Opprett indikatorer
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Tips
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Indikator for kompromiss (IoC)-oversikt
En indikator for kompromiss (IoC) er en rettsmedisinsk artefakt, observert på nettverket eller verten. En IoC indikerer - med høy visshet - en datamaskin eller nettverksinntrenging har skjedd. IoCer er observerbare, som kobler dem direkte til målbare hendelser. Noen eksempler på IoC inkluderer:
- hash-koder for kjent skadelig programvare
- signaturer av skadelig nettverkstrafikk
- URL-adresser eller domener som er kjente distributører for skadelig programvare
Hvis du vil stanse andre kompromisser eller forhindre brudd på kjente IoCer, skal vellykkede IoC-verktøy kunne oppdage alle skadelige data som er opplistet av verktøyets regelsett. IoC-samsvar er en viktig funksjon i hver endepunktbeskyttelsesløsning. Denne funksjonen gir SecOps muligheten til å angi en liste over indikatorer for gjenkjenning og for blokkering (forebygging og respons).
Organisasjoner kan opprette indikatorer som definerer gjenkjenning, forebygging og utelukkelse av IoC-enheter. Du kan definere handlingen som skal utføres, i tillegg til varigheten for når handlingen skal brukes, og omfanget av enhetsgruppen den skal brukes på.
Denne videoen viser en gjennomgang av hvordan du oppretter og legger til indikatorer:
Om Microsoft-indikatorer
Som en generell regel bør du bare opprette indikatorer for kjente dårlige IOCer, eller for filer/nettsteder som skal være eksplisitt tillatt i organisasjonen. Hvis du vil ha mer informasjon om hvilke typer nettsteder Defender for endepunkt kan blokkere som standard, kan du se Microsoft Defender Oversikt over SmartScreen.
Usann positiv (FP) refererer til en SmartScreen-positiv positiv, slik at den anses å være skadelig programvare eller phish, men faktisk ikke er en trussel, så du vil opprette en tillatelsespolicy for den.
Du kan også bidra til å forbedre Microsofts sikkerhetsintelligens ved å sende inn falske positiver og mistenkelige eller kjente dårlige IoCer for analyse. Hvis en advarsel eller blokk feilaktig vises for en fil eller et program, eller hvis du mistenker at en fil som ikke er oppdaget, er skadelig programvare, kan du sende inn en fil til Microsoft for gjennomgang. Hvis du vil ha mer informasjon, kan du se Sende filer for analyse.
IP-/URL-indikatorer
Du kan bruke IP/URL-indikatorer til å oppheve blokkeringen av brukere fra en SmartScreen-usann positiv (FP) eller til å overstyre en WFC-blokk (Web Content Filtering).
Du kan bruke URL- og IP-indikatorer til å administrere områdetilgang. Du kan opprette midlertidige IP- og URL-indikatorer for midlertidig å oppheve blokkeringen av brukere fra en SmartScreen-blokk. Du kan også ha indikatorer som du beholder i lang tid for å selektivt omgå filtreringsblokker for nettinnhold.
Vurder saken der du har en kategorisering av nettinnholdsfiltrering for et bestemt nettsted som er riktig. I dette eksemplet er filtrering av nettinnhold satt til å blokkere alle sosiale medier, noe som er riktig for de overordnede organisasjonsmålene dine. Markedsføringsteamet har imidlertid et reelt behov for å bruke et bestemt nettsted for sosiale medier for annonsering og kunngjøringer. I så fall kan du oppheve blokkeringen av det bestemte sosiale medienettstedet ved hjelp av IP- eller nettadresseindikatorer for den bestemte gruppen (eller gruppene) som skal brukes.
Se webbeskyttelse og nettinnholdsfiltrering
IP/URL-indikatorer: Nettverksbeskyttelse og TCP-treveis håndtrykk
Med nettverksbeskyttelse bestemmes det om tilgang til et område skal tillates eller blokkeres etter fullføring av treveis håndtrykk via TCP/IP. Når et nettsted blokkeres av nettverksbeskyttelse, kan du derfor se en handlingstype ConnectionSuccess under NetworkConnectionEvents i Microsoft Defender-portalen, selv om området ble blokkert. NetworkConnectionEvents rapporteres fra TCP-laget, og ikke fra nettverksbeskyttelse. Når det treveis håndtrykket er fullført, tillates eller blokkeres tilgang til nettstedet av nettverksbeskyttelse.
