יצירת מחוונים עבור קבצים

חל על:

• Microsoft Defender XDR
• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender for Business

עצה

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

מנע הפצה נוספת של התקפה בארגון שלך על-ידי חסימת קבצים שעלולים להיות זדוניים או תוכנות זדוניות חשודות. אם אתה יודע קובץ הפעלה נייד (PE) שעשוי להיות זדוני, באפשרותך לחסום אותו. פעולה זו תמנע את הקריאה, ההכתבה או ההפעלה שלו במכשירים בארגון שלך.

קיימות שלוש דרכים ליצירת מחוונים עבור קבצים:

• על-ידי יצירת מחוון דרך דף ההגדרות
• על-ידי יצירת מחוון הקשרי באמצעות לחצן 'הוסף מחוון' מתוך דף פרטי הקובץ
• על-ידי יצירת מחוון באמצעות ה- API של המחוון

הערה

כדי שתכונה זו ת לפעול ב- Windows Server 2016 וב- Windows Server 2012 R2, מכשירים אלה חייבים להיות מחוברים באמצעות ההוראות המופיעות בשרתי Windows הצירוף. מחווני קובץ מותאמים אישית עם הפעולות 'אפשר', 'חסום' ו'תיקון' זמינים כעת גם ביכולות המשופרות של מנוע למניעת תוכנות זדוניות עבור macOS ו- Linux.

לפני שתתחיל

הבן את הדרישות המוקדמות הבאות לפני שתיצור מחוונים עבור קבצים:

• תכונה זו זמינה אם הארגון שלך משתמש באנטי Microsoft Defender אנטי-וירוס (במצב פעיל)

• ניטור אופן פעולה זמין

• הגנה מבוססת ענן מופעלת.

• קישוריות הרשת להגנה על הענן מתפקדת

• גירסת הלקוח נגד תוכנות זדוניות חייבת להיות מתקדמת 4.18.1901.x יותר. ראה גירסאות חודשיות של פלטפורמה ומנוע

• תכונה זו נתמכת במכשירים שבהם פועל Windows 10, גירסה 1703 ואילך, Windows 11, Windows Server 2012 R2, Windows Server 2016 ואילך, Windows Server 2019 או Windows Server 2022.

• ב Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\- , יש להגדיר את תכונת חישוב ה- Hash של הקובץ כזמינה

• כדי להתחיל לחסום קבצים, הפעל את התכונה 'חסום או אפשר' בהגדרות (בפורטל Microsoft Defender,>>>> עבור אל הגדרות נקודות קצה תכונות מתקדמות כלליות אפשר אוחסום קובץ).

תכונה זו נועדה למנוע הורדה של תוכנות זדוניות חשודות (או קבצים שעלולים להיות זדוניים) מהאינטרנט. הוא תומך כעת בקבצים ניתנים להפעלה ניידים (PE), כולל .exe וקבצים .dll . הכיסוי הוא לאורך זמן.

חשוב

ב- Defender for Endpoint תוכנית 1 וב- Defender for Business, באפשרותך ליצור מחוון כדי לחסום או לאפשר קובץ. ב- Defender for Business, המחוון מוחל על הסביבה שלך ולא ניתן להגדיר טווח למכשירים ספציפיים.

Create מחוון עבור קבצים בדף ההגדרות

1. בחלונית הניווט, בחר הגדרות מחווני>נקודות קצה> (תחת כללים).

2. בחר את הכרטיסיה Hashs של קבצים.

3. בחר הוסף פריט.

4. ציין את הפרטים הבאים:

   • מחוון: ציין את פרטי הישות והגדיר את תפוגת המחוון.
   • פעולה: ציין את הפעולה שיש לבצע וספק תיאור.
   • טווח: הגדרת הטווח של קבוצת המכשירים (הגדרת הטווח אינה זמינה ב- Defender for Business).

