Jelzők létrehozása

  • Cikk

Érintett szolgáltatás:

Tipp

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

A biztonsági rések mutatója (IoC) áttekintése

A biztonsági rés jelzése (IoC) a hálózaton vagy gazdagépen megfigyelt törvényszéki összetevő. Az IoC nagy megbízhatósággal jelzi, hogy számítógép vagy hálózati behatolás történt. Az IoC-k megfigyelhetők, amelyek közvetlenül mérhető eseményekhez kapcsolják őket. Néhány IoC-példa:

  • ismert kártevők kivonatai
  • rosszindulatú hálózati forgalom aláírásai
  • Ismert kártevő-terjesztők url-címei vagy tartományai

Az egyéb biztonsági rések megállítása vagy az ismert IoC-k megsértésének megelőzése érdekében a sikeres IoC-eszközöknek képesnek kell lenniük az eszköz szabálykészlete által enumerált összes rosszindulatú adat észlelésére. Az IoC-egyeztetés minden végpontvédelmi megoldás alapvető funkciója. Ez a képesség lehetővé teszi a SecOps számára, hogy beállítsa az észlelés és a blokkolás (megelőzés és reagálás) mutatóinak listáját.

A szervezetek olyan mutatókat hozhatnak létre, amelyek meghatározzák az IoC-entitások észlelését, megelőzését és kizárását. Megadhatja a végrehajtandó műveletet, valamint a művelet alkalmazásának időtartamát, valamint annak az eszközcsoportnak a hatókörét, amelyre alkalmazni szeretné.

Ez a videó a mutatók létrehozásának és hozzáadásának bemutatóját mutatja be:

A Microsoft mutatóinak ismertetése

Általános szabályként csak az ismert hibás IOC-k, illetve a szervezeten belül explicit módon engedélyezett fájlok/webhelyek mutatóit kell létrehoznia. A Végponthoz készült Defender által alapértelmezés szerint letiltható webhelyek típusairól a Microsoft Defender SmartScreen áttekintésében olvashat bővebben.

A Hamis pozitív (FP) a SmartScreen hamis pozitívra utal, amely kártevőnek vagy adathalásznak minősül, de valójában nem fenyegetés, ezért engedélyezési szabályzatot szeretne létrehozni hozzá.

A Microsoft biztonsági intelligenciájának fejlesztéséhez is hozzájárulhat, ha hamis pozitív adatokat, valamint gyanús vagy ismert rossz IoC-ket küld elemzésre. Ha egy fájl vagy alkalmazás figyelmeztetése vagy blokkolása helytelenül jelenik meg, vagy ha azt gyanítja, hogy egy ismeretlen fájl kártevő, elküldhet egy fájlt a Microsoftnak véleményezésre. További információ: Fájlok elküldése elemzésre.

IP-/URL-jelzők

Az IP-/URL-jelzőkkel feloldhatja a felhasználók letiltását a SmartScreen hamis pozitív (FP) vagy a webes tartalomszűrési (WFC) blokkok felülbírálásához.

A webhely-hozzáférés kezeléséhez URL- és IP-jelzőket használhat. Létrehozhat köztes IP- és URL-jelzőket, amelyek ideiglenesen feloldják a felhasználók letiltását egy SmartScreen-blokkból. Előfordulhat, hogy a webes tartalomszűrési blokkok szelektív megkerüléséhez hosszú ideig megtartott mutatók is megjelennek.

Vegyük azt az esetet, amikor egy megfelelő webhely webes tartalomszűrési kategorizálása van. Ebben a példában a webes tartalomszűrés az összes közösségi média letiltására van beállítva, ami megfelel az általános szervezeti céloknak. A marketingcsapatnak azonban valóban szüksége van arra, hogy egy adott közösségi oldalt használjon hirdetésekhez és közleményekhez. Ebben az esetben feloldhatja az adott közösségimédia-webhely letiltását a használni kívánt csoport (vagy csoportok) IP- vagy URL-mutatóinak használatával.

Lásd: Webvédelem és webes tartalomszűrés

IP-/URL-mutatók: Hálózatvédelem és a TCP háromutas kézfogása

A hálózatvédelemmel a tcp/IP-en keresztüli háromirányú kézfogás befejezése után meg kell határozni, hogy engedélyezi vagy letiltja-e a hozzáférést egy helyhez. Így ha egy hely hálózati védelemmel van letiltva, a Microsoft Defender portálon egy művelettípus ConnectionSuccessNetworkConnectionEvents jelenhet meg, annak ellenére, hogy a hely le lett tiltva. NetworkConnectionEvents A jelentések a TCP-rétegből, nem pedig a hálózatvédelemből származnak. A háromutas kézfogás befejezése után a helyhez való hozzáférést engedélyezi vagy blokkolja a hálózatvédelem.

