Defender for Endpoint יכול לחסום כברירת מחדל, ראה מבט כולל Microsoft Defender SmartScreen.
תוצאה חיובית מוטעית (FP) מתייחסת לתוצאה חיובית מוטעית בבינה האיומים של Microsoft. אם משאב נתון אינו מהווה למעשה איום, באפשרותך ליצור Allow IoC כדי לאפשר את המשאב. באפשרותך גם לסייע בשיפורים בבינה האבטחה של Microsoft על-ידי שליחת תוצאות חיוביות מוטעות ו- IoCs חשודים או ידועים לצורך ניתוח. אם אזהרה או חסימה מוצגות באופן שגוי עבור קובץ או יישום, או אם אתה חושד שקובץ שאינו ידוע הוא תוכנה זדונית, באפשרותך לשלוח קובץ ל- Microsoft לסקירה. לקבלת מידע נוסף, ראה שליחת קבצים לניתוח.
מחווני IP/כתובת URL/תחום
באפשרותך להשתמש במחווני IP ו- URL/תחום כדי לנהל את הגישה לאתר.
כדי לחסום חיבורים לכתובת IP, הקלד את כתובת ה- IPv4 בצורת ריבוע מקווקו (לדוגמה 8.8.8.8). עבור כתובות IPv6, ציין את כל 8 המקטעים (לדוגמה 2001:4860:4860:0:0:0:0:8888). שים לב שתווים כלליים וטווחים אינם נתמכים.
כדי לחסום חיבורים לתחום ולתחום כלשהו מתחום המשנה שלו, ציין את התחום (לדוגמה example.com). מחוון זה יתאים example.com וכן sub.example.com ל- anything.sub.example.com.
כדי לחסום נתיב כתובת URL ספציפי, ציין את נתיב כתובת ה- URL (לדוגמה https://example.com/block). מחוון זה יתאים למשאבים תחת הנתיב /block ב- example.com. שים לב כי נתיבי כתובת URL של HTTPS יתאימו רק ב- Microsoft Edge; ניתן להתאים נתיבי כתובת URL של HTTP בכל דפדפן.
באפשרותך גם ליצור מחווני IP וכתובת URL כדי לבטל את החסימה של משתמשים מבלוק SmartScreen או לעקוף באופן סלקטיבי בלוקים של סינון תוכן אינטרנט של אתרים שברצונך לאפשר לטעינה. לדוגמה, שקול מקרה שבו יש לך סינון תוכן אינטרנט המוגדר לחסום את כל אתרי האינטרנט של המדיה החברתית. עם זאת, לצוות השיווק יש דרישה להשתמש באתר מדיה חברתית ספציפי כדי לנטר את מיקומי הפרסומות שלו. במקרה זה, באפשרותך לבטל את החסימה של אתר המדיה החברתית הספציפי על-ידי יצירת מחוון אפשר תחום והקצאתו לקבוצת המכשירים של צוות השיווק.
ראה הגנה על האינטרנט וסינון תוכן אינטרנט
מחווני IP/URL: הגנת רשת ול לחיצת יד תלת-כיוונית של TCP
עם הגנת רשת, קביעה אם לאפשר או לחסום גישה לאתר נוצרת לאחר השלמת לחיצת היד השלושה-כיוונית באמצעות TCP/IP. לכן, כאשר אתר חסום על-ידי הגנה על רשת, ConnectionSuccessNetworkConnectionEvents ייתכן שתראה סוג פעולה של תחת פורטל Microsoft Defender, למרות שהאתר נחסם.
NetworkConnectionEvents מדווחים משכבת ה- TCP, ולא מהגנת רשת. לאחר השלמת לחיצת היד השלושה כיוונית, הגישה לאתר מותרת או חסומה על-ידי הגנת רשת.
להלן דוגמה לאופן הפעולה:
נניח שמשתמש מנסה לגשת לאתר אינטרנט במכשיר שלו. האתר מתארח במקרה בתחום מסוכן, והוא אמור להיחסם על-ידי הגנה על הרשת.
לחיצת היד השלושה כיוונית באמצעות TCP/IP מצוינת. לפני השלמתה,
NetworkConnectionEventsתירשם פעולה והיאActionTypeתופיע כ-ConnectionSuccess. עם זאת, ברגע שתהליך לחיצת היד השלושה כיוונית מסתיים, הגנת הרשת חוסמת את הגישה לאתר. כל זה קורה במהירות. תהליך דומה מתרחש באמצעות Microsoft Defender SmartScreen; כאשר לחיצת היד השלושה-כיוונית מסתיימת, מתבצעת קביעה, והגישה לאתר חסומה או מותרת.בפורטל Microsoft Defender, מופיעה התראה בתור ההתראות. פרטי התראה זו כוללים הן את והן
NetworkConnectionEventsAlertEventsאת . תוכל לראות שהאתר נחסם, למרות שיש לך גם פריטNetworkConnectionEventsעם ה- ActionType שלConnectionSuccess.
