Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Overzicht van indicator van inbreuk (IoC)
Een indicator van inbreuk (IoC) is een forensisch artefact dat wordt waargenomen op het netwerk of de host. Een IoC geeft - met hoge betrouwbaarheid - aan dat er een computer of netwerkinbraak is opgetreden. IOC's zijn waarneembaar, waardoor ze rechtstreeks worden gekoppeld aan meetbare gebeurtenissen. Enkele IoC-voorbeelden zijn:
- hashes van bekende malware
- handtekeningen van schadelijk netwerkverkeer
- URL's of domeinen die bekende malwaredistributeurs zijn
Als u andere inbreuk wilt stoppen of schendingen van bekende IOC's wilt voorkomen, moeten succesvolle IoC-hulpprogramma's alle schadelijke gegevens kunnen detecteren die zijn opgesomd in de regelset van het hulpprogramma. IoC-matching is een essentiële functie in elke oplossing voor eindpuntbeveiliging. Deze mogelijkheid biedt SecOps de mogelijkheid om een lijst met indicatoren in te stellen voor detectie en blokkering (preventie en respons).
Organisaties kunnen indicatoren maken die de detectie, preventie en uitsluiting van IoC-entiteiten definiëren. U kunt de actie definiëren die moet worden uitgevoerd, evenals de duur voor het toepassen van de actie en het bereik van de apparaatgroep waarop deze moet worden toegepast.
In deze video ziet u een overzicht van het maken en toevoegen van indicatoren:
Over Microsoft-indicatoren
In het algemeen moet u alleen indicatoren maken voor bekende slechte IOC's of voor bestanden/websites die expliciet moeten worden toegestaan in uw organisatie. Zie overzicht van Microsoft Defender SmartScreen voor meer informatie over de typen sites die door Defender voor Eindpunt standaard kunnen worden geblokkeerd.
Een fout-positief (FP) verwijst naar een fout-positief in de bedreigingsinformatie van Microsoft. Als een bepaalde resource niet daadwerkelijk een bedreiging is, kunt u een IoC toestaan maken om de resource toe te staan. U kunt ook helpen bij het verbeteren van de beveiligingsinformatie van Microsoft door fout-positieven en verdachte of bekende slechte IOC's in te dienen voor analyse. Als een waarschuwing of blokkering onjuist wordt weergegeven voor een bestand of toepassing, of als u vermoedt dat een niet-gedetecteerd bestand malware is, kunt u een bestand ter beoordeling indienen bij Microsoft. Zie Bestanden verzenden voor analyse voor meer informatie.
IP-/URL-/domeinindicatoren
U kunt IP- en URL-/domeinindicatoren gebruiken om sitetoegang te beheren.
Als u verbindingen met een IP-adres wilt blokkeren, typt u het IPv4-adres in de vorm van gestippelde quad (bijvoorbeeld 8.8.8.8). Geef voor IPv6-adressen alle 8 segmenten op (bijvoorbeeld 2001:4860:4860:0:0:0:0:8888). Jokertekens en bereiken worden niet ondersteund.
Als u verbindingen met een domein en een van de subdomeinen wilt blokkeren, geeft u het domein op (bijvoorbeeld example.com). Deze indicator komt overeen example.com met sub.example.com en anything.sub.example.com.
Als u een specifiek URL-pad wilt blokkeren, geeft u het URL-pad op (bijvoorbeeld https://example.com/block). Deze indicator komt overeen met resources onder het /block pad op example.com. Houd er rekening mee dat HTTPS-URL-paden alleen worden vergeleken in Microsoft Edge; HTTP-URL-paden kunnen in elke browser worden vergeleken.
U kunt ook IP- en URL-indicatoren maken om gebruikers van een SmartScreen-blok te deblokkeren of selectief blokken voor het filteren van webinhoud overslaan van sites die u wilt laten laden. Denk bijvoorbeeld aan een geval waarin het filteren van webinhoud is ingesteld op het blokkeren van alle websites voor sociale media. Het marketingteam heeft echter een vereiste om een specifieke sociale mediasite te gebruiken om hun advertentieplaatsingen te controleren. In dit geval kunt u de blokkering van de specifieke site voor sociale media opheffen door een domein indicator Toestaan te maken en deze toe te wijzen aan de apparaatgroep van het marketingteam.
