Jelzők létrehozása fájlokhoz

  • Cikk

Érintett szolgáltatás:

Tipp

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Megakadályozhatja a szervezeten belüli támadások további terjesztését, ha letiltja a potenciálisan rosszindulatú fájlokat vagy a gyanús kártevőket. Ha tud egy potenciálisan rosszindulatú végrehajtható fájlról (PE), letilthatja azt. Ez a művelet megakadályozza az olvasást, az írást és a végrehajtást a szervezet eszközein.

A fájlokhoz háromféleképpen hozhat létre mutatókat:

  • Mutató létrehozásával a beállítások lapon
  • Környezetfüggő jelölő létrehozásával a fájl részleteit tartalmazó lapon található Mutató hozzáadása gombbal
  • Mutató létrehozása a Indicator API-val

Megjegyzés:

Ahhoz, hogy ez a funkció Windows Server 2016 és Windows Server 2012 R2-n működjön, ezeket az eszközöket a Windows-kiszolgálók előkészítése című cikkben található utasítások szerint kell elvégezni. Az Allow, Block és Remediate műveletekkel rendelkező egyéni fájljelölők mostantól a macOS és Linux rendszerhez készült továbbfejlesztett kártevőirtó motor képességeiben is elérhetők.

Az első lépések

A következő előfeltételek megismerése a fájlok mutatóinak létrehozása előtt:

Ez a funkció megakadályozza, hogy a gyanús kártevők (vagy potenciálisan rosszindulatú fájlok) letöltődjenek az internetről. Jelenleg a hordozható végrehajtható (PE) fájlokat támogatja, beleértve a .exe és .dll a fájlokat is. A lefedettség idővel meghosszabbodik.

Fontos

A Végponthoz készült Defender 1. csomagjában és a Defender Vállalati verzióban létrehozhat egy jelzőt a fájlok letiltásához vagy engedélyezéséhez. A Defender Vállalati verzióban a mutató a teljes környezetben érvényesül, és nem alkalmazható adott eszközökre.

Mutató létrehozása fájlokhoz a beállítások lapon

  1. A navigációs panelen válassza a Beállítások>Végpontok mutatói> elemet (a Szabályok területen).

  2. Válassza a Fájlkivonatok lapot.

  3. Válassza az Elem hozzáadása lehetőséget.

  4. Adja meg a következő adatokat:

    • Mutató: Adja meg az entitás részleteit, és határozza meg a mutató lejáratát.
    • Művelet: Adja meg a végrehajtandó műveletet, és adjon meg egy leírást.
    • Hatókör: Határozza meg az eszközcsoport hatókörét (a hatókörkezelés nem érhető el a Defender Vállalati verzióban).

    Megjegyzés:

    Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában is támogatott

  5. Tekintse át a részleteket az Összefoglalás lapon, majd válassza a Mentés lehetőséget.

Környezetfüggő mutató létrehozása a fájl részleteinek oldaláról

A fájl válaszműveleteinek egyik lehetősége a fájl jelölőjének hozzáadása. Amikor egy fájlhoz mutató kivonatot ad hozzá, riasztást állíthat be, és letilthatja a fájlt, amikor a szervezet egy eszköze megpróbálja futtatni.

A jelző által automatikusan blokkolt fájlok nem jelennek meg a fájl Műveletközpontjában, de a riasztások továbbra is megjelennek a Riasztások várólistán.

Riasztás a fájlblokkoló műveletekről (előzetes verzió)

Fontos

Az ebben a szakaszban található információk (az automatizált vizsgálat és szervizelési motor nyilvános előzetes verziója) olyan előzetes termékre vonatkoznak, amely a kereskedelmi forgalomba kerülése előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

A fájl IOC-jének jelenlegi támogatott műveletei az engedélyezés, a naplózás és a letiltás, valamint a szervizelés. Miután letiltott egy fájlt, megadhatja, hogy szükség van-e riasztás aktiválására. Ily módon szabályozhatja a biztonsági műveleti csapatokhoz érkező riasztások számát, és meggyőződhet arról, hogy csak a szükséges riasztások jelennek meg.

A Microsoft Defender XDR lépjen a Beállítások>Végpontok mutatói>>Új fájlkivonat hozzáadása elemre.

Válassza a Fájl blokkolása és szervizelése lehetőséget.

Adja meg, hogy szeretne-e riasztást generálni a fájlblokk eseményhez, és adja meg a riasztási beállításokat:

  • A riasztás címe
  • A riasztás súlyossága
  • Kategória
  • Leírás
  • Javasolt műveletek

A fájljelölők riasztási beállításai

Fontos

  • A fájlblokkok kényszerítése és eltávolítása általában néhány percen belül megtörténik, de akár 30 percet is igénybe vehet.
  • Ha a fájl IoC-szabályzatai azonos kényszerítési típussal és céllal ütköznek, a rendszer a biztonságosabb kivonat szabályzatát alkalmazza. Az SHA-256 fájlkivonat IoC-szabályzata egy SHA-1 fájlkivonat IoC-szabályzatot nyer, amely egy MD5 fájlkivonat IoC-szabályzatot nyer, ha a kivonattípusok ugyanazt a fájlt határozzák meg. Ez az eszközcsoporttól függetlenül mindig igaz.
  • Minden más esetben, ha az azonos kényszerítési céllal ütköző fájl IoC-házirendeket alkalmazza a rendszer az összes eszközre és az eszközcsoportra, akkor egy eszköz esetében az eszközcsoportban lévő szabályzat fog nyerni.
  • Ha az EnableFileHashComputation csoportházirend le van tiltva, a fájl IoC blokkolási pontossága csökken. Az engedélyezés EnableFileHashComputation azonban hatással lehet az eszköz teljesítményére. Ha például nagy méretű fájlokat másol egy hálózati megosztásból a helyi eszközére, különösen VPN-kapcsolaton keresztül, az hatással lehet az eszköz teljesítményére.