מחווני Hash של קובץ
במקרים מסוימים, יצירת מחוון חדש עבור קובץ חדש שזוהה IoC - כמדידת עצירה מיידית - עשויה להיות מתאימה לחסימת קבצים או אפילו ליישומים. עם זאת, ייתכן שהשימוש במחוונים כדי לנסות לחסום יישום לא יספק את התוצאות הצפויות, מאחר שהיישומים מורכבים בדרך כלל מקבצים רבים ושונים. השיטות המועדפות לחסימת אפליקציות הן להשתמש בפקד אפליקציות של Windows Defender (WDAC) או ב- AppLocker.
מאחר של כל גירסה של יישום יש קוד Hash אחר של קובץ, לא מומלץ להשתמש במחוונים לחסימת Hash.
בקרת אפליקציות של Windows Defender (WDAC)
מחווני אישור
באפשרותך ליצור IoC כדי לאפשר או לחסום קבצים ויישומים החתמו על-ידי אישור זה. ניתן להוסיף מחווני אישור ב- . CER או . תבנית קובץ PEM. ראה יצירת מחוונים בהתבסס על אישורים לקבלת פרטים נוספים.
מנועי זיהוי IoC
בשלב זה, המקורות הנתמכים של Microsoft עבור IoCs הם:
- מנגנון זיהוי הענן של Defender עבור נקודת קצה
- מנגנון חקירה ותיקון אוטומטי (AIR) Microsoft Defender עבור נקודת קצה
- מנגנון מניעת נקודות קצה (אנטי Microsoft Defender אנטי-וירוס)
מנגנון זיהוי ענן
מנגנון זיהוי הענן של Defender for Endpoint סורק באופן קבוע נתונים שנאספו ומנסה להתאים את המחוונים שאתה מגדיר. כאשר קיימת התאמה, הפעולה ננקטת בהתאם להגדרות שציינת עבור ה- IoC.
מנגנון מניעת נקודות קצה
סוכן המניעה מכבד את אותה רשימת מחוונים. כלומר, אם Microsoft Defender-וירוס הוא האנטי-וירוס הראשי שתצורתו נקבעה, המחוונים התואמים מטופלים בהתאם להגדרות. לדוגמה, אם הפעולה היא חסימה ותיקון, Microsoft Defender אנטי-וירוס מונע ביצועי קבצים ומופיעה התראה תואמת. עם זאת, אם הפעולה מוגדרת לאפשר, Microsoft Defender האנטי-וירוס אינו מזהה או חוסם את הקובץ.
מנגנון חקירה ותיקון אוטומטי
החקירה והתיקון האוטומטיים דומים למנגנון מניעת נקודות הקצה. אם מחוון מוגדר לאפשר, חקירה ותיקון אוטומטיים מתעלמים מהפסקת דין שגויה עבורה. אם הגדרה זו מוגדרת לחסימה, חקירה ותיקון אוטומטיים מתייחסים אליה כאל רע.
ההגדרה EnableFileHashComputation מחשבת את קוד ה- Hash של הקובץ במהלך סריקות קבצים. הוא תומך באכיפת IoC נגד קוד Hash השייך ליישומים מהימנים. היא מופעלת בו-זמנית עם הגדרת אפשר או חסימת קובץ.
EnableFileHashComputationזמינה באופן ידני באמצעות מדיניות קבוצתית, והיא אינה זמינה כברירת מחדל.
סוגי אכיפה עבור מחוונים
כאשר צוות האבטחה שלך יוצר מחוון חדש (IoC), הפעולות הבאות זמינות:
- אפשר: ה- IoC מורשה לפעול במכשירים שלך.
- ביקורת: התראה מופעלת בעת הפעלת IoC.
- אזהרה: ה- IoC מבקש אזהרה שהמשתמש יכול לעקוף
- ביצוע בלוק: IoC אינו מורשה לפעול.
- חסימה ותיקון: IoC אינו מורשה לפעול ותבצע פעולת תיקון על ה- IoC.
