Indicatoren maken
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Tip
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Overzicht van indicator van inbreuk (IoC)
Een indicator van inbreuk (IoC) is een forensisch artefact, waargenomen op het netwerk of de host. Een IoC geeft aan dat er - met hoge betrouwbaarheid - een computer of netwerkinbraak is opgetreden. IOC's zijn waarneembaar, waardoor ze rechtstreeks worden gekoppeld aan meetbare gebeurtenissen. Enkele IoC-voorbeelden zijn:
- hashes van bekende malware
- handtekeningen van schadelijk netwerkverkeer
- URL's of domeinen die bekende malwaredistributeurs zijn
Als u andere inbreuk wilt stoppen of schendingen van bekende IOC's wilt voorkomen, moeten succesvolle IoC-hulpprogramma's alle schadelijke gegevens kunnen detecteren die zijn opgesomd in de regelset van het hulpprogramma. IoC-matching is een essentiële functie in elke oplossing voor eindpuntbeveiliging. Deze mogelijkheid biedt SecOps de mogelijkheid om een lijst met indicatoren in te stellen voor detectie en blokkering (preventie en respons).
Organisaties kunnen indicatoren maken die de detectie, preventie en uitsluiting van IoC-entiteiten definiëren. U kunt de actie definiëren die moet worden uitgevoerd, evenals de duur voor het toepassen van de actie en het bereik van de apparaatgroep waarop deze moet worden toegepast.
In deze video ziet u een overzicht van het maken en toevoegen van indicatoren:
Over Microsoft-indicatoren
In het algemeen moet u alleen indicatoren maken voor bekende slechte IOC's of voor bestanden/websites die expliciet moeten worden toegestaan in uw organisatie. Zie overzicht van Microsoft Defender SmartScreen voor meer informatie over de typen sites die door Defender voor Eindpunt standaard kunnen worden geblokkeerd.
Fout-positief (FP) verwijst naar een SmartScreen-fout-positief, zodat het wordt beschouwd als malware of phish, maar in feite geen bedreiging is, dus u wilt een beleid voor toestaan maken.
U kunt ook helpen bij het verbeteren van de beveiligingsinformatie van Microsoft door fout-positieven en verdachte of bekende slechte IOC's in te dienen voor analyse. Als een waarschuwing of blokkering onjuist wordt weergegeven voor een bestand of toepassing, of als u vermoedt dat een niet-gedetecteerd bestand malware is, kunt u een bestand ter beoordeling indienen bij Microsoft. Zie Bestanden verzenden voor analyse voor meer informatie.
IP-/URL-indicatoren
U kunt IP-/URL-indicatoren gebruiken om gebruikers te deblokkeren van een Fout-positief (FP) van SmartScreen of om een WFC-blok (Web Content Filtering) te overschrijven.
U kunt URL- en IP-indicatoren gebruiken om sitetoegang te beheren. U kunt tussentijdse IP- en URL-indicatoren maken om gebruikers tijdelijk te deblokkeren vanuit een SmartScreen-blok. Mogelijk hebt u ook indicatoren die u gedurende een lange periode bewaart om selectief filterblokken voor webinhoud te omzeilen.
Houd rekening met het geval dat u een categorisatie voor het filteren van webinhoud hebt voor een bepaalde site die juist is. In dit voorbeeld hebt u het filteren van webinhoud ingesteld om alle sociale media te blokkeren. Dit is juist voor uw algemene organisatiedoelen. Het marketingteam heeft echter een echte behoefte om een specifieke sociale mediasite te gebruiken voor advertenties en aankondigingen. In dat geval kunt u de blokkering van de specifieke sociale mediasite opheffen met behulp van IP- of URL-indicatoren voor de specifieke groep (of groepen) die u wilt gebruiken.
Zie Webbeveiliging en Filteren van webinhoud
IP-/URL-indicatoren: netwerkbeveiliging en de TCP-handshake in drie richtingen
Met netwerkbeveiliging wordt bepaald of de toegang tot een site moet worden toegestaan of geblokkeerd na voltooiing van de handshake in drie richtingen via TCP/IP. Wanneer een site wordt geblokkeerd door netwerkbeveiliging, ziet u mogelijk een actietype van ConnectionSuccess
onder NetworkConnectionEvents
in de Microsoft Defender portal, ook al is de site geblokkeerd. NetworkConnectionEvents
worden gerapporteerd vanuit de TCP-laag en niet vanuit netwerkbeveiliging. Nadat de handshake in drie richtingen is voltooid, wordt de toegang tot de site toegestaan of geblokkeerd door netwerkbeveiliging.
Hier volgt een voorbeeld van hoe dat werkt:
Stel dat een gebruiker probeert toegang te krijgen tot een website op het apparaat. De site wordt gehost in een gevaarlijk domein en moet worden geblokkeerd door netwerkbeveiliging.
