Indicatoren maken

  • Artikel

Van toepassing op:

Tip

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Overzicht van indicator van inbreuk (IoC)

Een indicator van inbreuk (IoC) is een forensisch artefact, waargenomen op het netwerk of de host. Een IoC geeft aan dat er - met hoge betrouwbaarheid - een computer of netwerkinbraak is opgetreden. IOC's zijn waarneembaar, waardoor ze rechtstreeks worden gekoppeld aan meetbare gebeurtenissen. Enkele IoC-voorbeelden zijn:

  • hashes van bekende malware
  • handtekeningen van schadelijk netwerkverkeer
  • URL's of domeinen die bekende malwaredistributeurs zijn

Als u andere inbreuk wilt stoppen of schendingen van bekende IOC's wilt voorkomen, moeten succesvolle IoC-hulpprogramma's alle schadelijke gegevens kunnen detecteren die zijn opgesomd in de regelset van het hulpprogramma. IoC-matching is een essentiële functie in elke oplossing voor eindpuntbeveiliging. Deze mogelijkheid biedt SecOps de mogelijkheid om een lijst met indicatoren in te stellen voor detectie en blokkering (preventie en respons).

Organisaties kunnen indicatoren maken die de detectie, preventie en uitsluiting van IoC-entiteiten definiëren. U kunt de actie definiëren die moet worden uitgevoerd, evenals de duur voor het toepassen van de actie en het bereik van de apparaatgroep waarop deze moet worden toegepast.

In deze video ziet u een overzicht van het maken en toevoegen van indicatoren:

Over Microsoft-indicatoren

In het algemeen moet u alleen indicatoren maken voor bekende slechte IOC's of voor bestanden/websites die expliciet moeten worden toegestaan in uw organisatie. Zie overzicht van Microsoft Defender SmartScreen voor meer informatie over de typen sites die door Defender voor Eindpunt standaard kunnen worden geblokkeerd.

Fout-positief (FP) verwijst naar een SmartScreen-fout-positief, zodat het wordt beschouwd als malware of phish, maar in feite geen bedreiging is, dus u wilt een beleid voor toestaan maken.

U kunt ook helpen bij het verbeteren van de beveiligingsinformatie van Microsoft door fout-positieven en verdachte of bekende slechte IOC's in te dienen voor analyse. Als een waarschuwing of blokkering onjuist wordt weergegeven voor een bestand of toepassing, of als u vermoedt dat een niet-gedetecteerd bestand malware is, kunt u een bestand ter beoordeling indienen bij Microsoft. Zie Bestanden verzenden voor analyse voor meer informatie.

IP-/URL-indicatoren

U kunt IP-/URL-indicatoren gebruiken om gebruikers te deblokkeren van een Fout-positief (FP) van SmartScreen of om een WFC-blok (Web Content Filtering) te overschrijven.

U kunt URL- en IP-indicatoren gebruiken om sitetoegang te beheren. U kunt tussentijdse IP- en URL-indicatoren maken om gebruikers tijdelijk te deblokkeren vanuit een SmartScreen-blok. Mogelijk hebt u ook indicatoren die u gedurende een lange periode bewaart om selectief filterblokken voor webinhoud te omzeilen.

Houd rekening met het geval dat u een categorisatie voor het filteren van webinhoud hebt voor een bepaalde site die juist is. In dit voorbeeld hebt u het filteren van webinhoud ingesteld om alle sociale media te blokkeren. Dit is juist voor uw algemene organisatiedoelen. Het marketingteam heeft echter een echte behoefte om een specifieke sociale mediasite te gebruiken voor advertenties en aankondigingen. In dat geval kunt u de blokkering van de specifieke sociale mediasite opheffen met behulp van IP- of URL-indicatoren voor de specifieke groep (of groepen) die u wilt gebruiken.

Zie Webbeveiliging en Filteren van webinhoud

IP-/URL-indicatoren: netwerkbeveiliging en de TCP-handshake in drie richtingen

Met netwerkbeveiliging wordt bepaald of de toegang tot een site moet worden toegestaan of geblokkeerd na voltooiing van de handshake in drie richtingen via TCP/IP. Wanneer een site wordt geblokkeerd door netwerkbeveiliging, ziet u mogelijk een actietype van ConnectionSuccess onder NetworkConnectionEvents in de Microsoft Defender portal, ook al is de site geblokkeerd. NetworkConnectionEvents worden gerapporteerd vanuit de TCP-laag en niet vanuit netwerkbeveiliging. Nadat de handshake in drie richtingen is voltooid, wordt de toegang tot de site toegestaan of geblokkeerd door netwerkbeveiliging.