   הערה

   יצירת קבוצת מכשירים נתמכת הן בתוכנית Defender for Endpoint 1 והן בתוכנית 2

5. סקור את הפרטים בכרטיסיה סיכום ולאחר מכן בחר שמור.

Create מחוון הקשרי מתוך דף פרטי הקובץ

אחת מהאפשרויות בעת נקיטת פעולות תגובה בקובץ מוסיפה מחוון עבור הקובץ. בעת הוספת קוד Hash של מחוון עבור קובץ, באפשרותך לבחור להעלות התראה ולחסימת הקובץ בכל פעם שמכשיר בארגון שלך מנסה להפעיל אותו.

קבצים שנחסמו אוטומטית על-ידי מחוון לא יופיעו במרכז הפעולות של הקובץ, אך ההתראות עדיין יהיו גלויות בתור התראות.

התראה לגבי פעולות חסימת קבצים (תצוגה מקדימה)

חשוב

מידע בסעיף זה (Public Preview עבור מנגנון חקירה ותיקון אוטומטי) מתייחס למוצר קדם-הפצה אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

הפעולות הנתמכות הנוכחיות עבור IOC של קבצים מאפשרות, מבקרות וחסוםות ומבצעות תיקון. לאחר שתבחר לחסום קובץ, תוכל לבחור אם יש צורך בהפעלת התראה. באופן זה, תוכל לשלוט במספר ההתראות הנכנסות לצוותי פעולות האבטחה שלך ולהוודא שרק ההתראות הנדרשות מורמות.

בתיבת Microsoft Defender XDR, עבור אל מחווני>נקודות קצה של הגדרות>הוספת>קוד Hash של קובץ חדש.

בחר לחסום ולבצע תיקון של הקובץ.

בחר אם ליצור התראה באירוע חסימת הקובץ ולהגדיר את הגדרות ההתראות:

• כותרת ההתראה
• חומרת ההתראה
• קטגוריה
• תיאור
• פעולות מומלצות

חשוב

• בדרך כלל, בלוקי קבצים נאכפים ווסרים תוך כמה דקות, אך הם יכולים להימשך יותר מ- 30 דקות.
• אם קיימים פריטי מדיניות IoC מתנגשים של קבצים עם אותו סוג אכיפה ויעד, המדיניות של קוד ה- Hash המאובטח יותר תחול. מדיניות IoC של קוד Hash של קובץ SHA-256 תנצח על מדיניות Hash של קובץ SHA-1 IoC, שתנצח על מדיניות Hash של קובץ MD5 IoC אם סוגי ה- Hash מגדירים את אותו קובץ. הדבר נכון תמיד, ללא קשר לקבוצת המכשירים.
• בכל המקרים האחרים, אם מדיניות IoC מתנגשת של קובץ עם אותה יעד אכיפה חלה על כל המכשירים ועל קבוצת המכשירים, ולאחר מכן עבור מכשיר, המדיניות בקבוצת המכשירים תנצח.
• אם המדיניות הקבוצתית EnableFileHashComputation אינה זמינה, דיוק החסימה של הקובץ IoC מוקטן. עם זאת, הפעלת עשויה EnableFileHashComputation להשפיע על ביצועי המכשיר. לדוגמה, העתקת קבצים גדולים משיתוף רשת למכשיר המקומי שלך, במיוחד באמצעות חיבור VPN, עשויה להשפיע על ביצועי המכשיר.

לקבלת מידע נוסף אודות המדיניות הקבוצתית EnableFileHashComputation, ראה CSP Defender.

לקבלת מידע נוסף אודות קביעת התצורה של תכונה זו ב- Defender for Endpoint ב- Linux וב- macOS, ראה קביעת תצורה של תכונת חישוב Hash של קבצים ב- Linux והגדרת תכונת חישוב Hash של קבצים ב - macOS.

