Opprett indikatorer

  • Artikkel

Gjelder for:

Tips

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Indikator for kompromiss (IoC)-oversikt

En indikator for kompromiss (IoC) er en rettsmedisinsk artefakt, observert på nettverket eller verten. En IoC indikerer - med høy visshet - en datamaskin eller nettverksinntrenging har skjedd. IoCer er observerbare, som kobler dem direkte til målbare hendelser. Noen eksempler på IoC inkluderer:

  • hash-koder for kjent skadelig programvare
  • signaturer av skadelig nettverkstrafikk
  • URL-adresser eller domener som er kjente distributører for skadelig programvare

Hvis du vil stanse andre kompromisser eller forhindre brudd på kjente IoCer, skal vellykkede IoC-verktøy kunne oppdage alle skadelige data som er opplistet av verktøyets regelsett. IoC-samsvar er en viktig funksjon i hver endepunktbeskyttelsesløsning. Denne funksjonen gir SecOps muligheten til å angi en liste over indikatorer for gjenkjenning og for blokkering (forebygging og respons).

Organisasjoner kan opprette indikatorer som definerer gjenkjenning, forebygging og utelukkelse av IoC-enheter. Du kan definere handlingen som skal utføres, i tillegg til varigheten for når handlingen skal brukes, og omfanget av enhetsgruppen den skal brukes på.

Denne videoen viser en gjennomgang av hvordan du oppretter og legger til indikatorer:

Om Microsoft-indikatorer

Som en generell regel bør du bare opprette indikatorer for kjente dårlige IOCer, eller for filer/nettsteder som skal være eksplisitt tillatt i organisasjonen. Hvis du vil ha mer informasjon om hvilke typer nettsteder Defender for endepunkt kan blokkere som standard, kan du se Microsoft Defender Oversikt over SmartScreen.

Usann positiv (FP) refererer til en SmartScreen-positiv positiv, slik at den anses å være skadelig programvare eller phish, men faktisk ikke er en trussel, så du vil opprette en tillatelsespolicy for den.

Du kan også bidra til å forbedre Microsofts sikkerhetsintelligens ved å sende inn falske positiver og mistenkelige eller kjente dårlige IoCer for analyse. Hvis en advarsel eller blokk feilaktig vises for en fil eller et program, eller hvis du mistenker at en fil som ikke er oppdaget, er skadelig programvare, kan du sende inn en fil til Microsoft for gjennomgang. Hvis du vil ha mer informasjon, kan du se Sende filer for analyse.

IP-/URL-indikatorer

Du kan bruke IP/URL-indikatorer til å oppheve blokkeringen av brukere fra en SmartScreen-usann positiv (FP) eller til å overstyre en WFC-blokk (Web Content Filtering).

Du kan bruke URL- og IP-indikatorer til å administrere områdetilgang. Du kan opprette midlertidige IP- og URL-indikatorer for midlertidig å oppheve blokkeringen av brukere fra en SmartScreen-blokk. Du kan også ha indikatorer som du beholder i lang tid for å selektivt omgå filtreringsblokker for nettinnhold.

Vurder saken der du har en kategorisering av nettinnholdsfiltrering for et bestemt nettsted som er riktig. I dette eksemplet er filtrering av nettinnhold satt til å blokkere alle sosiale medier, noe som er riktig for de overordnede organisasjonsmålene dine. Markedsføringsteamet har imidlertid et reelt behov for å bruke et bestemt nettsted for sosiale medier for annonsering og kunngjøringer. I så fall kan du oppheve blokkeringen av det bestemte sosiale medienettstedet ved hjelp av IP- eller nettadresseindikatorer for den bestemte gruppen (eller gruppene) som skal brukes.

Se webbeskyttelse og nettinnholdsfiltrering

IP/URL-indikatorer: Nettverksbeskyttelse og TCP-treveis håndtrykk

Med nettverksbeskyttelse bestemmes det om tilgang til et område skal tillates eller blokkeres etter fullføring av treveis håndtrykk via TCP/IP. Når et nettsted blokkeres av nettverksbeskyttelse, kan du derfor se en handlingstype ConnectionSuccess under NetworkConnectionEvents i Microsoft Defender-portalen, selv om området ble blokkert. NetworkConnectionEvents rapporteres fra TCP-laget, og ikke fra nettverksbeskyttelse. Når det treveis håndtrykket er fullført, tillates eller blokkeres tilgang til nettstedet av nettverksbeskyttelse.