Zie Webbeveiliging en Filteren van webinhoud
IP-/URL-indicatoren: netwerkbeveiliging en de TCP-handshake in drie richtingen
Met netwerkbeveiliging wordt bepaald of de toegang tot een site moet worden toegestaan of geblokkeerd na voltooiing van de handshake in drie richtingen via TCP/IP. Wanneer een site wordt geblokkeerd door netwerkbeveiliging, ziet u mogelijk een actietype van ConnectionSuccess onder NetworkConnectionEvents in de Microsoft Defender portal, ook al is de site geblokkeerd.
NetworkConnectionEvents worden gerapporteerd vanuit de TCP-laag en niet vanuit netwerkbeveiliging. Nadat de handshake in drie richtingen is voltooid, wordt de toegang tot de site toegestaan of geblokkeerd door netwerkbeveiliging.
Hier volgt een voorbeeld van hoe dat werkt:
Stel dat een gebruiker probeert toegang te krijgen tot een website op het apparaat. De site wordt gehost in een gevaarlijk domein en moet worden geblokkeerd door netwerkbeveiliging.
De handshake in drie richtingen via TCP/IP begint. Voordat deze is voltooid, wordt een
NetworkConnectionEventsactie geregistreerd enActionTypewordt deze weergegeven alsConnectionSuccess. Zodra het handshakeproces in drie richtingen is voltooid, blokkeert netwerkbeveiliging echter de toegang tot de site. Dit alles gebeurt snel. Een soortgelijk proces vindt plaats met Microsoft Defender SmartScreen. Wanneer de handshake in drie richtingen is voltooid, wordt een bepaling uitgevoerd en wordt de toegang tot een site geblokkeerd of toegestaan.In de Microsoft Defender-portal wordt een waarschuwing weergegeven in de waarschuwingswachtrij. Details van die waarschuwing zijn zowel als
NetworkConnectionEventsAlertEvents. U kunt zien dat de site is geblokkeerd, ook al hebt u ook eenNetworkConnectionEventsitem met het ActionType vanConnectionSuccess.
Hash-indicatoren voor bestanden
In sommige gevallen kan het maken van een nieuwe indicator voor een nieuw geïdentificeerde bestand-IoC - als een onmiddellijke stop-gap-meting - geschikt zijn om bestanden of zelfs toepassingen te blokkeren. Het gebruik van indicatoren om te proberen een toepassing te blokkeren, levert mogelijk echter niet de verwachte resultaten op, omdat toepassingen meestal uit veel verschillende bestanden bestaan. De voorkeursmethoden voor het blokkeren van toepassingen zijn het gebruik van Windows Defender Application Control (WDAC) of AppLocker.
Omdat elke versie van een toepassing een andere bestands-hash heeft, wordt het gebruik van indicatoren om hashes te blokkeren niet aanbevolen.
Windows Defender Application Control (WDAC)
Certificaatindicatoren
U kunt een IoC maken om bestanden en toepassingen die door dat certificaat zijn ondertekend toe te staan of te blokkeren. Certificaatindicatoren kunnen worden opgegeven in de . CER of . PEM-bestandsindeling. Zie Indicatoren maken op basis van certificaten voor meer informatie.
IoC-detectie-engines
Momenteel zijn de ondersteunde Microsoft-bronnen voor IOC's:
- Clouddetectie-engine van Defender voor Eindpunt
- Air-engine (Geautomatiseerd onderzoek en herstel) in Microsoft Defender voor Eindpunt
- Engine voor eindpuntpreventie (Microsoft Defender Antivirus)
Clouddetectie-engine
De clouddetectie-engine van Defender voor Eindpunt scant regelmatig verzamelde gegevens en probeert de ingestelde indicatoren te vinden. Wanneer er een overeenkomst is, wordt actie uitgevoerd volgens de instellingen die u hebt opgegeven voor de IoC.
Eindpuntpreventie-engine
Dezelfde lijst met indicatoren wordt gehonoreerd door het preventiemiddel. Dit betekent dat als Microsoft Defender Antivirus de primaire geconfigureerde antivirus is, de overeenkomende indicatoren worden behandeld volgens de instellingen. Als de actie bijvoorbeeld blokkeren en herstellen is, voorkomt Microsoft Defender Antivirus dat bestanden worden uitgevoerd en wordt er een bijbehorende waarschuwing weergegeven. Als de actie daarentegen is ingesteld op Toestaan, wordt het bestand niet gedetecteerd of geblokkeerd Microsoft Defender Antivirus.