יכולות ציד מתקדמות (תצוגה מקדימה)

חשוב

מידע בסעיף זה (Public Preview עבור מנגנון חקירה ותיקון אוטומטי) מתייחס למוצר קדם-הפצה אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

בשלב זה בתצוגה מקדימה, באפשרותך לבצע שאילתה בפעילות של פעולת התגובה לציד מראש. להלן שאילתת ציד התקדמות לדוגמה:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

לקבלת מידע נוסף אודות ציד מתקדם, ראה ציד יזום אחר איומים עם ציד מתקדם.

להלן שמות שרשור אחרים שניתן להשתמש בהם בשאילתה לדוגמה לעיל:

קבצים:

• EUS:Win32/CustomEnterpriseBlock!cl
• EUS:Win32/CustomEnterpriseNoAlertBlock!cl

אישורים:

• EUS:Win32/CustomCertEnterpriseBlock!cl

ניתן גם להציג את פעילות פעולת התגובה בציר הזמן של המכשיר.

טיפול בהתנגשויות מדיניות

אישור וטיפול בהתנגשויות מדיניות IoC של אישור וקובץ פועלים לפי הסדר הבא:

1. אם הקובץ אינו מותר על-ידי מדיניות מצב Windows Defender Application Control ו- AppLocker, לחץ על חסום.
2. אחרת, אם הקובץ מותר על-ידי הפריטים Microsoft Defender אנטי-וירוס, ולאחר מכן אפשר.
3. אחרת, אם הקובץ חסום או מזהיר על-ידי חסימה או אזהרה של קבצי IoCs, חסום /הזהר.
4. אחרת, אם הקובץ חסום על-ידי SmartScreen, חסום.
5. אחרת, אם הקובץ מותר על-ידי מדיניות Allow file IoC, לאחר מכן Allow.
6. אחרת, אם הקובץ נחסם על-ידי כללי הפחתת פני השטח של ההתקפה, גישה מבוקרת לתיקיה או הגנת אנטי-וירוס, אז חסום.
7. Else, Allow (Windows Defender Application Control & AppLocker policy, no IoC rules apply to it).

הערה

במצבים שבהם האנטי Microsoft Defender אנטי-וירוס מוגדר לחסימה, אך מחווני Defender for Endpoint עבור קוד Hash של קובץ או אישורים מוגדרים לאפשר, ברירת המחדל של המדיניות היא אפשר.

אם קיימים פריטי מדיניות IoC מתנגשים של קבצים עם אותו סוג אכיפה ואותו יעד, המדיניות של קוד ה- Hash המאובטח יותר (כלומר ארוך יותר) מוחלת. לדוגמה, מדיניות HASH של IoC של קובץ SHA-256 מקבלת קדימות על-פני מדיניות IoC של קוד Hash של קובץ MD5 אם שני סוגי ה- Hash מגדירים את אותו קובץ.

אזהרה

טיפול בהתנגשות מדיניות עבור קבצים וכרטיסים שונה מטיפול בהתנגשויות מדיניות עבור תחומים/כתובות URL/כתובות IP.

ניהול פגיעויות של Microsoft Defender החסימה של אפליקציות פגיעות משתמשות ב- IoCs של הקובץ לצורך אכיפה ועוקבת אחר סדר הטיפול בהתנגשויות המתואר לעיל בסעיף זה.

דוגמאות

רכיב	אכיפת רכיבים	פעולת מחוון קובץ	Result
אי הכללה של נתיב הפחתת פני השטח של ההתקפה	אפשר	חסום	חסום
כלל הפחתת פני השטח של ההתקפה	חסום	אפשר	אפשר
Windows Defender יישום	אפשר	חסום	אפשר
Windows Defender יישום	חסום	אפשר	חסום
Microsoft Defender אנטי-וירוס לא נכללת	אפשר	חסום	אפשר

למידע נוסף

• יצירת מחוונים

• צור מחוונים עבור כתובות IP וכתובות URL/תחומים

• Create מחוונים המבוססים על אישורים

• נהל מחוונים

• פריטים שאינם נכללים Microsoft Defender עבור נקודת קצה אנטי Microsoft Defender וירוסים

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.