Her er et eksempel på hvordan dette fungerer:
La oss si at en bruker prøver å få tilgang til et nettsted på enheten sin. Nettstedet driftes tilfeldigvis på et farlig domene, og det bør blokkeres av nettverksbeskyttelse.
Det treveis håndtrykket via TCP/IP starter. Før den fullføres, logges en
NetworkConnectionEventshandling, ogActionTypeden er oppført somConnectionSuccess. Men så snart treveis håndtrykkprosessen er fullført, blokkerer nettverksbeskyttelsen tilgangen til nettstedet. Alt dette skjer raskt. En lignende prosess oppstår med Microsoft Defender SmartScreen. Det er når det treveis håndtrykket fullfører at en bestemmelse er gjort, og tilgang til et nettsted er enten blokkert eller tillatt.I Microsoft Defender-portalen vises et varsel i varslingskøen. Detaljer om dette varselet omfatter både
NetworkConnectionEventsogAlertEvents. Du kan se at området ble blokkert, selv om du også har etNetworkConnectionEventselement med Handlingstype forConnectionSuccess.
Hash-indikatorer for fil
I noen tilfeller kan oppretting av en ny indikator for en nylig identifisert fil-IoC – som et umiddelbart mål for stoppavstand – være aktuelt for å blokkere filer eller programmer. Det kan imidlertid hende at bruk av indikatorer for å forsøke å blokkere et program ikke gir de forventede resultatene, ettersom programmer vanligvis består av mange forskjellige filer. De foretrukne metodene for å blokkere programmer er å bruke Windows Defender Application Control (WDAC) eller AppLocker.
Fordi hver versjon av et program har en annen fil-hash, anbefales det ikke å bruke indikatorer til å blokkere hash-koder.
Windows Defender programkontroll (WDAC)
Sertifikatindikatorer
I noen tilfeller er et bestemt sertifikat som brukes til å signere en fil eller et program som organisasjonen er satt til å tillate eller blokkere. Sertifikatindikatorer støttes i Defender for Endpoint hvis de bruker . CER eller . PEM-filformat. Se Opprett indikatorer basert på sertifikater for mer informasjon.
IoC-gjenkjenningsmotorer
For øyeblikket er de støttede Microsoft-kildene for IoCer:
- Skyregistreringsmotor for Defender for endepunkt
- Automatisert undersøkelse og utbedringsmotor (AIR) i Microsoft Defender for endepunkt
- Endepunktforebyggende motor (Microsoft Defender Antivirus)
Skyregistreringsmotor
Skyregistreringsmotoren til Defender for Endpoint skanner regelmessig innsamlede data og prøver å samsvare med indikatorene du angir. Når det finnes et treff, utføres handlingen i henhold til innstillingene du har angitt for IoC.
Endepunktforebyggende motor
Den samme listen over indikatorer overholdes av forebyggingsagenten. Det betyr at hvis Microsoft Defender Antivirus er det primære antiviruskonfigurerte, behandles de samsvarende indikatorene i henhold til innstillingene. Hvis handlingen for eksempel er «Varsel og blokker», hindrer Microsoft Defender Antivirus filkjøringer (blokker og utbedrer) og et tilsvarende varsel vises. På den annen side, hvis handlingen er satt til «Tillat», Microsoft Defender Antivirus registrerer eller blokkerer ikke filen.
Automatisert undersøkelses- og utbedringsmotor
Den automatiserte undersøkelsen og utbedringen fungerer på samme måte som endepunktforebyggingsmotoren. Hvis en indikator er satt til «Tillat», ignorerer automatisert undersøkelse og utbedring en «dårlig» dom for den. Hvis den settes til «Blokker», behandler automatisert undersøkelse og utbedring den som «dårlig».
Innstillingen EnableFileHashComputation beregner fil-hash-koden for sertifikatet og fil-IOC-en under filskanninger. Den støtter IoC-håndhevelse av hash-koder og sertifikater tilhører klarerte programmer. Den er samtidig aktivert med innstillingen tillat eller blokker fil. EnableFileHashComputationaktiveres manuelt gjennom gruppepolicy og deaktiveres som standard.