Íme egy példa ennek működésére:

  1. Tegyük fel, hogy egy felhasználó megpróbál hozzáférni egy webhelyhez az eszközén. A webhelyet véletlenül egy veszélyes tartomány üzemelteti, és a hálózatvédelemnek le kell tiltani.

  2. Megkezdődik a TCP/IP-en keresztüli háromirányú kézfogás. A művelet végrehajtása NetworkConnectionEvents előtt a rendszer naplózza a műveletet, és ActionType a következőképpen jelenik meg ConnectionSuccess: . Amint azonban a háromutas kézfogási folyamat befejeződik, a hálózatvédelem blokkolja a helyhez való hozzáférést. Mindez gyorsan megtörténik. Hasonló folyamat történik Microsoft Defender SmartScreen esetén; a háromutas kézfogás befejezi a meghatározást, és a webhelyhez való hozzáférés le van tiltva vagy engedélyezve van.

  3. A Microsoft Defender portálon egy riasztás szerepel a riasztások várólistáján. A riasztás részletei közé tartozik a és AlertEventsa isNetworkConnectionEvents. Láthatja, hogy a webhely le lett tiltva, annak ellenére, hogy rendelkezik a NetworkConnectionEvents ActionType ConnectionSuccesselemével is.

Fájlkivonat-jelzők

Bizonyos esetekben egy újonnan azonosított fájl IoC-jának új mutatójának létrehozása – azonnali leállási hézag mértékeként – megfelelő lehet a fájlok vagy akár az alkalmazások blokkolásához. Előfordulhat azonban, hogy egy alkalmazás blokkolására mutatókkal nem biztos, hogy a várt eredményt adják, mivel az alkalmazások általában számos különböző fájlból állnak. Az alkalmazások blokkolásának előnyben részesített módszerei az Windows Defender Alkalmazásvezérlés (WDAC) vagy az AppLocker használata.

Mivel az alkalmazás minden verziója más fájlkivonattal rendelkezik, nem ajánlott mutatókat használni a kivonatok blokkolásához.

Windows Defender alkalmazásvezérlés (WDAC)

Tanúsítványjelzők

Bizonyos esetekben egy adott tanúsítvány, amely egy olyan fájl vagy alkalmazás aláírására szolgál, amelyet a szervezet engedélyez vagy letilt. A végponthoz készült Defenderben a tanúsítványjelzők támogatottak, ha a -t használják. CER vagy . PEM-fájlformátum. További részletekért lásd: Létrehozás tanúsítványokon alapuló mutatók.

IoC-észlelő motorok

Jelenleg az IoC-k támogatott Microsoft-forrásai a következők:

Felhőészlelési motor

A Végponthoz készült Defender felhőészlelési motorja rendszeresen megvizsgálja az összegyűjtött adatokat, és megpróbálja megfeleltetni a beállított mutatókat. Egyezés esetén a rendszer az IoC-hez megadott beállításoknak megfelelően hajtja végre a műveletet.

Végpontmegelőző motor

A megelőzési ügynök ugyanazt a mutatólistát veszi figyelembe. Ez azt jelenti, hogy ha Microsoft Defender Víruskereső az elsődleges víruskereső konfigurálva, a rendszer a beállításoknak megfelelően kezeli az egyeztetett mutatókat. Ha például a művelet "Riasztás és letiltás", Microsoft Defender víruskereső megakadályozza a fájlvégrehajtásokat (blokkolást és szervizelést), és megjelenik egy megfelelő riasztás. Ha azonban a művelet "Engedélyezés" értékre van állítva, Microsoft Defender víruskereső nem észleli vagy blokkolja a fájlt.

Automatizált vizsgálati és szervizelési motor

Az automatizált vizsgálat és szervizelés a végpontmegelőző motorhoz hasonlóan működik. Ha egy mutató "Engedélyezés" értékre van állítva, az automatizált vizsgálat és szervizelés figyelmen kívül hagyja a "rossz" ítéletet. Ha a "Letiltás" értékre van állítva, az automatizált vizsgálat és szervizelés "rosszként" kezeli azt.

A EnableFileHashComputation beállítás kiszámítja a tanúsítvány fájlkivonatát és az IoC-fájlt a fájlvizsgálatok során. Támogatja a kivonatok és tanúsítványok megbízható alkalmazásokhoz való IoC-kikényszerítését. Egyidejűleg engedélyezve van az engedélyezési vagy tiltó fájlbeállítással. EnableFileHashComputationCsoportházirend keresztül manuálisan engedélyezve van, és alapértelmezés szerint le van tiltva.

