Megosztás a következőn keresztül:

A Végponthoz készült Microsoft Defender mutatóinak áttekintése

Érintett szolgáltatás:

A biztonsági rések mutatója (IoC) áttekintése

A biztonsági rés mutatója (IoC) a hálózaton vagy gazdagépen megfigyelt törvényszéki összetevő. Az IoC nagy megbízhatósággal jelzi, hogy számítógép vagy hálózati behatolás történt. Az IoC-k megfigyelhetők, amelyek közvetlenül mérhető eseményekhez kapcsolják őket. Néhány IoC-példa:

  • ismert kártevők kivonatai
  • rosszindulatú hálózati forgalom aláírásai
  • Ismert kártevő-terjesztők url-címei vagy tartományai

Az egyéb biztonsági rések megállítása vagy az ismert IoC-k megsértésének megelőzése érdekében a sikeres IoC-eszközöknek képesnek kell lenniük az eszköz szabálykészlete által enumerált összes rosszindulatú adat észlelésére. Az IoC-egyeztetés minden végpontvédelmi megoldás alapvető funkciója. Ez a képesség lehetővé teszi a SecOps számára, hogy beállítsa az észlelés és a blokkolás (megelőzés és reagálás) mutatóinak listáját.

A szervezetek olyan mutatókat hozhatnak létre, amelyek meghatározzák az IoC-entitások észlelését, megelőzését és kizárását. Megadhatja a végrehajtandó műveletet, valamint a művelet alkalmazásának időtartamát, valamint annak az eszközcsoportnak a hatókörét, amelyre alkalmazni szeretné.

Ez a videó a mutatók létrehozásának és hozzáadásának bemutatóját mutatja be:

A Microsoft mutatóinak ismertetése

Általános szabályként csak az ismert hibás IOC-k, illetve a szervezeten belül explicit módon engedélyezett fájlok/webhelyek mutatóit kell létrehoznia. A Végponthoz készült Defender által alapértelmezés szerint letiltható webhelyek típusairól a Microsoft Defender SmartScreen áttekintésében olvashat bővebben.

A hamis pozitív (FP) a Microsoft fenyegetésfelderítésében hamis pozitív eredményre utal. Ha egy adott erőforrás valójában nem fenyegetés, létrehozhat egy Engedélyezési IoC-t az erőforrás engedélyezéséhez. A Microsoft biztonsági intelligenciájának fejlesztéséhez is hozzájárulhat, ha hamis pozitív adatokat, valamint gyanús vagy ismert rossz IoC-ket küld elemzésre. Ha egy fájl vagy alkalmazás figyelmeztetése vagy blokkolása helytelenül jelenik meg, vagy ha azt gyanítja, hogy egy ismeretlen fájl kártevő, elküldhet egy fájlt a Microsoftnak véleményezésre. További információ: Fájlok elküldése elemzésre.

IP-/URL-/tartománymutatók

A webhely-hozzáférés kezeléséhez IP-címeket és URL-címeket/tartományjelzőket használhat.

Az IP-címekkel való kapcsolatok letiltásához írja be az IPv4-címet pontozott négyszög formátumban (például 8.8.8.8). IPv6-címek esetén adja meg mind a 8 szegmenst (pl. 2001:4860:4860:0:0:0:0:8888). Vegye figyelembe, hogy a helyettesítő karakterek és a tartományok nem támogatottak.

Egy tartományhoz és annak altartományaihoz való csatlakozás letiltásához adja meg a tartományt (pl. example.com). Ez a mutató a és a jelnek is sub.example.comanything.sub.example.commegfelelexample.com.

Egy adott URL-cím letiltásához adja meg az URL-címet (pl. https://example.com/block). Ez a mutató egyezik a útvonalon található /block erőforrásokkal example.com. Vegye figyelembe, hogy a HTTPS URL-címek csak a Microsoft Edge-ben lesznek egyeztetve; A HTTP URL-címek bármely böngészőben megfeleltethetők.

Ip- és URL-jelzőket is létrehozhat, amelyekkel feloldhatja a felhasználók letiltását egy SmartScreen-blokkból, vagy szelektíven megkerülheti azoknak a webhelyeknek a webes tartalomszűrési blokkjait, amelyek betöltését engedélyezni szeretné. Vegyük például azt az esetet, amikor a webes tartalomszűrés az összes közösségimédia-webhely letiltására van beállítva. A marketingcsapatnak azonban követelmény, hogy egy adott közösségi webhelyet használjon a hirdetéselhelyezések figyeléséhez. Ebben az esetben feloldhatja az adott közösségimédia-webhely letiltását egy Tartomány engedélyezése jelző létrehozásával és a marketingcsapat eszközcsoporthoz való hozzárendelésével.

