Creare indicatori per file

  • Articolo

Si applica a:

Consiglio

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Impedire un'ulteriore propagazione di un attacco nell'organizzazione vietando file potenzialmente dannosi o malware sospetto. Se si conosce un file eseguibile portatile (PE) potenzialmente dannoso, è possibile bloccarlo. Questa operazione impedirà la lettura, la scrittura o l'esecuzione nei dispositivi dell'organizzazione.

È possibile creare indicatori per i file in tre modi:

  • Creando un indicatore tramite la pagina delle impostazioni
  • Creando un indicatore contestuale usando il pulsante aggiungi indicatore dalla pagina dei dettagli del file
  • Creando un indicatore tramite l'API Indicatore

Nota

Affinché questa funzionalità funzioni su Windows Server 2016 e Windows Server 2012 R2, è necessario eseguire l'onboarding di tali dispositivi usando le istruzioni in Onboarding dei server Windows. Gli indicatori di file personalizzati con le azioni Allow, Block e Remediate sono ora disponibili anche nelle funzionalità avanzate del motore antimalware per macOS e Linux.

Prima di iniziare

Prima di creare indicatori per i file, comprendere i prerequisiti seguenti:

Questa funzionalità è progettata per impedire il download di malware sospetti (o file potenzialmente dannosi) dal Web. Attualmente supporta file eseguibili portabili (PE), inclusi .exe i file e .dll . La copertura viene estesa nel tempo.

Importante

In Defender per endpoint piano 1 e Defender per le aziende, è possibile creare un indicatore per bloccare o consentire un file. In Defender per le aziende l'indicatore viene applicato all'interno dell'ambiente e non può essere limitato a dispositivi specifici.

Create un indicatore per i file dalla pagina delle impostazioni

  1. Nel riquadro di spostamento selezionare Impostazioni>Indicatori endpoint> (in Regole).

  2. Selezionare la scheda Hash file .

  3. Selezionare Aggiungi elemento.

  4. Specificare i dettagli seguenti:

    • Indicatore: specificare i dettagli dell'entità e definire la scadenza dell'indicatore.
    • Azione: specificare l'azione da intraprendere e specificare una descrizione.
    • Ambito: definire l'ambito del gruppo di dispositivi (l'ambito non è disponibile in Defender per le aziende).

    Nota

    La creazione del gruppo di dispositivi è supportata sia in Defender per endpoint piano 1 che in piano 2

  5. Esaminare i dettagli nella scheda Riepilogo e quindi selezionare Salva.

Create un indicatore contestuale dalla pagina dei dettagli del file

Una delle opzioni per l'esecuzione di azioni di risposta in un file è l'aggiunta di un indicatore per il file. Quando si aggiunge un hash indicatore per un file, è possibile scegliere di generare un avviso e bloccare il file ogni volta che un dispositivo dell'organizzazione tenta di eseguirlo.

I file bloccati automaticamente da un indicatore non verranno visualizzati nel Centro notifiche del file, ma gli avvisi saranno comunque visibili nella coda Avvisi.

Avvisi sulle azioni di blocco dei file (anteprima)

Importante

Le informazioni contenute in questa sezione (Anteprima pubblica per il motore di indagine e correzione automatizzato) si riferiscono al prodotto che potrebbe essere modificato in modo sostanziale prima del rilascio in commercio. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Le azioni supportate correnti per il CIO file sono consentite, controllate e bloccate e correttive. Dopo aver scelto di bloccare un file, è possibile scegliere se attivare un avviso. In questo modo, sarà possibile controllare il numero di avvisi che arrivano ai team delle operazioni di sicurezza e assicurarsi che vengano generati solo gli avvisi necessari.

In Microsoft Defender XDR passare a Impostazioni>Endpoint>Indicatori>Aggiungi nuovo hash file.

Scegliere Blocca e correggere il file.

Scegliere se generare un avviso per l'evento di blocco di file e definire le impostazioni degli avvisi:

  • Titolo dell'avviso
  • Gravità dell'avviso
  • Categoria
  • Descrizione
  • Azioni consigliate