De handshake in drie richtingen via TCP/IP begint. Voordat deze is voltooid, wordt een
NetworkConnectionEvents
actie geregistreerd enActionType
wordt deze weergegeven alsConnectionSuccess
. Zodra het handshakeproces in drie richtingen is voltooid, blokkeert netwerkbeveiliging echter de toegang tot de site. Dit alles gebeurt snel. Een soortgelijk proces vindt plaats met Microsoft Defender SmartScreen. Wanneer de handshake in drie richtingen is voltooid, wordt een bepaling uitgevoerd en wordt de toegang tot een site geblokkeerd of toegestaan.In de Microsoft Defender-portal wordt een waarschuwing weergegeven in de waarschuwingswachtrij. Details van die waarschuwing zijn zowel als
NetworkConnectionEvents
AlertEvents
. U kunt zien dat de site is geblokkeerd, ook al hebt u ook eenNetworkConnectionEvents
item met het ActionType vanConnectionSuccess
.
Hash-indicatoren voor bestanden
In sommige gevallen kan het maken van een nieuwe indicator voor een nieuw geïdentificeerde bestand-IoC - als een onmiddellijke stop-gap-meting - geschikt zijn om bestanden of zelfs toepassingen te blokkeren. Het gebruik van indicatoren om te proberen een toepassing te blokkeren, levert mogelijk echter niet de verwachte resultaten op, omdat toepassingen meestal uit veel verschillende bestanden bestaan. De voorkeursmethoden voor het blokkeren van toepassingen zijn het gebruik van Windows Defender Application Control (WDAC) of AppLocker.
Omdat elke versie van een toepassing een andere bestands-hash heeft, wordt het gebruik van indicatoren om hashes te blokkeren niet aanbevolen.
Windows Defender Application Control (WDAC)
Certificaatindicatoren
In sommige gevallen is een specifiek certificaat dat wordt gebruikt om een bestand of toepassing te ondertekenen dat uw organisatie is ingesteld op toestaan of blokkeren. Certificaatindicatoren worden ondersteund in Defender voor Eindpunt, als ze de gebruiken. CER of . PEM-bestandsindeling. Zie Creatie indicatoren op basis van certificaten voor meer informatie.
IoC-detectie-engines
Momenteel zijn de ondersteunde Microsoft-bronnen voor IOC's:
- Clouddetectie-engine van Defender voor Eindpunt
- Air-engine (Geautomatiseerd onderzoek en herstel) in Microsoft Defender voor Eindpunt
- Engine voor eindpuntpreventie (Microsoft Defender Antivirus)
Clouddetectie-engine
De clouddetectie-engine van Defender voor Eindpunt scant regelmatig verzamelde gegevens en probeert de ingestelde indicatoren te vinden. Wanneer er een overeenkomst is, wordt actie uitgevoerd volgens de instellingen die u hebt opgegeven voor de IoC.
Eindpuntpreventie-engine
Dezelfde lijst met indicatoren wordt gehonoreerd door het preventiemiddel. Dit betekent dat als Microsoft Defender Antivirus de primaire geconfigureerde antivirus is, de overeenkomende indicatoren worden behandeld volgens de instellingen. Als de actie bijvoorbeeld 'Waarschuwen en blokkeren' is, voorkomt Microsoft Defender Antivirus bestandsuitvoeringen (blokkeren en herstellen) en wordt er een bijbehorende waarschuwing weergegeven. Als de actie daarentegen is ingesteld op Toestaan, wordt het bestand niet gedetecteerd of geblokkeerd door Microsoft Defender Antivirus.
Geautomatiseerde engine voor onderzoek en herstel
Het geautomatiseerde onderzoek en herstel werkt op dezelfde manier als de eindpuntpreventie-engine. Als een indicator is ingesteld op 'Toestaan', negeert geautomatiseerd onderzoek en herstel een 'slechte' uitspraak voor de indicator. Als deze optie is ingesteld op 'Blokkeren', wordt dit door geautomatiseerd onderzoek en herstel behandeld als 'slecht'.
De EnableFileHashComputation
instelling berekent de bestands-hash voor het certificaat en het bestand IoC tijdens bestandsscans. Het ondersteunt IoC-afdwinging van hashes en certificaten behoren tot vertrouwde toepassingen. Het wordt gelijktijdig ingeschakeld met de instelling bestand toestaan of blokkeren. EnableFileHashComputation
is handmatig ingeschakeld via groepsbeleid en is standaard uitgeschakeld.
Afdwingingstypen voor indicatoren
Wanneer uw beveiligingsteam een nieuwe indicator (IoC) maakt, zijn de volgende acties beschikbaar:
- Toestaan : de IoC mag worden uitgevoerd op uw apparaten.