Her er et eksempel på hvordan dette fungerer:

  1. La oss si at en bruker prøver å få tilgang til et nettsted på enheten sin. Nettstedet driftes tilfeldigvis på et farlig domene, og det bør blokkeres av nettverksbeskyttelse.

  2. Det treveis håndtrykket via TCP/IP starter. Før den fullføres, logges en NetworkConnectionEvents handling, og ActionType den er oppført som ConnectionSuccess. Men så snart treveis håndtrykkprosessen er fullført, blokkerer nettverksbeskyttelsen tilgangen til nettstedet. Alt dette skjer raskt. En lignende prosess oppstår med Microsoft Defender SmartScreen. Det er når det treveis håndtrykket fullfører at en bestemmelse er gjort, og tilgang til et nettsted er enten blokkert eller tillatt.

  3. I Microsoft Defender-portalen vises et varsel i varslingskøen. Detaljer om dette varselet omfatter både NetworkConnectionEvents og AlertEvents. Du kan se at området ble blokkert, selv om du også har et NetworkConnectionEvents element med Handlingstype for ConnectionSuccess.

Hash-indikatorer for fil

I noen tilfeller kan oppretting av en ny indikator for en nylig identifisert fil-IoC – som et umiddelbart mål for stoppavstand – være aktuelt for å blokkere filer eller programmer. Det kan imidlertid hende at bruk av indikatorer for å forsøke å blokkere et program ikke gir de forventede resultatene, ettersom programmer vanligvis består av mange forskjellige filer. De foretrukne metodene for å blokkere programmer er å bruke Windows Defender Application Control (WDAC) eller AppLocker.

Fordi hver versjon av et program har en annen fil-hash, anbefales det ikke å bruke indikatorer til å blokkere hash-koder.

Windows Defender programkontroll (WDAC)

Sertifikatindikatorer

I noen tilfeller er et bestemt sertifikat som brukes til å signere en fil eller et program som organisasjonen er satt til å tillate eller blokkere. Sertifikatindikatorer støttes i Defender for Endpoint hvis de bruker . CER eller . PEM-filformat. Se Opprett indikatorer basert på sertifikater for mer informasjon.

IoC-gjenkjenningsmotorer

For øyeblikket er de støttede Microsoft-kildene for IoCer:

Skyregistreringsmotor

Skyregistreringsmotoren til Defender for Endpoint skanner regelmessig innsamlede data og prøver å samsvare med indikatorene du angir. Når det finnes et treff, utføres handlingen i henhold til innstillingene du har angitt for IoC.

Endepunktforebyggende motor

Den samme listen over indikatorer overholdes av forebyggingsagenten. Det betyr at hvis Microsoft Defender Antivirus er det primære antiviruskonfigurerte, behandles de samsvarende indikatorene i henhold til innstillingene. Hvis handlingen for eksempel er «Varsel og blokker», hindrer Microsoft Defender Antivirus filkjøringer (blokker og utbedrer) og et tilsvarende varsel vises. På den annen side, hvis handlingen er satt til «Tillat», Microsoft Defender Antivirus registrerer eller blokkerer ikke filen.

Automatisert undersøkelses- og utbedringsmotor

Den automatiserte undersøkelsen og utbedringen fungerer på samme måte som endepunktforebyggingsmotoren. Hvis en indikator er satt til «Tillat», ignorerer automatisert undersøkelse og utbedring en «dårlig» dom for den. Hvis den settes til «Blokker», behandler automatisert undersøkelse og utbedring den som «dårlig».

Innstillingen EnableFileHashComputation beregner fil-hash-koden for sertifikatet og fil-IOC-en under filskanninger. Den støtter IoC-håndhevelse av hash-koder og sertifikater tilhører klarerte programmer. Den er samtidig aktivert med innstillingen tillat eller blokker fil. EnableFileHashComputationaktiveres manuelt gjennom gruppepolicy og deaktiveres som standard.

