Megosztás a következőn keresztül:

Jelzők létrehozása

  • Cikk

Érintett szolgáltatás:

Tipp

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

A biztonsági rések mutatója (IoC) áttekintése

A biztonsági rés jelzése (IoC) a hálózaton vagy gazdagépen megfigyelt törvényszéki összetevő. Az IoC nagy megbízhatósággal jelzi, hogy számítógép vagy hálózati behatolás történt. Az IoC-k megfigyelhetők, amelyek közvetlenül mérhető eseményekhez kapcsolják őket. Néhány IoC-példa:

  • ismert kártevők kivonatai
  • rosszindulatú hálózati forgalom aláírásai
  • Ismert kártevő-terjesztők url-címei vagy tartományai

Az egyéb biztonsági rések megállítása vagy az ismert IoC-k megsértésének megelőzése érdekében a sikeres IoC-eszközöknek képesnek kell lenniük az eszköz szabálykészlete által enumerált összes rosszindulatú adat észlelésére. Az IoC-egyeztetés minden végpontvédelmi megoldás alapvető funkciója. Ez a képesség lehetővé teszi a SecOps számára, hogy beállítsa az észlelés és a blokkolás (megelőzés és reagálás) mutatóinak listáját.

A szervezetek olyan mutatókat hozhatnak létre, amelyek meghatározzák az IoC-entitások észlelését, megelőzését és kizárását. Megadhatja a végrehajtandó műveletet, valamint a művelet alkalmazásának időtartamát, valamint annak az eszközcsoportnak a hatókörét, amelyre alkalmazni szeretné.

Ez a videó a mutatók létrehozásának és hozzáadásának bemutatóját mutatja be:

A Microsoft mutatóinak ismertetése

Általános szabályként csak az ismert hibás IOC-k, illetve a szervezeten belül explicit módon engedélyezett fájlok/webhelyek mutatóit kell létrehoznia. A Végponthoz készült Defender által alapértelmezés szerint letiltható webhelyek típusairól a Microsoft Defender SmartScreen áttekintésében olvashat bővebben.

A Hamis pozitív (FP) a SmartScreen hamis pozitívra utal, amely kártevőnek vagy adathalásznak minősül, de valójában nem fenyegetés, ezért engedélyezési szabályzatot szeretne létrehozni hozzá.

A Microsoft biztonsági intelligenciájának fejlesztéséhez is hozzájárulhat, ha hamis pozitív adatokat, valamint gyanús vagy ismert rossz IoC-ket küld elemzésre. Ha egy fájl vagy alkalmazás figyelmeztetése vagy blokkolása helytelenül jelenik meg, vagy ha azt gyanítja, hogy egy ismeretlen fájl kártevő, elküldhet egy fájlt a Microsoftnak véleményezésre. További információ: Fájlok elküldése elemzésre.

IP-/URL-jelzők

Az IP-/URL-jelzőkkel feloldhatja a felhasználók letiltását a SmartScreen hamis pozitív (FP) vagy a webes tartalomszűrési (WFC) blokkok felülbírálásához.

A webhely-hozzáférés kezeléséhez URL- és IP-jelzőket használhat. Létrehozhat köztes IP- és URL-jelzőket, amelyek ideiglenesen feloldják a felhasználók letiltását egy SmartScreen-blokkból. Előfordulhat, hogy a webes tartalomszűrési blokkok szelektív megkerüléséhez hosszú ideig megtartott mutatók is megjelennek.

Vegyük azt az esetet, amikor egy megfelelő webhely webes tartalomszűrési kategorizálása van. Ebben a példában a webes tartalomszűrés az összes közösségi média letiltására van beállítva, ami megfelel az általános szervezeti céloknak. A marketingcsapatnak azonban valóban szüksége van arra, hogy egy adott közösségi oldalt használjon hirdetésekhez és közleményekhez. Ebben az esetben feloldhatja az adott közösségimédia-webhely letiltását a használni kívánt csoport (vagy csoportok) IP- vagy URL-mutatóinak használatával.

Lásd: Webvédelem és webes tartalomszűrés

IP-/URL-mutatók: Hálózatvédelem és a TCP háromutas kézfogása

A hálózatvédelemmel a tcp/IP-en keresztüli háromirányú kézfogás befejezése után meg kell határozni, hogy engedélyezi vagy letiltja-e a hozzáférést egy helyhez. Így ha egy hely hálózati védelemmel van letiltva, a Microsoft Defender portálon egy művelettípus ConnectionSuccessNetworkConnectionEvents jelenhet meg, annak ellenére, hogy a hely le lett tiltva. NetworkConnectionEvents A jelentések a TCP-rétegből, nem pedig a hálózatvédelemből származnak. A háromutas kézfogás befejezése után a helyhez való hozzáférést engedélyezi vagy blokkolja a hálózatvédelem.