Håndhevelsestyper for indikatorer
Når sikkerhetsteamet oppretter en ny indikator (IoC), er følgende handlinger tilgjengelige:
- Tillat – IoC-en har tillatelse til å kjøre på enhetene dine.
- Overvåking – et varsel utløses når IoC kjører.
- Advarsel – IoC ber om en advarsel om at brukeren kan omgå
- Blokkkjøring – IoC får ikke kjøre.
- Blokkere og utbedre - IoC vil ikke få lov til å kjøre og en utbedringshandling vil bli brukt på IoC.
Obs!
Hvis du bruker varselmodus, får brukerne en advarsel hvis de åpner en risikabel app eller et nettsted. Ledeteksten blokkerer dem ikke fra å tillate at programmet eller nettstedet kjøres, men du kan angi en egendefinert melding og koblinger til en firmaside som beskriver riktig bruk av appen. Brukere kan fortsatt hoppe over advarselen og fortsette å bruke appen hvis de trenger det. Hvis du vil ha mer informasjon, kan du se Styre apper som oppdages av Microsoft Defender for endepunkt.
Du kan opprette en indikator for:
Tabellen nedenfor viser nøyaktig hvilke handlinger som er tilgjengelige per indikatortype (IoC):
| IoC-type | Tilgjengelige handlinger |
|---|---|
| Filer | Tillat Tilsynet Advare Blokkkjøring Blokkere og utbedre |
| IP-adresser | Tillat Tilsynet Advare Blokkkjøring |
| URL-adresser og domener | Tillat Tilsynet Advare Blokkkjøring |
| Sertifikater | Tillat Blokkere og utbedre |
Funksjonaliteten til eksisterende IOCer endres ikke. Indikatorene ble imidlertid endret slik at de samsvarer med gjeldende svarhandlinger som støttes:
- Svarhandlingen «Bare varsel» ble endret til «overvåking» med den genererte varselinnstillingen aktivert.
- Svaret «varsel og blokker» ble gitt nytt navn til «blokker og utbedr» med den valgfrie innstillingen for generering av varsel.
IoC API-skjemaet og trussel-ID-ene på forhånd oppdateres for å samsvare med omdøpingen av IoC-responshandlingene. API-skjemaendringene gjelder for alle IoC-typer.
Obs!
Det er en grense på 15 000 indikatorer per leier. Fil- og sertifikatindikatorer blokkerer ikke utelatelser som er definert for Microsoft Defender Antivirus. Indikatorer støttes ikke i Microsoft Defender Antivirus når det er i passiv modus.
Formatet for import av nye indikatorer (IOCer) er endret i henhold til de nye oppdaterte innstillingene for handlinger og varsler. Vi anbefaler at du laster ned det nye CSV-formatet som du finner nederst i importpanelet.
Kjente problemer og begrensninger
Kunder kan oppleve problemer med varsler for indikatorer for kompromiss. Følgende scenarioer er situasjoner der varsler ikke opprettes eller opprettes med unøyaktig informasjon. Hvert problem undersøkes av det tekniske teamet vårt.
- Blokkindikatorer – generiske varsler med informasjonsalvorlighetsgrad vil bare bli utløst. Egendefinerte varsler (det vil si egendefinert tittel og alvorlighetsgrad) utløses ikke i disse tilfellene.
- Advarselsindikatorer – Generelle varsler og egendefinerte varsler er mulig i dette scenarioet, men resultatene er ikke deterministiske på grunn av et problem med logikken for varslingsgjenkjenning. I noen tilfeller kan kunder se et generelt varsel, mens et egendefinert varsel kan vises i andre tilfeller.
- Tillat – Ingen varsler genereres (etter utforming).
- Overvåking – Varsler genereres basert på alvorsgraden fra kunden.
- I noen tilfeller kan varsler som kommer fra EDR-gjenkjenning, ha forrang over varsler som stammer fra antivirusblokker, i så fall genereres et informasjonsvarsel.
Microsoft Store-apper kan ikke blokkeres av Defender fordi de er signert av Microsoft.
Relaterte artikler
- Unntak for Microsoft Defender for endepunkt og Microsoft Defender Antivirus
- Opprett kontekstavhengig IoC
- Bruk API-en for Microsoft Defender for endepunkt-indikatorer
- Bruk partnerintegrerte løsninger
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.