Lásd: Webvédelem és webes tartalomszűrés

IP-/URL-mutatók: Hálózatvédelem és a TCP háromutas kézfogása

A hálózatvédelemmel a tcp/IP-en keresztüli háromirányú kézfogás befejezése után meg kell határozni, hogy engedélyezi vagy letiltja-e a hozzáférést egy helyhez. Így ha egy hely hálózati védelemmel van letiltva, a Microsoft Defender portálon egy művelettípus ConnectionSuccessNetworkConnectionEvents jelenhet meg, annak ellenére, hogy a hely le lett tiltva. NetworkConnectionEvents A jelentések a TCP-rétegből, nem pedig a hálózatvédelemből származnak. A háromutas kézfogás befejezése után a helyhez való hozzáférést engedélyezi vagy blokkolja a hálózatvédelem.

Íme egy példa ennek működésére:

  1. Tegyük fel, hogy egy felhasználó megpróbál hozzáférni egy webhelyhez az eszközén. A webhelyet véletlenül egy veszélyes tartomány üzemelteti, és a hálózatvédelemnek le kell tiltani.

  2. Megkezdődik a TCP/IP-en keresztüli háromirányú kézfogás. A művelet végrehajtása NetworkConnectionEvents előtt a rendszer naplózza a műveletet, és ActionType a következőképpen jelenik meg ConnectionSuccess: . Amint azonban a háromutas kézfogási folyamat befejeződik, a hálózatvédelem blokkolja a helyhez való hozzáférést. Mindez gyorsan megtörténik. Hasonló folyamat történik Microsoft Defender SmartScreen esetén; a háromutas kézfogás befejezi a meghatározást, és a webhelyhez való hozzáférés le van tiltva vagy engedélyezve van.

  3. A Microsoft Defender portálon egy riasztás szerepel a riasztások várólistáján. A riasztás részletei közé tartozik a és AlertEventsa isNetworkConnectionEvents. Láthatja, hogy a webhely le lett tiltva, annak ellenére, hogy rendelkezik a NetworkConnectionEvents ActionType ConnectionSuccesselemével is.

Fájlkivonat-jelzők

Bizonyos esetekben egy újonnan azonosított fájl IoC-jának új mutatójának létrehozása – azonnali leállási hézag mértékeként – megfelelő lehet a fájlok vagy akár az alkalmazások blokkolásához. Előfordulhat azonban, hogy egy alkalmazás blokkolására mutatókkal nem biztos, hogy a várt eredményt adják, mivel az alkalmazások általában számos különböző fájlból állnak. Az alkalmazások blokkolásának előnyben részesített módszerei a Windows Defender alkalmazásvezérlés (WDAC) vagy az AppLocker használata.

Mivel az alkalmazás minden verziója más fájlkivonattal rendelkezik, nem ajánlott mutatókat használni a kivonatok blokkolásához.

Windows Defender alkalmazásvezérlő (WDAC)

Tanúsítványjelzők

Létrehozhat egy IoC-t a tanúsítvány által aláírt fájlok és alkalmazások engedélyezéséhez vagy letiltásához. A tanúsítványjelzők a következő helyen adhatók meg: . CER vagy . PEM-fájlformátum. További részletekért lásd: Mutatók létrehozása tanúsítványok alapján .

IoC-észlelő motorok

Jelenleg az IoC-k támogatott Microsoft-forrásai a következők:

Felhőészlelési motor

A Végponthoz készült Defender felhőészlelési motorja rendszeresen megvizsgálja az összegyűjtött adatokat, és megpróbálja megfeleltetni a beállított mutatókat. Egyezés esetén a rendszer az IoC-hez megadott beállításoknak megfelelően hajtja végre a műveletet.

Végpontmegelőző motor

A megelőzési ügynök ugyanazt a mutatólistát veszi figyelembe. Ez azt jelenti, hogy ha Microsoft Defender Víruskereső az elsődleges víruskereső konfigurálva, a rendszer a beállításoknak megfelelően kezeli az egyeztetett mutatókat. Ha például a művelet blokkolva van és orvosolva van, Microsoft Defender víruskereső megakadályozza a fájlvégrehajtást, és megjelenik egy megfelelő riasztás. Másrészről, ha a Művelet Engedélyezve értékre van állítva, Microsoft Defender víruskereső nem észleli vagy blokkolja a fájlt.

Automatizált vizsgálati és szervizelési motor

Az automatizált vizsgálat és szervizelés a végpontmegelőző motorhoz hasonlóan működik. Ha egy mutató Engedélyezve értékre van állítva, az automatizált vizsgálat és szervizelés figyelmen kívül hagyja a hibás ítéletet. Ha a Blokkolás értékre van állítva, az automatizált vizsgálat és szervizelés rosszként kezeli azt.

A EnableFileHashComputation beállítás kiszámítja a fájlkivonatot a fájlvizsgálatok során. Támogatja az IoC-kényszerítéseket a megbízható alkalmazásokhoz tartozó kivonatok ellen. Egyidejűleg engedélyezve van az engedélyezési vagy tiltó fájlbeállítással. EnableFileHashComputationCsoportházirend keresztül manuálisan engedélyezve van, és alapértelmezés szerint le van tiltva.