Íme egy példa ennek működésére:

  1. Tegyük fel, hogy egy felhasználó megpróbál hozzáférni egy webhelyhez az eszközén. A webhelyet véletlenül egy veszélyes tartomány üzemelteti, és a hálózatvédelemnek le kell tiltani.

  2. Megkezdődik a TCP/IP-en keresztüli háromirányú kézfogás. A művelet végrehajtása NetworkConnectionEvents előtt a rendszer naplózza a műveletet, és ActionType a következőképpen jelenik meg ConnectionSuccess: . Amint azonban a háromutas kézfogási folyamat befejeződik, a hálózatvédelem blokkolja a helyhez való hozzáférést. Mindez gyorsan megtörténik. Hasonló folyamat történik Microsoft Defender SmartScreen esetén; a háromutas kézfogás befejezi a meghatározást, és a webhelyhez való hozzáférés le van tiltva vagy engedélyezve van.

  3. A Microsoft Defender portálon egy riasztás szerepel a riasztások várólistáján. A riasztás részletei közé tartozik a és AlertEventsa isNetworkConnectionEvents. Láthatja, hogy a webhely le lett tiltva, annak ellenére, hogy rendelkezik a NetworkConnectionEvents ActionType ConnectionSuccesselemével is.

Fájlkivonat-jelzők

Bizonyos esetekben egy újonnan azonosított fájl IoC-jának új mutatójának létrehozása – azonnali leállási hézag mértékeként – megfelelő lehet a fájlok vagy akár az alkalmazások blokkolásához. Előfordulhat azonban, hogy egy alkalmazás blokkolására mutatókkal nem biztos, hogy a várt eredményt adják, mivel az alkalmazások általában számos különböző fájlból állnak. Az alkalmazások blokkolásának előnyben részesített módszerei a Windows Defender alkalmazásvezérlés (WDAC) vagy az AppLocker használata.

Mivel az alkalmazás minden verziója más fájlkivonattal rendelkezik, nem ajánlott mutatókat használni a kivonatok blokkolásához.

Windows Defender alkalmazásvezérlő (WDAC)

Tanúsítványjelzők

Bizonyos esetekben egy adott tanúsítvány, amely egy olyan fájl vagy alkalmazás aláírására szolgál, amelyet a szervezet engedélyez vagy letilt. A végponthoz készült Defenderben a tanúsítványjelzők támogatottak, ha a -t használják. CER vagy . PEM-fájlformátum. További részletekért lásd: Mutatók létrehozása tanúsítványok alapján .

IoC-észlelő motorok

Jelenleg az IoC-k támogatott Microsoft-forrásai a következők:

Felhőészlelési motor

A Végponthoz készült Defender felhőészlelési motorja rendszeresen megvizsgálja az összegyűjtött adatokat, és megpróbálja megfeleltetni a beállított mutatókat. Egyezés esetén a rendszer az IoC-hez megadott beállításoknak megfelelően hajtja végre a műveletet.

Végpontmegelőző motor

A megelőzési ügynök ugyanazt a mutatólistát veszi figyelembe. Ez azt jelenti, hogy ha Microsoft Defender Víruskereső az elsődleges víruskereső konfigurálva, a rendszer a beállításoknak megfelelően kezeli az egyeztetett mutatókat. Ha például a művelet "Riasztás és letiltás", Microsoft Defender víruskereső megakadályozza a fájlvégrehajtásokat (blokkolást és szervizelést), és megjelenik egy megfelelő riasztás. Ha azonban a művelet "Engedélyezés" értékre van állítva, Microsoft Defender víruskereső nem észleli vagy blokkolja a fájlt.

Automatizált vizsgálati és szervizelési motor

Az automatizált vizsgálat és szervizelés a végpontmegelőző motorhoz hasonlóan működik. Ha egy mutató "Engedélyezés" értékre van állítva, az automatizált vizsgálat és szervizelés figyelmen kívül hagyja a "rossz" ítéletet. Ha a "Letiltás" értékre van állítva, az automatizált vizsgálat és szervizelés "rosszként" kezeli azt.

A EnableFileHashComputation beállítás kiszámítja a tanúsítvány fájlkivonatát és az IoC-fájlt a fájlvizsgálatok során. Támogatja a kivonatok és tanúsítványok megbízható alkalmazásokhoz való IoC-kikényszerítését. Egyidejűleg engedélyezve van az engedélyezési vagy tiltó fájlbeállítással. EnableFileHashComputationCsoportházirend keresztül manuálisan engedélyezve van, és alapértelmezés szerint le van tiltva.