További információ az EnableFileHashComputation csoportházirendről: Defender CSP.

A szolgáltatás Végponthoz készült Defender linuxos és macOS rendszeren történő konfigurálásáról további információt a Fájlkivonat-számítási funkció konfigurálása Linuxon és a Fájlkivonatszámítási funkció konfigurálása macOS rendszeren című témakörben talál.

Speciális veszélyforrás-keresési képességek (előzetes verzió)

Fontos

Az ebben a szakaszban található információk (az automatizált vizsgálat és szervizelési motor nyilvános előzetes verziója) olyan előzetes termékre vonatkoznak, amely a kereskedelmi forgalomba kerülése előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Jelenleg előzetes verzióban lekérdezheti a válaszműveleti tevékenységet a veszélyforrás-keresés előtt. Az alábbiakban egy minta előzetes keresési lekérdezést talál:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

A speciális veszélyforrás-kereséssel kapcsolatos további információkért lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel.

Az alábbiakban a fenti mintalekérdezésben használható egyéb szálnevek találhatók:

Fájlokat:

  • EUS:Win32/CustomEnterpriseBlock!cl
  • EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Tanúsítványok:

  • EUS:Win32/CustomCertEnterpriseBlock!cl

A válaszműveleti tevékenység az eszköz idővonalán is megtekinthető.

Szabályzatütközések kezelése

A tanúsítvány- és fájl-IoC-házirendek kezelésének ütközései a következő sorrendet követik:

  1. Ha Windows Defender alkalmazásvezérlési és AppLocker-kényszerítő mód szabályzatai nem engedélyezik a fájlt, akkor tiltsa le.
  2. Máskülönben, ha a Microsoft Defender víruskereső kivételei engedélyezik a fájlt, akkor az Engedélyezés lehetőséget.
  3. Máskülönben, ha a fájlt blokkolta vagy figyelmeztette egy tiltó vagy figyelmeztetés fájl Ioks, akkor Block/Warn.
  4. Máskülönben, ha a SmartScreen blokkolja a fájlt, akkor a Blokkolás lehetőséget.
  5. Máskülönben, ha a fájlt egy engedélyezési fájl IoC-szabályzata engedélyezi, akkor az Engedélyezés lehetőséget.
  6. Ellenkező esetben, ha a fájlt támadásifelület-csökkentési szabályok, ellenőrzött mappahozzáférés vagy víruskereső-védelem blokkolja, akkor a Blokkolás lehetőséget.
  7. Máskülönben az Engedélyezés (megfelel Windows Defender Alkalmazásvezérlés & AppLocker-szabályzatnak, nem vonatkoznak rá IoC-szabályok).

Megjegyzés:

Azokban az esetekben, amikor Microsoft Defender víruskereső Blokkolás értékre van állítva, de a végponthoz készült Defender fájlkivonatok vagy tanúsítványok jelzői Engedélyezés értékre vannak állítva, a szabályzat alapértelmezés szerint Engedélyezés értékre van állítva.

Ha az azonos kényszerítési típussal és céllal ütköző fájl IoC-szabályzatok vannak, a rendszer a biztonságosabb (azaz hosszabb) kivonat szabályzatát alkalmazza. Az SHA-256 fájlkivonat IoC-szabályzata például elsőbbséget élvez az MD5 fájlkivonat IoC-szabályzatával szemben, ha mindkét kivonattípus ugyanazt a fájlt definiálja.

Figyelmeztetés

A fájlok és tanúsítványok szabályzatütközés-kezelése eltér a tartományok/URL-címek/IP-címek szabályzatütközés-kezelésétől.

Microsoft Defender biztonságirés-kezelés blokkérzékeny alkalmazásfunkciói a fájl IoC-jét használják a kényszerítéshez, és a jelen szakaszban korábban ismertetett ütközéskezelési sorrendet követik.

Példák

Összetevő Összetevő kényszerítése Fájljelző művelet Result (Eredmény)
Támadásifelület-csökkentési fájl elérési útjának kizárása Engedélyezés Letiltás Letiltás
Támadásifelület-csökkentési szabály Letiltás Engedélyezés Engedélyezés
Windows Defender alkalmazásvezérlés Engedélyezés Letiltás Engedélyezés
Windows Defender alkalmazásvezérlés Letiltás Engedélyezés Letiltás
Microsoft Defender víruskereső kizárása Engedélyezés Letiltás Engedélyezés

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.