Condividi tramite

Creare indicatori per file

  • Articolo

Si applica a:

Consiglio

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Importante

In Defender per endpoint piano 1 e Defender for Business, è possibile creare un indicatore per bloccare o consentire un file. In Defender for Business, l'indicatore viene applicato nell'ambiente e non può essere limitato a dispositivi specifici.

Nota

Affinché questa funzionalità funzioni su Windows Server 2016 e Windows Server 2012 R2, è necessario eseguire l'onboarding di tali dispositivi usando le istruzioni in Onboarding dei server Windows. Gli indicatori di file personalizzati con le azioni Allow, Block e Remediate sono ora disponibili anche nelle funzionalità avanzate del motore antimalware per macOS e Linux.

Gli indicatori di file impediscono un'ulteriore propagazione di un attacco nell'organizzazione vietando file potenzialmente dannosi o malware sospetto. Se si conosce un file eseguibile portatile (PE) potenzialmente dannoso, è possibile bloccarlo. Questa operazione impedirà la lettura, la scrittura o l'esecuzione nei dispositivi dell'organizzazione.

È possibile creare indicatori per i file in tre modi:

  • Creando un indicatore tramite la pagina delle impostazioni
  • Creando un indicatore contestuale usando il pulsante aggiungi indicatore dalla pagina dei dettagli del file
  • Creando un indicatore tramite l'API Indicatore

Prima di iniziare

Prima di creare indicatori per i file, comprendere i prerequisiti seguenti:

Prerequisiti di Windows

  • Questa funzionalità è disponibile se l'organizzazione usa Microsoft Defender Antivirus (in modalità attiva)

  • La versione del client Antimalware deve essere 4.18.1901.x o successiva. Vedere Versioni mensili della piattaforma e del motore

  • Questa funzionalità è supportata nei dispositivi che eseguono Windows 10, versione 1703 o successiva, Windows 11, Windows Server 2012 R2, Windows Server 2016 o versioni successive, Windows Server 2019 o Windows Server 2022.

  • Il calcolo dell'hash dei file è abilitato impostando su Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\Abilitato

Nota

Gli indicatori di file supportano i file eseguibili portabili (PE), inclusi .exe solo i file e .dll .

Prerequisiti di macOS

Prerequisiti di Linux

Creare un indicatore per i file dalla pagina delle impostazioni

  1. Nel riquadro di spostamento selezionare Impostazioni>Indicatori endpoint> (in Regole).

  2. Selezionare la scheda Hash file .

  3. Selezionare Aggiungi elemento.

  4. Specificare i dettagli seguenti:

    • Indicatore: specificare i dettagli dell'entità e definire la scadenza dell'indicatore.
    • Azione: specificare l'azione da intraprendere e specificare una descrizione.
    • Ambito: definire l'ambito del gruppo di dispositivi (l'ambito non è disponibile in Defender for Business).

    Nota

    La creazione del gruppo di dispositivi è supportata sia in Defender per endpoint piano 1 che in piano 2

  5. Esaminare i dettagli nella scheda Riepilogo e quindi selezionare Salva.

Creare un indicatore contestuale dalla pagina dei dettagli del file

Una delle opzioni per l'esecuzione di azioni di risposta in un file è l'aggiunta di un indicatore per il file. Quando si aggiunge un hash indicatore per un file, è possibile scegliere di generare un avviso e bloccare il file ogni volta che un dispositivo dell'organizzazione tenta di eseguirlo.

I file bloccati automaticamente da un indicatore non verranno visualizzati nel Centro notifiche del file, ma gli avvisi saranno comunque visibili nella coda Avvisi.

Avvisi sulle azioni di blocco dei file (anteprima)

Importante

Le informazioni contenute in questa sezione (Anteprima pubblica per il motore di indagine e correzione automatizzato) si riferiscono al prodotto che potrebbe essere modificato in modo sostanziale prima del rilascio in commercio. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Le azioni supportate correnti per il CIO file sono consentite, controllate e bloccate e correttive. Dopo aver scelto di bloccare un file, è possibile scegliere se attivare un avviso. In questo modo, sarà possibile controllare il numero di avvisi che arrivano ai team delle operazioni di sicurezza e assicurarsi che vengano generati solo gli avvisi necessari.