Impostazioni di avviso per gli indicatori di file

Importante

  • In genere, i blocchi di file vengono applicati e rimossi entro un paio di minuti, ma possono richiedere fino a 30 minuti.
  • Se sono presenti criteri IoC di file in conflitto con lo stesso tipo di imposizione e la stessa destinazione, verranno applicati i criteri dell'hash più sicuro. Un criterio IoC hash di file SHA-256 vincerà un criterio IoC di hash del file SHA-1, che vincerà un criterio IoC hash del file MD5 se i tipi hash definiscono lo stesso file. Questo è sempre vero indipendentemente dal gruppo di dispositivi.
  • In tutti gli altri casi, se i criteri IoC dei file in conflitto con la stessa destinazione di imposizione vengono applicati a tutti i dispositivi e al gruppo del dispositivo, i criteri nel gruppo di dispositivi vinceranno.
  • Se i criteri di gruppo EnableFileHashComputation sono disabilitati, l'accuratezza del blocco del file IoC viene ridotta. Tuttavia, l'abilitazione EnableFileHashComputation può influire sulle prestazioni del dispositivo. Ad esempio, la copia di file di grandi dimensioni da una condivisione di rete nel dispositivo locale, in particolare tramite una connessione VPN, potrebbe avere un effetto sulle prestazioni del dispositivo.

Per altre informazioni sui criteri di gruppo EnableFileHashComputation, vedere Defender CSP.

Per altre informazioni sulla configurazione di questa funzionalità in Defender per endpoint in Linux e macOS, vedere Configurare la funzionalità di calcolo dell'hash dei file in Linux e Configurare la funzionalità di calcolo dell'hash dei file in macOS.

Funzionalità avanzate di ricerca (anteprima)

Importante

Le informazioni contenute in questa sezione (anteprima pubblica per il motore di indagine e correzione automatizzato) si riferiscono al prodotto in fase di rilascio preliminare che può essere modificato in modo sostanziale prima del rilascio in commercio. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Attualmente in anteprima, è possibile eseguire una query sull'attività di azione di risposta in anticipo. Di seguito è riportata una query di ricerca avanzata di esempio:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Per altre informazioni sulla ricerca avanzata, vedere Ricerca proattiva delle minacce con ricerca avanzata.

Di seguito sono riportati altri nomi di thread che possono essere usati nella query di esempio precedente:

File:

  • EUS:Win32/CustomEnterpriseBlock!cl
  • EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Certificati:

  • EUS:Win32/CustomCertEnterpriseBlock!cl

L'attività azione di risposta può anche essere visualizzabile nella sequenza temporale del dispositivo.

Gestione dei conflitti dei criteri

I conflitti di gestione dei criteri IoC di certificati e file seguono questo ordine:

  1. Se il file non è consentito da Windows Defender Controllo applicazione e AppLocker applicano i criteri di modalità, blocca.
  2. In caso contrario, se il file è consentito dalle esclusioni dell'antivirus Microsoft Defender, quindi Consenti.
  3. In caso contrario, se il file viene bloccato o avvisato da un blocco o da un avviso, blocca /avvisa.
  4. In caso contrario, se il file è bloccato da SmartScreen, blocca.
  5. In caso contrario, se il file è consentito da un criterio IoC del file consentito, quindi Consenti.
  6. In caso contrario, se il file è bloccato dalle regole di riduzione della superficie di attacco, dall'accesso controllato alle cartelle o dalla protezione antivirus, blocca.
  7. In caso contrario, Consenti (passa Windows Defender controllo delle applicazioni & criteri di AppLocker, non vengono applicate regole IoC.

Nota

Nei casi in cui Microsoft Defender Antivirus è impostato su Blocca, ma gli indicatori di Defender per endpoint per l'hash dei file o i certificati sono impostati su Consenti, il criterio è impostato per impostazione predefinita su Consenti.

Se sono presenti criteri IoC di file in conflitto con lo stesso tipo di imposizione e la stessa destinazione, vengono applicati i criteri dell'hash più sicuro (ovvero più lungo). Ad esempio, un criterio IoC hash di file SHA-256 ha la precedenza su un criterio IoC hash del file MD5 se entrambi i tipi hash definiscono lo stesso file.

Avviso

La gestione dei conflitti dei criteri per file e certificati differisce dalla gestione dei conflitti dei criteri per domini/URL/indirizzi IP.

le funzionalità dell'applicazione bloccate vulnerabili di Gestione delle vulnerabilità di Microsoft Defender usano i file IoC per l'imposizione e seguono l'ordine di gestione dei conflitti descritto in precedenza in questa sezione.

Esempi

Componente Imposizione dei componenti Azione indicatore file Risultato
Esclusione del percorso del file di riduzione della superficie di attacco Consenti Blocca Blocca
Regola di riduzione della superficie di attacco Blocca Consenti Consenti
Controllo di applicazioni di Windows Defender Consenti Blocca Consenti
Controllo di applicazioni di Windows Defender Blocca Consenti Blocca
Microsoft Defender l'esclusione antivirus Consenti Blocca Consenti

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.