A mutatók kényszerítési típusai

Amikor a biztonsági csapat létrehoz egy új jelzőt (IoC), a következő műveletek érhetők el:

  • Engedélyezés – az IoC futtatható az eszközökön.
  • Naplózás – az IoC futtatásakor riasztás aktiválódik.
  • Figyelmeztetés – az IoC figyelmeztetést kér arról, hogy a felhasználó megkerülheti
  • Végrehajtás letiltása – az IoC nem futtatható.
  • Blokkolás és szervizelés – az IoC nem futhat, és a rendszer szervizelési műveletet alkalmaz az IoC-re.

Megjegyzés:

A Figyelmeztetés mód használata figyelmeztetést küld a felhasználóknak, ha kockázatos alkalmazást vagy webhelyet nyitnak meg. A kérdés nem akadályozza meg őket abban, hogy az alkalmazás vagy a webhely fusson, de megadhat egy egyéni üzenetet és egy vállalati lapra mutató hivatkozásokat, amelyek az alkalmazás megfelelő használatát írják le. A felhasználók továbbra is megkerülhetik a figyelmeztetést, és szükség esetén továbbra is használhatják az alkalmazást. További információ: A Végponthoz készült Microsoft Defender által felderített alkalmazások szabályozása.

Létrehozhat egy jelölőt a következőhöz:

Az alábbi táblázat pontosan mutatja, hogy mely műveletek érhetők el mutatótípusonként (IoC):

IoC-típus Elérhető műveletek
Fájlok Engedélyezés
Naplózás
Figyelmeztet
Végrehajtás letiltása
Blokkolás és szervizelés
IP-címek Engedélyezés
Naplózás
Figyelmeztet
Végrehajtás letiltása
URL-címek és tartományok Engedélyezés
Naplózás
Figyelmeztet
Végrehajtás letiltása
Tanúsítványok Engedélyezés
Blokkolás és szervizelés

A már meglévő IOC-k működése nem változik. A mutatókat azonban átnevezték az aktuálisan támogatott válaszműveleteknek megfelelően:

  • A "csak riasztás" válaszművelet "audit" névre lett átnevezve, és a létrehozott riasztási beállítás engedélyezve van.
  • A "riasztás és blokkolás" válasz neve "blokkolás és szervizelés" névre lett átnevezve a nem kötelező riasztás generálása beállítással.

Az IoC API-séma és a veszélyforrás-azonosítók előzetes kereséskor frissülnek, hogy igazodjanak az IoC-válaszműveletek átnevezéséhez. Az API-séma módosításai az összes IoC-típusra vonatkoznak.

Megjegyzés:

Bérlőnként legfeljebb 15 000 mutató lehet. A korlát növelése nem támogatott.

A fájl- és tanúsítványjelzők nem blokkolják az Microsoft Defender víruskeresőhöz definiált kizárásokat. A mutatók nem támogatottak a Microsoft Defender víruskeresőben, ha passzív módban van.

Az új mutatók (IOC-k) importálásának formátuma az új frissített műveletek és riasztások beállításainak megfelelően módosult. Javasoljuk, hogy töltse le az importálási panel alján található új CSV-formátumot.

Ismert problémák és korlátozások

Az ügyfelek problémákat tapasztalhatnak a biztonsági rések jelzésére vonatkozó riasztásokkal kapcsolatban. A következő forgatókönyvek olyan helyzetek, amikor a riasztások nem jönnek létre, vagy pontatlan információkkal jönnek létre. Az egyes problémákat mérnöki csapatunk vizsgálja.

  • Blokkjelzők – A csak tájékoztató súlyosságú általános riasztások aktiválódnak. Ezekben az esetekben az egyéni riasztások (azaz az egyéni cím és súlyosság) nem aktiválódnak.
  • Figyelmeztetésjelzők – Ebben a forgatókönyvben általános riasztások és egyéni riasztások is lehetségesek, az eredmények azonban nem determinisztikusak a riasztásészlelési logikával kapcsolatos probléma miatt. Bizonyos esetekben az ügyfelek általános riasztást láthatnak, míg más esetekben egyéni riasztások jelenhetnek meg.
  • Engedélyezés – A rendszer nem hoz létre riasztásokat (terv szerint).
  • Naplózás – A riasztások az ügyfél által megadott súlyosság alapján jönnek létre.
  • Bizonyos esetekben az EDR-észlelésekből származó riasztások elsőbbséget élveznek a víruskereső blokkokból származó riasztásokkal szemben, amely esetben információs riasztás jön létre.

A Microsoft Store-beli alkalmazásokat nem tilthatja le a Defender, mert a Microsoft írta alá őket.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.