A mutatók kényszerítési típusai

Amikor a biztonsági csapat létrehoz egy új jelzőt (IoC), a következő műveletek érhetők el:

  • Engedélyezés: az IoC futtatható az eszközökön.
  • Naplózás: az IoC futtatásakor riasztás aktiválódik.
  • Figyelmeztetés: az IoC figyelmeztetést kér arról, hogy a felhasználó megkerülheti
  • Blokkvégrehajtás: az IoC nem futtatható.
  • Blokkolás és szervizelés: az IoC nem futtatható, és a rendszer szervizelési műveletet alkalmaz az IoC-re.

Megjegyzés:

A Figyelmeztetés mód használata figyelmeztetést jelenít meg a felhasználóknak, ha kockázatos alkalmazást vagy webhelyet nyitnak meg. A kérdés nem akadályozza meg őket abban, hogy az alkalmazás vagy a webhely fusson, de megadhat egy egyéni üzenetet és egy vállalati lapra mutató hivatkozásokat, amelyek az alkalmazás megfelelő használatát írják le. A felhasználók továbbra is megkerülhetik a figyelmeztetést, és szükség esetén továbbra is használhatják az alkalmazást. További információ: A Végponthoz készült Microsoft Defender által felderített alkalmazások szabályozása.

Létrehozhat egy jelölőt a következőhöz:

Az alábbi táblázat azt mutatja, hogy mely műveletek érhetők el mutatótípusonként (IoC):

IoC-típus Elérhető műveletek
Fájlok Engedélyezés
Naplózás
Figyelmeztet
Végrehajtás letiltása
Blokkolás és szervizelés
IP-címek Engedélyezés
Naplózás
Figyelmeztet
Végrehajtás letiltása
URL-címek és tartományok Engedélyezés
Naplózás
Figyelmeztet
Végrehajtás letiltása
Tanúsítványok Engedélyezés
Blokkolás és szervizelés

A már használatban lévő IoC-k működése nem változik. A mutatók azonban átnevezve lesznek, hogy megfeleljenek a jelenleg támogatott válaszműveleteknek:

  • A csak riasztási válasz műveletet átnevezték naplózásra , és engedélyezve van a létrehozott riasztási beállítás.
  • A riasztást és a blokkolási választ átnevezték blokkolásra és szervizelésre a nem kötelező riasztási beállítással.

Az IoC API-séma és a komplex veszélyforrás-keresés fenyegetésazonosítói úgy frissülnek, hogy igazodjanak az IoC-válaszműveletek átnevezéséhez. Az API-séma módosításai az összes IoC-típusra vonatkoznak.

Megjegyzés:

Bérlőnként legfeljebb 15 000 mutató lehet. A korlát növelése nem támogatott.

A fájl- és tanúsítványjelzők nem blokkolják az Microsoft Defender víruskeresőhöz definiált kizárásokat. A mutatók nem támogatottak a Microsoft Defender víruskeresőben, ha passzív módban van.

Az új mutatók (IOC-k) importálásának formátuma az új frissített műveletek és riasztások beállításainak megfelelően módosult. Javasoljuk, hogy töltse le az importálási panel alján található új CSV-formátumot.

Ha a jelzők szinkronizálva vannak az Microsoft Defender portálra az engedélyezett vagy nem engedélyezett alkalmazások Microsoft Defender for Cloud Apps, a Generate Alert beállítás alapértelmezés szerint engedélyezve van a Microsoft Defender portálon. Ha megpróbálja törölni a Generate Alert Végponthoz készült Defender beállítását, az egy idő után újra engedélyezve lesz, mert a Defender for Cloud Apps szabályzat felülbírálja.

Ismert problémák és korlátozások

A Microsoft Áruházbeli alkalmazásokat nem tilthatja le Microsoft Defender, mert a Microsoft írta alá őket.

Az ügyfelek problémákat tapasztalhatnak az IOK-riasztásokkal kapcsolatban. A következő forgatókönyvek olyan helyzetek, amikor a riasztások nem jönnek létre, vagy pontatlan információkkal jönnek létre. Az egyes problémákat mérnöki csapatunk vizsgálja.

  • Blokkjelzők: Általános riasztások csak tájékoztató súlyossággal jönnek létre. Ezekben az esetekben az egyéni riasztások (azaz az egyéni cím és súlyosság) nem aktiválódnak.
  • Figyelmeztetésjelzők: Ebben a forgatókönyvben általános riasztások és egyéni riasztások lehetségesek; Az eredmények azonban nem determinisztikusak a riasztásészlelési logikával kapcsolatos probléma miatt. Bizonyos esetekben az ügyfelek általános riasztást láthatnak, míg más esetekben egyéni riasztások jelenhetnek meg.
  • Engedélyezés: A rendszer nem hoz létre riasztásokat (terv szerint).
  • Naplózás: A riasztások az ügyfél által megadott súlyosság alapján jönnek létre (terv szerint).
  • Bizonyos esetekben az EDR-észlelésekből származó riasztások elsőbbséget élveznek a víruskereső blokkokból származó riasztásokkal szemben, amely esetben információs riasztás jön létre.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.