Håndhevelsestyper for indikatorer

Når sikkerhetsteamet oppretter en ny indikator (IoC), er følgende handlinger tilgjengelige:

  • Tillat – IoC-en har tillatelse til å kjøre på enhetene dine.
  • Overvåking – et varsel utløses når IoC kjører.
  • Advarsel – IoC ber om en advarsel om at brukeren kan omgå
  • Blokkkjøring – IoC får ikke kjøre.
  • Blokkere og utbedre - IoC vil ikke få lov til å kjøre og en utbedringshandling vil bli brukt på IoC.

Obs!

Hvis du bruker varselmodus, får brukerne en advarsel hvis de åpner en risikabel app eller et nettsted. Ledeteksten blokkerer dem ikke fra å tillate at programmet eller nettstedet kjøres, men du kan angi en egendefinert melding og koblinger til en firmaside som beskriver riktig bruk av appen. Brukere kan fortsatt hoppe over advarselen og fortsette å bruke appen hvis de trenger det. Hvis du vil ha mer informasjon, kan du se Styre apper som oppdages av Microsoft Defender for endepunkt.

Du kan opprette en indikator for:

Tabellen nedenfor viser nøyaktig hvilke handlinger som er tilgjengelige per indikatortype (IoC):

IoC-type Tilgjengelige handlinger
Filer Tillat
Tilsynet
Advare
Blokkkjøring
Blokkere og utbedre
IP-adresser Tillat
Tilsynet
Advare
Blokkkjøring
URL-adresser og domener Tillat
Tilsynet
Advare
Blokkkjøring
Sertifikater Tillat
Blokkere og utbedre

Funksjonaliteten til eksisterende IOCer endres ikke. Indikatorene ble imidlertid endret slik at de samsvarer med gjeldende svarhandlinger som støttes:

  • Svarhandlingen «Bare varsel» ble endret til «overvåking» med den genererte varselinnstillingen aktivert.
  • Svaret «varsel og blokker» ble gitt nytt navn til «blokker og utbedr» med den valgfrie innstillingen for generering av varsel.

IoC API-skjemaet og trussel-ID-ene på forhånd oppdateres for å samsvare med omdøpingen av IoC-responshandlingene. API-skjemaendringene gjelder for alle IoC-typer.

Obs!

Det er en grense på 15 000 indikatorer per leier. Fil- og sertifikatindikatorer blokkerer ikke utelatelser som er definert for Microsoft Defender Antivirus. Indikatorer støttes ikke i Microsoft Defender Antivirus når det er i passiv modus.

Formatet for import av nye indikatorer (IOCer) er endret i henhold til de nye oppdaterte innstillingene for handlinger og varsler. Vi anbefaler at du laster ned det nye CSV-formatet som du finner nederst i importpanelet.

Kjente problemer og begrensninger

Kunder kan oppleve problemer med varsler for indikatorer for kompromiss. Følgende scenarioer er situasjoner der varsler ikke opprettes eller opprettes med unøyaktig informasjon. Hvert problem undersøkes av det tekniske teamet vårt.

  • Blokkindikatorer – generiske varsler med informasjonsalvorlighetsgrad vil bare bli utløst. Egendefinerte varsler (det vil si egendefinert tittel og alvorlighetsgrad) utløses ikke i disse tilfellene.
  • Advarselsindikatorer – Generelle varsler og egendefinerte varsler er mulig i dette scenarioet, men resultatene er ikke deterministiske på grunn av et problem med logikken for varslingsgjenkjenning. I noen tilfeller kan kunder se et generelt varsel, mens et egendefinert varsel kan vises i andre tilfeller.
  • Tillat – Ingen varsler genereres (etter utforming).
  • Overvåking – Varsler genereres basert på alvorsgraden fra kunden.
  • I noen tilfeller kan varsler som kommer fra EDR-gjenkjenning, ha forrang over varsler som stammer fra antivirusblokker, i så fall genereres et informasjonsvarsel.

Microsoft Store-apper kan ikke blokkeres av Defender fordi de er signert av Microsoft.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.