- Audit : er wordt een waarschuwing geactiveerd wanneer de IoC wordt uitgevoerd.
- Waarschuwen : de IoC vraagt een waarschuwing dat de gebruiker kan overslaan
- Uitvoering blokkeren : het IoC mag niet worden uitgevoerd.
- Blokkeren en herstellen : het IoC mag niet worden uitgevoerd en er wordt een herstelactie toegepast op de IoC.
Opmerking
Als u de waarschuwingsmodus gebruikt, krijgen uw gebruikers een waarschuwing als ze een riskante app of website openen. De prompt blokkeert niet dat de toepassing of website kan worden uitgevoerd, maar u kunt een aangepast bericht en koppelingen naar een bedrijfspagina opgeven waarin het juiste gebruik van de app wordt beschreven. Gebruikers kunnen de waarschuwing nog steeds omzeilen en de app blijven gebruiken als ze dat nodig hebben. Zie Apps beheren die zijn gedetecteerd door Microsoft Defender voor Eindpunt voor meer informatie.
U kunt een indicator maken voor:
In de onderstaande tabel ziet u precies welke acties beschikbaar zijn per type indicator (IoC):
IoC-type | Beschikbare acties |
---|---|
Bestanden | Toestaan Audit Waarschuwen Uitvoering blokkeren Blokkeren en herstellen |
IP-adressen | Toestaan Audit Waarschuwen Uitvoering blokkeren |
URL's en domeinen | Toestaan Audit Waarschuwen Uitvoering blokkeren |
Certificaten | Toestaan Blokkeren en herstellen |
De functionaliteit van bestaande IOC's verandert niet. De naam van de indicatoren is echter aangepast aan de huidige ondersteunde reactieacties:
- De reactieactie 'Alleen waarschuwing' is gewijzigd in 'audit' met de gegenereerde waarschuwingsinstelling ingeschakeld.
- De naam van het antwoord 'waarschuwing en blokkeren' is gewijzigd in 'blokkeren en herstellen' met de instelling voor optioneel genereren van waarschuwingen.
Het IoC API-schema en de bedreigings-id's die vooraf worden opgevraagd, worden bijgewerkt om in overeenstemming te zijn met de naamswijziging van de IoC-reactieacties. De wijzigingen in het API-schema zijn van toepassing op alle IoC-typen.
Opmerking
Er is een limiet van 15.000 indicatoren per tenant. Bestands- en certificaatindicatoren blokkeren geen uitsluitingen die zijn gedefinieerd voor Microsoft Defender Antivirus. Indicatoren worden niet ondersteund in Microsoft Defender Antivirus wanneer deze zich in de passieve modus bevindt.
De indeling voor het importeren van nieuwe indicatoren (IOC's) is gewijzigd volgens de nieuwe bijgewerkte instellingen voor acties en waarschuwingen. U wordt aangeraden de nieuwe CSV-indeling te downloaden die onderaan het importvenster te vinden is.
Bekende problemen en beperkingen
Klanten kunnen problemen ondervinden met waarschuwingen voor indicatoren van inbreuk. De volgende scenario's zijn situaties waarin waarschuwingen niet worden gemaakt of worden gemaakt met onjuiste informatie. Elk probleem wordt onderzocht door ons technische team.
- Blokindicatoren : algemene waarschuwingen met alleen informatieve ernst worden geactiveerd. Aangepaste waarschuwingen (aangepaste titel en ernst) worden in deze gevallen niet geactiveerd.
- Waarschuwingsindicatoren : algemene waarschuwingen en aangepaste waarschuwingen zijn mogelijk in dit scenario, maar de resultaten zijn niet deterministisch vanwege een probleem met de waarschuwingsdetectielogica. In sommige gevallen zien klanten mogelijk een algemene waarschuwing, terwijl een aangepaste waarschuwing in andere gevallen kan worden weergegeven.
- Toestaan : er worden geen waarschuwingen gegenereerd (standaard).
- Audit : waarschuwingen worden gegenereerd op basis van de ernst die door de klant is opgegeven.
- In sommige gevallen kunnen waarschuwingen die afkomstig zijn van EDR-detecties voorrang hebben op waarschuwingen die afkomstig zijn van antivirusblokken, in welk geval een informatiewaarschuwing wordt gegenereerd.
Microsoft Store-apps kunnen niet worden geblokkeerd door Defender omdat ze zijn ondertekend door Microsoft.
Verwante artikelen
- Uitsluitingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus
- contextuele IoC Creatie
- De Microsoft Defender voor Eindpunt indicators-API gebruiken
- Geïntegreerde oplossingen voor partners gebruiken
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.