Hier volgt een voorbeeld van hoe dat werkt:

  1. Stel dat een gebruiker probeert toegang te krijgen tot een website op het apparaat. De site wordt gehost in een gevaarlijk domein en moet worden geblokkeerd door netwerkbeveiliging.

  2. De handshake in drie richtingen via TCP/IP begint. Voordat deze is voltooid, wordt een NetworkConnectionEvents actie geregistreerd en ActionType wordt deze weergegeven als ConnectionSuccess. Zodra het handshakeproces in drie richtingen is voltooid, blokkeert netwerkbeveiliging echter de toegang tot de site. Dit alles gebeurt snel. Een soortgelijk proces vindt plaats met Microsoft Defender SmartScreen. Wanneer de handshake in drie richtingen is voltooid, wordt een bepaling uitgevoerd en wordt de toegang tot een site geblokkeerd of toegestaan.

  3. In de Microsoft Defender-portal wordt een waarschuwing weergegeven in de waarschuwingswachtrij. Details van die waarschuwing zijn zowel als NetworkConnectionEventsAlertEvents. U kunt zien dat de site is geblokkeerd, ook al hebt u ook een NetworkConnectionEvents item met het ActionType van ConnectionSuccess.

Hash-indicatoren voor bestanden

In sommige gevallen kan het maken van een nieuwe indicator voor een nieuw geïdentificeerde bestand-IoC - als een onmiddellijke stop-gap-meting - geschikt zijn om bestanden of zelfs toepassingen te blokkeren. Het gebruik van indicatoren om te proberen een toepassing te blokkeren, levert mogelijk echter niet de verwachte resultaten op, omdat toepassingen meestal uit veel verschillende bestanden bestaan. De voorkeursmethoden voor het blokkeren van toepassingen zijn het gebruik van Windows Defender Application Control (WDAC) of AppLocker.

Omdat elke versie van een toepassing een andere bestands-hash heeft, wordt het gebruik van indicatoren om hashes te blokkeren niet aanbevolen.

Windows Defender Application Control (WDAC)

Certificaatindicatoren

In sommige gevallen is een specifiek certificaat dat wordt gebruikt om een bestand of toepassing te ondertekenen dat uw organisatie is ingesteld op toestaan of blokkeren. Certificaatindicatoren worden ondersteund in Defender voor Eindpunt, als ze de gebruiken. CER of . PEM-bestandsindeling. Zie Creatie indicatoren op basis van certificaten voor meer informatie.

IoC-detectie-engines

Momenteel zijn de ondersteunde Microsoft-bronnen voor IOC's:

Clouddetectie-engine

De clouddetectie-engine van Defender voor Eindpunt scant regelmatig verzamelde gegevens en probeert de ingestelde indicatoren te vinden. Wanneer er een overeenkomst is, wordt actie uitgevoerd volgens de instellingen die u hebt opgegeven voor de IoC.

Eindpuntpreventie-engine

Dezelfde lijst met indicatoren wordt gehonoreerd door het preventiemiddel. Dit betekent dat als Microsoft Defender Antivirus de primaire geconfigureerde antivirus is, de overeenkomende indicatoren worden behandeld volgens de instellingen. Als de actie bijvoorbeeld 'Waarschuwen en blokkeren' is, voorkomt Microsoft Defender Antivirus bestandsuitvoeringen (blokkeren en herstellen) en wordt er een bijbehorende waarschuwing weergegeven. Als de actie daarentegen is ingesteld op Toestaan, wordt het bestand niet gedetecteerd of geblokkeerd door Microsoft Defender Antivirus.

Geautomatiseerde engine voor onderzoek en herstel

Het geautomatiseerde onderzoek en herstel werkt op dezelfde manier als de eindpuntpreventie-engine. Als een indicator is ingesteld op 'Toestaan', negeert geautomatiseerd onderzoek en herstel een 'slechte' uitspraak voor de indicator. Als deze optie is ingesteld op 'Blokkeren', wordt dit door geautomatiseerd onderzoek en herstel behandeld als 'slecht'.

De EnableFileHashComputation instelling berekent de bestands-hash voor het certificaat en het bestand IoC tijdens bestandsscans. Het ondersteunt IoC-afdwinging van hashes en certificaten behoren tot vertrouwde toepassingen. Het wordt gelijktijdig ingeschakeld met de instelling bestand toestaan of blokkeren. EnableFileHashComputationis handmatig ingeschakeld via groepsbeleid en is standaard uitgeschakeld.

