Creare indicatori in base ai certificati

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

È possibile creare indicatori per i certificati. Alcuni casi d'uso comuni includono:

• Scenari in cui è necessario distribuire tecnologie di blocco, ad esempio le regole di riduzione della superficie di attacco , ma è necessario consentire comportamenti da applicazioni firmate aggiungendo il certificato nell'elenco consenti.
• Blocco dell'uso di un'applicazione firmata specifica nell'organizzazione. Creando un indicatore per bloccare il certificato dell'applicazione, Windows Defender AV impedirà l'esecuzione di file (blocco e correzione) e l'analisi automatizzata e la correzione si comportano allo stesso modo.

Prima di iniziare

È importante comprendere i requisiti seguenti prima di creare indicatori per i certificati:

• Questa funzionalità è disponibile se l'organizzazione usa Microsoft Defender Antivirus e la protezione basata sul cloud è abilitata. Per altre informazioni, vedere Gestire la protezione basata sul cloud.

• La versione del client Antimalware deve essere 4.18.1901.x o successiva.

• Supportato nei computer in Windows 10, versione 1703 o successiva, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2022.

  Nota

  È necessario eseguire l'onboarding di Windows Server 2016 e Windows Server 2012 R2 usando le istruzioni riportate in Onboarding dei server Windows per il funzionamento di questa funzionalità.

• Le definizioni di protezione da virus e minacce devono essere aggiornate.

• Questa funzionalità supporta attualmente l'immissione di . CER o . Estensioni di file PEM.

Importante

• Un certificato foglia valido è un certificato di firma che ha un percorso di certificazione valido e deve essere concatenato all'autorità di certificazione radice (CA) considerata attendibile da Microsoft. In alternativa, è possibile usare un certificato personalizzato (autofirmato) purché sia considerato attendibile dal client (il certificato CA radice viene installato nel computer locale "Autorità di certificazione radice attendibili").
• Gli elementi figlio o padre dei certificati consentiti/bloccati non sono inclusi nella funzionalità Consenti/Blocca IoC. Sono supportati solo i certificati foglia.
• I certificati firmati Microsoft non possono essere bloccati.

Creare un indicatore per i certificati dalla pagina delle impostazioni:

Importante

La creazione e la rimozione di un certificato IoC possono richiedere fino a 3 ore.

1. Nel riquadro di spostamento selezionare Impostazioni>Indicatori endpoint> (in Regole).

2. Selezionare Aggiungi indicatore.

3. Specificare i dettagli seguenti:

   • Indicatore: specificare i dettagli dell'entità e definire la scadenza dell'indicatore.
   • Azione: specificare l'azione da eseguire e specificare una descrizione.
   • Ambito: definire l'ambito del gruppo di computer.

4. Esaminare i dettagli nella scheda Riepilogo e quindi fare clic su Salva.

Articoli correlati

• Creare indicatori
• Creare indicatori per file
• Creare indicatori per IP e URL/domini
• Gestire indicatori
• Esclusioni per Microsoft Defender per endpoint e Microsoft Defender Antivirus

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.