הערה
שימוש במצב אזהרה יציג למשתמשים אזהרה אם הם פותחים אפליקציה או אתר אינטרנט מסיכונים. הבקשה אינה חוסם את האפשרות לאפשר לאפליקציה או לאתר האינטרנט לפעול, אך באפשרותך לספק הודעה מותאמת אישית וקישורים לדף חברה המתאר את השימוש המתאים ביישום. המשתמשים עדיין יכולים לעקוף את האזהרה ולהמשיך להשתמש ביישום במידת הצורך. לקבלת מידע נוסף, ראה פיקוח על אפליקציות שהתגלו על-ידי Microsoft Defender עבור נקודת קצה.
באפשרותך ליצור מחוון עבור:
הטבלה שלהלן מציגה אילו פעולות זמינות לכל סוג מחוון (IoC):
| סוג IoC | פעולות זמינות |
|---|---|
| קבצים | אפשר ביקורת להזהיר ביצוע בלוק חסימה ותיקון |
| כתובות IP | אפשר ביקורת להזהיר ביצוע בלוק |
| כתובות URL ותחום | אפשר ביקורת להזהיר ביצוע בלוק |
| אישורים | אפשר חסימה ותיקון |
הפונקציונליות של רכיבי IoC קיימים מראש אינה משתנה. עם זאת, שמות המחוונים השתנה בהתאם לפעולות התגובה הנתמכות כעת:
- שמה של פעולת התגובה של ההתראה בלבד השתנה לביקורת כאשר הגדרת ההתראה שנוצרה זמינה.
- שם התגובה של ההתראה והחסימה השתנה כדי לחסום ולבצע תיקון בהגדרת ההתראה האופציונלית 'צור'.
סכימת ה- API של IoC ומפרטי האיום בהצוד מתקדם מתעדכנים כדי להתיישר עם שינוי השם של פעולות התגובה של IoC. השינויים בערכת ה- API חלים על כל סוגי IoC.
הערה
קיימת מגבלה של 15,000 מחוונים לכל דייר. הגדלות למגבלה זו אינן נתמכות.
מחווני קבצים ואישורים אינם חוסמים אי-הכללות שהוגדרו עבור Microsoft Defender אנטי-וירוס. מחוונים אינם נתמכים Microsoft Defender אנטי-וירוס כאשר הוא במצב פאסיבי.
התבנית לייבוא מחוונים חדשים (IoCs) השתנתה בהתאם להגדרות החדשות של הפעולות המעודכנת וההתראות. אנו ממליצים להוריד את תבנית ה- CSV החדשה שניתן למצוא בחלק התחתון של לוח הייבוא.
אם מחוונים מסונכרנים לפורטל Microsoft Defender מ- יישומי ענן של Microsoft Defender עבור יישומים משויכים או לא קיימים, Generate Alert האפשרות זמינה כברירת מחדל בפורטל Microsoft Defender. אם אתה מנסה לנקות את האפשרות Generate Alert עבור Defender עבור נקודת קצה, היא מופעלת מחדש לאחר זמן מה מכיוון שהמדיניות יישומי ענן של Defender עוקפת אותה.
בעיות ומגבלות ידועות
אין אפשרות לחסום אפליקציות של Microsoft Store Microsoft Defender מכיוון שהן חתומות על-ידי Microsoft.
לקוחות עשויים להיתקל בבעיות עם התראות עבור IoCs. התרחישים הבאים הם מצבים שבהם התראות אינן נוצרות או נוצרות עם מידע לא מדויק. כל בעיה נחקרת על-ידי צוות ההנדסה שלנו.
- מחווני בלוק: התראות כלליות עם חומרת מידע נוצרות בלבד. התראות מותאמות אישית (לדוגמה, כותרת וחומרה מותאמות אישית) אינן מופעלות במקרים אלה.
- הזהר מחוונים: התראות כלליות והתראות מותאמות אישית אפשריות בתרחיש זה; עם זאת, התוצאות אינן דטרמיניסטיות עקב בעיה עם לוגיקת זיהוי ההתראות. במקרים מסוימים, לקוחות עשויים לראות התראה כללית, בעוד שהתראה מותאמת אישית עשויה להופיע במקרים אחרים.
- אפשר: לא נוצרות התראות (באמצעות עיצוב).
- ביקורת: התראות נוצרות בהתבסס על החומרה שסופקה על-ידי הלקוח (בתכנון).
- במקרים מסוימים, התראות שמגיעות מזיהוי EDR עשויות לקבל קדימות על פני התראות הנובעות מבלוקי אנטי-וירוס, במקרה זה נוצרת התראת מידע.
מאמרים קשורים
- פריטים שאינם נכללים Microsoft Defender עבור נקודת קצה אנטי Microsoft Defender וירוסים
- יצירת IoC הקשרי
- השתמש ב- API Microsoft Defender עבור נקודת קצה מחווני ה- API
- השתמש בפתרונות משולבים של שותפים
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.