  1. Nel portale di Microsoft Defender passare a Impostazioni>Endpoint>Indicatori>Aggiungi nuovo hash file.

  2. Scegliere di bloccare e correggere il file.

  3. Specificare se generare un avviso per l'evento di blocco di file e definire le impostazioni degli avvisi:

    • Titolo dell'avviso
    • Gravità dell'avviso
    • Categoria
    • Descrizione
    • Azioni consigliate

    Impostazioni di avviso per gli indicatori di file

    Importante

    • In genere, i blocchi di file vengono applicati e rimossi entro 15 minuti, in media 30 minuti, ma possono richiedere fino a 2 ore.
    • Se sono presenti criteri IoC di file in conflitto con lo stesso tipo di imposizione e la stessa destinazione, verranno applicati i criteri dell'hash più sicuro. Un criterio IoC hash di file SHA-256 vincerà un criterio IoC di hash del file SHA-1, che vincerà un criterio IoC hash del file MD5 se i tipi hash definiscono lo stesso file. Questo è sempre vero indipendentemente dal gruppo di dispositivi.
    • In tutti gli altri casi, se i criteri IoC dei file in conflitto con la stessa destinazione di imposizione vengono applicati a tutti i dispositivi e al gruppo del dispositivo, i criteri nel gruppo di dispositivi vinceranno.
    • Se i criteri di gruppo EnableFileHashComputation sono disabilitati, l'accuratezza del blocco del file IoC viene ridotta. Tuttavia, l'abilitazione EnableFileHashComputation può influire sulle prestazioni del dispositivo. Ad esempio, la copia di file di grandi dimensioni da una condivisione di rete nel dispositivo locale, in particolare tramite una connessione VPN, potrebbe avere un effetto sulle prestazioni del dispositivo. Per altre informazioni sui criteri di gruppo EnableFileHashComputation, vedere Defender CSP. Per altre informazioni sulla configurazione di questa funzionalità in Defender per endpoint in Linux e macOS, vedere Configurare la funzionalità di calcolo dell'hash dei file in Linux e Configurare la funzionalità di calcolo dell'hash dei file in macOS.

Funzionalità avanzate di ricerca (anteprima)

Importante

Le informazioni contenute in questa sezione (anteprima pubblica per il motore di indagine e correzione automatizzato) si riferiscono al prodotto in fase di rilascio preliminare che può essere modificato in modo sostanziale prima del rilascio in commercio. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Attualmente in anteprima, è possibile eseguire una query sull'attività di azione di risposta in anticipo. Di seguito è riportata una query di ricerca avanzata di esempio:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Per altre informazioni sulla ricerca avanzata, vedere Ricerca proattiva delle minacce con ricerca avanzata.

Di seguito sono riportati altri nomi di thread che possono essere usati nella query di esempio precedente:

file:

  • EUS:Win32/CustomEnterpriseBlock!cl
  • EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Certificati:

  • EUS:Win32/CustomCertEnterpriseBlock!cl

L'attività azione di risposta può anche essere visualizzabile nella sequenza temporale del dispositivo.

Gestione dei conflitti dei criteri

I conflitti di gestione dei criteri IoC di certificati e file seguono questo ordine:

  1. Se il file non è consentito dai criteri di modalità di applicazione di Windows Defender Application Control e AppLocker, blocca.

  2. In caso contrario, se il file è consentito dalle esclusioni dell'antivirus Microsoft Defender, quindi Consenti.

  3. In caso contrario, se il file viene bloccato o avvisato da un blocco o da un avviso, blocca /avvisa.

  4. In caso contrario, se il file è bloccato da SmartScreen, blocca.

  5. In caso contrario, se il file è consentito da un criterio IoC del file consentito, quindi Consenti.

  6. In caso contrario, se il file è bloccato dalle regole di riduzione della superficie di attacco, dall'accesso controllato alle cartelle o dalla protezione antivirus, blocca.

  7. In caso contrario, Consenti (passa il controllo delle applicazioni di Windows Defender & i criteri di AppLocker, non vi si applicano regole IoC).

Nota

Nei casi in cui Microsoft Defender Antivirus è impostato su Blocca, ma gli indicatori di Defender per endpoint per l'hash dei file o i certificati sono impostati su Consenti, il criterio è impostato per impostazione predefinita su Consenti.

Se sono presenti criteri IoC di file in conflitto con lo stesso tipo di imposizione e la stessa destinazione, vengono applicati i criteri dell'hash più sicuro (ovvero più lungo). Ad esempio, un criterio IoC hash di file SHA-256 ha la precedenza su un criterio IoC hash del file MD5 se entrambi i tipi hash definiscono lo stesso file.

Avviso

La gestione dei conflitti dei criteri per file e certificati differisce dalla gestione dei conflitti dei criteri per domini/URL/indirizzi IP.

le funzionalità dell'applicazione bloccate vulnerabili di Gestione delle vulnerabilità di Microsoft Defender usano i file IoC per l'imposizione e seguono l'ordine di gestione dei conflitti descritto in precedenza in questa sezione.

Esempi

Componente Imposizione dei componenti Azione indicatore file Risultato
Esclusione del percorso del file di riduzione della superficie di attacco Consenti Blocca Blocca
Regola di riduzione della superficie di attacco Blocca Consenti Consenti
Controllo di applicazioni di Windows Defender Consenti Blocca Consenti
Controllo di applicazioni di Windows Defender Blocca Consenti Blocca
Microsoft Defender l'esclusione antivirus Consenti Blocca Consenti

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.