Creatie indicatoren op basis van certificaten
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
U kunt indicatoren voor certificaten maken. Enkele veelvoorkomende use cases zijn:
- Scenario's waarin u blokkeringstechnologieën moet implementeren, zoals regels voor het verminderen van kwetsbaarheid voor aanvallen en beheerde maptoegang , maar gedrag van ondertekende toepassingen moet toestaan door het certificaat toe te voegen aan de acceptatielijst.
- Het gebruik van een specifieke ondertekende toepassing in uw organisatie blokkeren. Door een indicator te maken om het certificaat van de toepassing te blokkeren, voorkomt Windows Defender AV bestandsuitvoeringen (blokkeren en herstellen) en gedraagt geautomatiseerd onderzoek en herstel zich hetzelfde.
Voordat u begint
Het is belangrijk om de volgende vereisten te begrijpen voordat u indicatoren voor certificaten maakt:
Deze functie is beschikbaar als uw organisatie gebruikmaakt van Microsoft Defender Antivirus en cloudbeveiliging is ingeschakeld. Zie Cloudbeveiliging beheren voor meer informatie.
De versie van de Antimalware-client moet 4.18.1901.x of hoger zijn.
Ondersteund op computers op Windows 10 versie 1703 of hoger, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 en Windows Server 2022.
Opmerking
Windows Server 2016 en Windows Server 2012 R2 moeten worden toegevoegd aan de hand van de instructies op Windows-servers onboarden om deze functie te laten werken.
De virus- en bedreigingsbeveiligingsdefinities moeten up-to-date zijn.
Deze functie ondersteunt momenteel het invoeren van . CER of . PEM-bestandsextensies.
Belangrijk
- Een geldig leaf-certificaat is een handtekeningcertificaat met een geldig certificeringspad en moet worden gekoppeld aan de basiscertificeringsinstantie (CA) die door Microsoft wordt vertrouwd. U kunt ook een aangepast (zelfondertekend) certificaat gebruiken zolang het wordt vertrouwd door de client (basis-CA-certificaat wordt geïnstalleerd onder de lokale computer 'Vertrouwde basiscertificeringsinstanties').
- De onderliggende of bovenliggende van de IOC's voor het toestaan/blokkeren van certificaten zijn niet opgenomen in de ioC-functionaliteit toestaan/blokkeren, alleen leaf-certificaten worden ondersteund.
- Door Microsoft ondertekende certificaten kunnen niet worden geblokkeerd.
Creatie een indicator voor certificaten op de instellingenpagina:
Belangrijk
Het kan tot 3 uur duren om een IoC-certificaat te maken en te verwijderen.
Selecteer in het navigatiedeelvenster Instellingen>Eindpuntindicatoren>(onderRegels).
Selecteer Indicator toevoegen.
Geef de volgende details op:
- Indicator: geef de entiteitsdetails op en definieer de vervaldatum van de indicator.
- Actie: geef de actie op die moet worden uitgevoerd en geef een beschrijving op.
- Bereik: definieer het bereik van de computergroep.
Controleer de details op het tabblad Samenvatting en klik vervolgens op Opslaan.
Verwante artikelen
- Indicatoren maken
- Indicatoren voor bestanden maken
- Indicatoren maken voor IP's en URL's/domeinen
- Indicatoren beheren
- Uitsluitingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor