Megosztás a következőn keresztül:

Jelzők létrehozása fájlokhoz

  • Cikk

Érintett szolgáltatás:

Tipp

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Fontos

A Végponthoz készült Defender 1. csomagjában és Defender Vállalati verzió létrehozhat egy mutatót a fájlok letiltásához vagy engedélyezéséhez. A Defender Vállalati verzió a mutatót a teljes környezetben alkalmazza, és nem lehet hatókört alkalmazni adott eszközökre.

Megjegyzés:

Ahhoz, hogy ez a funkció Windows Server 2016 és Windows Server 2012 R2-n működjön, ezeket az eszközöket a Windows-kiszolgálók előkészítése című cikkben található utasítások szerint kell elvégezni. Az Allow, Block és Remediate műveletekkel rendelkező egyéni fájljelölők mostantól a macOS és Linux rendszerhez készült továbbfejlesztett kártevőirtó motor képességeiben is elérhetők.

A fájljelzők megakadályozzák a szervezeten belüli támadások további propagálását a potenciálisan rosszindulatú fájlok vagy gyanús kártevők tiltásával. Ha tud egy potenciálisan rosszindulatú végrehajtható fájlról (PE), letilthatja azt. Ez a művelet megakadályozza az olvasást, az írást és a végrehajtást a szervezet eszközein.

A fájlokhoz háromféleképpen hozhat létre mutatókat:

  • Mutató létrehozásával a beállítások lapon
  • Környezetfüggő jelölő létrehozásával a fájl részleteit tartalmazó lapon található Mutató hozzáadása gombbal
  • Mutató létrehozása a Indicator API-val

Az első lépések

A következő előfeltételek megismerése a fájlok mutatóinak létrehozása előtt:

A Windows előfeltételei

  • Ez a funkció akkor érhető el, ha szervezete Microsoft Defender víruskeresőt használ (aktív módban)

  • A Kártevőirtó ügyfélverziónak vagy újabb verziónak kell lennie 4.18.1901.x . Lásd: Havi platform- és motorverziók

  • Ez a funkció Windows 10, 1703-es vagy újabb, Windows 11, Windows Server 2012 R2, Windows Server 2016 vagy újabb, Windows Server 2019 vagy Windows Server 2022 rendszerű eszközökön támogatott.

  • A fájlkivonat-számítás engedélyezve van az Engedélyezve beállítással Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\

Megjegyzés:

A fájljelölők támogatják a hordozható végrehajtható (PE) fájlokat, beleértve a .exe és .dll a fájlokat is.

macOS-előfeltételek

linuxos előfeltételek

Mutató létrehozása fájlokhoz a beállítások lapon

  1. A navigációs panelen válassza a Beállítások>Végpontok mutatói> elemet (a Szabályok területen).

  2. Válassza a Fájlkivonatok lapot.

  3. Válassza az Elem hozzáadása lehetőséget.

  4. Adja meg a következő adatokat:

    • Mutató: Adja meg az entitás részleteit, és határozza meg a mutató lejáratát.
    • Művelet: Adja meg a végrehajtandó műveletet, és adjon meg egy leírást.
    • Hatókör: Határozza meg az eszközcsoport hatókörét (a hatókör nem érhető el Defender Vállalati verzió).

    Megjegyzés:

    Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában is támogatott

  5. Tekintse át a részleteket az Összefoglalás lapon, majd válassza a Mentés lehetőséget.

Környezetfüggő mutató létrehozása a fájl részleteinek oldaláról

A fájl válaszműveleteinek egyik lehetősége a fájl jelölőjének hozzáadása. Amikor egy fájlhoz mutató kivonatot ad hozzá, riasztást állíthat be, és letilthatja a fájlt, amikor a szervezet egy eszköze megpróbálja futtatni.

A jelző által automatikusan blokkolt fájlok nem jelennek meg a fájl Műveletközpontjában, de a riasztások továbbra is megjelennek a Riasztások várólistán.

Riasztás a fájlblokkoló műveletekről (előzetes verzió)

Fontos

Az ebben a szakaszban található információk (az automatizált vizsgálat és szervizelési motor nyilvános előzetes verziója) olyan előzetes termékre vonatkoznak, amely a kereskedelmi forgalomba kerülése előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

A fájl IOC-jének jelenlegi támogatott műveletei az engedélyezés, a naplózás és a letiltás, valamint a szervizelés. Miután letiltott egy fájlt, megadhatja, hogy szükség van-e riasztás aktiválására. Ily módon szabályozhatja a biztonsági műveleti csapatokhoz érkező riasztások számát, és meggyőződhet arról, hogy csak a szükséges riasztások jelennek meg.

  1. A Microsoft Defender portálon lépjen a Beállítások>Végpontok mutatói>>Új fájlkivonat hozzáadása elemre.

  2. Tiltsa le és javítsa ki a fájlt.

  3. Adja meg, hogy szeretne-e riasztást generálni a fájlblokkoló eseményen, és adja meg a riasztási beállításokat:

    • A riasztás címe
    • A riasztás súlyossága
    • Kategória
    • Leírás
    • Javasolt műveletek