Afdwingingstypen voor indicatoren

Wanneer uw beveiligingsteam een nieuwe indicator (IoC) maakt, zijn de volgende acties beschikbaar:

  • Toestaan : de IoC mag worden uitgevoerd op uw apparaten.
  • Audit : er wordt een waarschuwing geactiveerd wanneer de IoC wordt uitgevoerd.
  • Waarschuwen : de IoC vraagt een waarschuwing dat de gebruiker kan overslaan
  • Uitvoering blokkeren : het IoC mag niet worden uitgevoerd.
  • Blokkeren en herstellen : het IoC mag niet worden uitgevoerd en er wordt een herstelactie toegepast op de IoC.

Opmerking

Als u de waarschuwingsmodus gebruikt, krijgen uw gebruikers een waarschuwing als ze een riskante app of website openen. De prompt blokkeert niet dat de toepassing of website kan worden uitgevoerd, maar u kunt een aangepast bericht en koppelingen naar een bedrijfspagina opgeven waarin het juiste gebruik van de app wordt beschreven. Gebruikers kunnen de waarschuwing nog steeds omzeilen en de app blijven gebruiken als ze dat nodig hebben. Zie Apps beheren die zijn gedetecteerd door Microsoft Defender voor Eindpunt voor meer informatie.

U kunt een indicator maken voor:

In de onderstaande tabel ziet u precies welke acties beschikbaar zijn per type indicator (IoC):

IoC-type Beschikbare acties
Bestanden Toestaan
Audit
Waarschuwen
Uitvoering blokkeren
Blokkeren en herstellen
IP-adressen Toestaan
Audit
Waarschuwen
Uitvoering blokkeren
URL's en domeinen Toestaan
Audit
Waarschuwen
Uitvoering blokkeren
Certificaten Toestaan
Blokkeren en herstellen

De functionaliteit van bestaande IOC's verandert niet. De naam van de indicatoren is echter aangepast aan de huidige ondersteunde reactieacties:

  • De reactieactie 'Alleen waarschuwing' is gewijzigd in 'audit' met de gegenereerde waarschuwingsinstelling ingeschakeld.
  • De naam van het antwoord 'waarschuwing en blokkeren' is gewijzigd in 'blokkeren en herstellen' met de instelling voor optioneel genereren van waarschuwingen.

Het IoC API-schema en de bedreigings-id's die vooraf worden opgevraagd, worden bijgewerkt om in overeenstemming te zijn met de naamswijziging van de IoC-reactieacties. De wijzigingen in het API-schema zijn van toepassing op alle IoC-typen.

Opmerking

Er is een limiet van 15.000 indicatoren per tenant. Bestands- en certificaatindicatoren blokkeren geen uitsluitingen die zijn gedefinieerd voor Microsoft Defender Antivirus. Indicatoren worden niet ondersteund in Microsoft Defender Antivirus wanneer deze zich in de passieve modus bevindt.

De indeling voor het importeren van nieuwe indicatoren (IOC's) is gewijzigd volgens de nieuwe bijgewerkte instellingen voor acties en waarschuwingen. U wordt aangeraden de nieuwe CSV-indeling te downloaden die onderaan het importvenster te vinden is.

Bekende problemen en beperkingen

Klanten kunnen problemen ondervinden met waarschuwingen voor indicatoren van inbreuk. De volgende scenario's zijn situaties waarin waarschuwingen niet worden gemaakt of worden gemaakt met onjuiste informatie. Elk probleem wordt onderzocht door ons technische team.

  • Blokindicatoren : algemene waarschuwingen met alleen informatieve ernst worden geactiveerd. Aangepaste waarschuwingen (aangepaste titel en ernst) worden in deze gevallen niet geactiveerd.
  • Waarschuwingsindicatoren : algemene waarschuwingen en aangepaste waarschuwingen zijn mogelijk in dit scenario, maar de resultaten zijn niet deterministisch vanwege een probleem met de waarschuwingsdetectielogica. In sommige gevallen zien klanten mogelijk een algemene waarschuwing, terwijl een aangepaste waarschuwing in andere gevallen kan worden weergegeven.
  • Toestaan : er worden geen waarschuwingen gegenereerd (standaard).
  • Audit : waarschuwingen worden gegenereerd op basis van de ernst die door de klant is opgegeven.
  • In sommige gevallen kunnen waarschuwingen die afkomstig zijn van EDR-detecties voorrang hebben op waarschuwingen die afkomstig zijn van antivirusblokken, in welk geval een informatiewaarschuwing wordt gegenereerd.

Microsoft Store-apps kunnen niet worden geblokkeerd door Defender omdat ze zijn ondertekend door Microsoft.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.