A mutatók kényszerítési típusai

Amikor a biztonsági csapat létrehoz egy új jelzőt (IoC), a következő műveletek érhetők el:

  • Engedélyezés – az IoC futtatható az eszközökön.
  • Naplózás – az IoC futtatásakor riasztás aktiválódik.
  • Figyelmeztetés – az IoC figyelmeztetést kér arról, hogy a felhasználó megkerülheti
  • Végrehajtás letiltása – az IoC nem futtatható.
  • Blokkolás és szervizelés – az IoC nem futhat, és a rendszer szervizelési műveletet alkalmaz az IoC-re.

Megjegyzés:

A Figyelmeztetés mód használata figyelmeztetést küld a felhasználóknak, ha kockázatos alkalmazást vagy webhelyet nyitnak meg. A kérdés nem akadályozza meg őket abban, hogy az alkalmazás vagy a webhely fusson, de megadhat egy egyéni üzenetet és egy vállalati lapra mutató hivatkozásokat, amelyek az alkalmazás megfelelő használatát írják le. A felhasználók továbbra is megkerülhetik a figyelmeztetést, és szükség esetén továbbra is használhatják az alkalmazást. További információ: A Végponthoz készült Microsoft Defender által felderített alkalmazások szabályozása.

Létrehozhat egy jelölőt a következőhöz:

Az alábbi táblázat pontosan mutatja, hogy mely műveletek érhetők el mutatótípusonként (IoC):

IoC-típus Elérhető műveletek
Fájlok Engedélyezés
Ellenőrzési
Figyelmeztet
Végrehajtás letiltása
Blokkolás és szervizelés
IP-címek Engedélyezés
Ellenőrzési
Figyelmeztet
Végrehajtás letiltása
URL-címek és tartományok Engedélyezés
Ellenőrzési
Figyelmeztet
Végrehajtás letiltása
Tanúsítványok Engedélyezés
Blokkolás és szervizelés

A már meglévő IOC-k működése nem változik. A mutatókat azonban átnevezték az aktuálisan támogatott válaszműveleteknek megfelelően:

  • A "csak riasztás" válaszművelet "audit" névre lett átnevezve, és a létrehozott riasztási beállítás engedélyezve van.
  • A "riasztás és blokkolás" válasz neve "blokkolás és szervizelés" névre lett átnevezve a nem kötelező riasztás generálása beállítással.

Az IoC API-séma és a veszélyforrás-azonosítók előzetes kereséskor frissülnek, hogy igazodjanak az IoC-válaszműveletek átnevezéséhez. Az API-séma módosításai az összes IoC-típusra vonatkoznak.

Megjegyzés:

Bérlőnként legfeljebb 15 000 mutató lehet. A fájl- és tanúsítványjelzők nem blokkolják az Microsoft Defender víruskeresőhöz definiált kizárásokat. A mutatók nem támogatottak a Microsoft Defender víruskeresőben, ha passzív módban van.

Az új mutatók (IOC-k) importálásának formátuma az új frissített műveletek és riasztások beállításainak megfelelően módosult. Javasoljuk, hogy töltse le az importálási panel alján található új CSV-formátumot.

Ismert problémák és korlátozások

Az ügyfelek problémákat tapasztalhatnak a biztonsági rések jelzésére vonatkozó riasztásokkal kapcsolatban. A következő forgatókönyvek olyan helyzetek, amikor a riasztások nem jönnek létre, vagy pontatlan információkkal jönnek létre. Az egyes problémákat mérnöki csapatunk vizsgálja.

  • Blokkjelzők – A csak tájékoztató súlyosságú általános riasztások aktiválódnak. Ezekben az esetekben az egyéni riasztások (azaz az egyéni cím és súlyosság) nem aktiválódnak.
  • Figyelmeztetésjelzők – Ebben a forgatókönyvben általános riasztások és egyéni riasztások is lehetségesek, az eredmények azonban nem determinisztikusak a riasztásészlelési logikával kapcsolatos probléma miatt. Bizonyos esetekben az ügyfelek általános riasztást láthatnak, míg más esetekben egyéni riasztások jelenhetnek meg.
  • Engedélyezés – A rendszer nem hoz létre riasztásokat (terv szerint).
  • Naplózás – A riasztások az ügyfél által megadott súlyosság alapján jönnek létre.
  • Bizonyos esetekben az EDR-észlelésekből származó riasztások elsőbbséget élveznek a víruskereső blokkokból származó riasztásokkal szemben, amely esetben információs riasztás jön létre.

A Microsoft Store-beli alkalmazásokat nem tilthatja le a Defender, mert a Microsoft írta alá őket.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.