    A fájljelölők riasztási beállításai

    Fontos

    • A fájlblokkok kényszerítése és eltávolítása általában 15 percen belül megtörténik, átlagosan 30 perc, de akár 2 órát is igénybe vehet.
    • Ha a fájl IoC-szabályzatai azonos kényszerítési típussal és céllal ütköznek, a rendszer a biztonságosabb kivonat szabályzatát alkalmazza. Az SHA-256 fájlkivonat IoC-szabályzata egy SHA-1 fájlkivonat IoC-szabályzatot nyer, amely egy MD5 fájlkivonat IoC-szabályzatot nyer, ha a kivonattípusok ugyanazt a fájlt határozzák meg. Ez az eszközcsoporttól függetlenül mindig igaz.
    • Minden más esetben, ha az azonos kényszerítési céllal ütköző fájl IoC-házirendeket alkalmazza a rendszer az összes eszközre és az eszközcsoportra, akkor egy eszköz esetében az eszközcsoportban lévő szabályzat fog nyerni.
    • Ha az EnableFileHashComputation csoportházirend le van tiltva, a fájl IoC blokkolási pontossága csökken. Az engedélyezés EnableFileHashComputation azonban hatással lehet az eszköz teljesítményére. Ha például nagy méretű fájlokat másol egy hálózati megosztásból a helyi eszközére, különösen VPN-kapcsolaton keresztül, az hatással lehet az eszköz teljesítményére. További információ az EnableFileHashComputation csoportházirendről: Defender CSP. A szolgáltatás Végponthoz készült Defender linuxos és macOS rendszeren történő konfigurálásáról további információt a Fájlkivonat-számítási funkció konfigurálása Linuxon és a Fájlkivonatszámítási funkció konfigurálása macOS rendszeren című témakörben talál.

Speciális veszélyforrás-keresési képességek (előzetes verzió)

Fontos

Az ebben a szakaszban található információk (az automatizált vizsgálat és szervizelési motor nyilvános előzetes verziója) olyan előzetes termékre vonatkoznak, amely a kereskedelmi forgalomba kerülése előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Jelenleg előzetes verzióban lekérdezheti a válaszműveleti tevékenységet a veszélyforrás-keresés előtt. Az alábbiakban egy minta előzetes keresési lekérdezést talál:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

A speciális veszélyforrás-kereséssel kapcsolatos további információkért lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel.

Az alábbiakban a fenti mintalekérdezésben használható egyéb szálnevek találhatók:

Fájlokat:

  • EUS:Win32/CustomEnterpriseBlock!cl
  • EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Tanúsítványok:

  • EUS:Win32/CustomCertEnterpriseBlock!cl

A válaszműveleti tevékenység az eszköz idővonalán is megtekinthető.

Szabályzatütközések kezelése

A tanúsítvány- és fájl-IoC-házirendek kezelésének ütközései a következő sorrendet követik:

  1. Ha a Windows Defender alkalmazásvezérlése és az AppLocker kényszerítő módú szabályzatai nem engedélyezik a fájlt, akkor tiltsa le.

  2. Máskülönben, ha a Microsoft Defender víruskereső kivételei engedélyezik a fájlt, akkor az Engedélyezés lehetőséget.

  3. Máskülönben, ha a fájlt blokkolta vagy figyelmeztette egy tiltó vagy figyelmeztetés fájl Ioks, akkor Block/Warn.

  4. Máskülönben, ha a SmartScreen blokkolja a fájlt, akkor a Blokkolás lehetőséget.

  5. Máskülönben, ha a fájlt egy engedélyezési fájl IoC-szabályzata engedélyezi, akkor az Engedélyezés lehetőséget.

  6. Ellenkező esetben, ha a fájlt támadásifelület-csökkentési szabályok, ellenőrzött mappahozzáférés vagy víruskereső-védelem blokkolja, akkor a Blokkolás lehetőséget.

  7. Máskülönben az Engedélyezés (megfelel a Windows Defender alkalmazásvezérlési & AppLocker-szabályzatnak, nem vonatkoznak rá IoC-szabályok).

Megjegyzés:

Azokban az esetekben, amikor Microsoft Defender víruskereső Blokkolás értékre van állítva, de a végponthoz készült Defender fájlkivonatok vagy tanúsítványok jelzői Engedélyezés értékre vannak állítva, a szabályzat alapértelmezés szerint Engedélyezés értékre van állítva.

Ha az azonos kényszerítési típussal és céllal ütköző fájl IoC-szabályzatok vannak, a rendszer a biztonságosabb (azaz hosszabb) kivonat szabályzatát alkalmazza. Az SHA-256 fájlkivonat IoC-szabályzata például elsőbbséget élvez az MD5 fájlkivonat IoC-szabályzatával szemben, ha mindkét kivonattípus ugyanazt a fájlt definiálja.

Figyelmeztetés

A fájlok és tanúsítványok szabályzatütközés-kezelése eltér a tartományok/URL-címek/IP-címek szabályzatütközés-kezelésétől.

Microsoft Defender biztonságirés-kezelés blokkérzékeny alkalmazásfunkciói a fájl IoC-jét használják a kényszerítéshez, és a jelen szakaszban korábban ismertetett ütközéskezelési sorrendet követik.

Példák

Összetevő Összetevő kényszerítése Fájljelző művelet Result (Eredmény)
Támadásifelület-csökkentési fájl elérési útjának kizárása Engedélyezés Letiltás Letiltás
Támadásifelület-csökkentési szabály Letiltás Engedélyezés Engedélyezés
Windows Defender alkalmazásvezérlő Engedélyezés Letiltás Engedélyezés
Windows Defender alkalmazásvezérlő Letiltás Engedélyezés Letiltás
Microsoft Defender víruskereső kizárása Engedélyezés Letiltás Engedélyezés

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.