Geautomatiseerde engine voor onderzoek en herstel
Het geautomatiseerde onderzoek en herstel werkt op dezelfde manier als de eindpuntpreventie-engine. Als een indicator is ingesteld op Toestaan, negeert geautomatiseerd onderzoek en herstel een ongeldige beoordeling. Als deze optie is ingesteld op Blokkeren, wordt dit door geautomatiseerd onderzoek en herstel als slecht behandeld.
De EnableFileHashComputation instelling berekent de bestands-hash tijdens bestandsscans. Het ondersteunt IoC-afdwinging tegen hashes die behoren tot vertrouwde toepassingen. Het wordt gelijktijdig ingeschakeld met de instelling bestand toestaan of blokkeren.
EnableFileHashComputationis handmatig ingeschakeld via groepsbeleid en is standaard uitgeschakeld.
Afdwingingstypen voor indicatoren
Wanneer uw beveiligingsteam een nieuwe indicator (IoC) maakt, zijn de volgende acties beschikbaar:
- Toestaan: de IoC mag worden uitgevoerd op uw apparaten.
- Audit: er wordt een waarschuwing geactiveerd wanneer het IoC wordt uitgevoerd.
- Waarschuwen: de IoC vraagt om een waarschuwing die de gebruiker kan omzeilen
- Uitvoering blokkeren: de IoC mag niet worden uitgevoerd.
- Blokkeren en herstellen: de IoC mag niet worden uitgevoerd en er wordt een herstelactie toegepast op de IoC.
Opmerking
Als u de waarschuwingsmodus gebruikt, wordt gebruikers gevraagd een waarschuwing te ontvangen als ze een riskante app of website openen. De prompt blokkeert niet dat de toepassing of website kan worden uitgevoerd, maar u kunt een aangepast bericht en koppelingen naar een bedrijfspagina opgeven waarin het juiste gebruik van de app wordt beschreven. Gebruikers kunnen de waarschuwing nog steeds omzeilen en de app zo nodig blijven gebruiken. Zie Apps beheren die zijn gedetecteerd door Microsoft Defender voor Eindpunt voor meer informatie.
U kunt een indicator maken voor:
In de onderstaande tabel ziet u welke acties beschikbaar zijn per type indicator (IoC):
| IoC-type | Beschikbare acties |
|---|---|
| Bestanden | Toestaan Audit Waarschuwen Uitvoering blokkeren Blokkeren en herstellen |
| IP-adressen | Toestaan Audit Waarschuwen Uitvoering blokkeren |
| URL's en domeinen | Toestaan Audit Waarschuwen Uitvoering blokkeren |
| Certificaten | Toestaan Blokkeren en herstellen |
De functionaliteit van bestaande IOC's verandert niet. De naam van de indicatoren wordt echter aangepast aan de momenteel ondersteunde reactieacties:
- De naam van de actie Alleen waarschuwingsreactie is gewijzigd om te controleren met de gegenereerde waarschuwingsinstelling ingeschakeld.
- De naam van de waarschuwing en het blokkeringsantwoord is gewijzigd om te blokkeren en te herstellen met de instelling voor optioneel genereren van waarschuwingen.
Het IoC API-schema en de bedreigings-id's in Advanced Hunting worden bijgewerkt om in overeenstemming te zijn met de naamswijziging van de IoC-antwoordacties. De wijzigingen in het API-schema zijn van toepassing op alle IoC-typen.
Opmerking
Er is een limiet van 15.000 indicatoren per tenant. Verhogingen tot deze limiet worden niet ondersteund.
Bestands- en certificaatindicatoren blokkeren geen uitsluitingen die zijn gedefinieerd voor Microsoft Defender Antivirus. Indicatoren worden niet ondersteund in Microsoft Defender Antivirus wanneer deze zich in de passieve modus bevindt.
De indeling voor het importeren van nieuwe indicatoren (IOC's) is gewijzigd volgens de nieuwe bijgewerkte instellingen voor acties en waarschuwingen. U wordt aangeraden de nieuwe CSV-indeling te downloaden die onderaan het importvenster te vinden is.
Als indicatoren worden gesynchroniseerd met de Microsoft Defender-portal vanuit Microsoft Defender for Cloud Apps voor goedgekeurde of niet-goedgekeurde toepassingen, is de Generate Alert optie standaard ingeschakeld in de Microsoft Defender-portal. Als u de Generate Alert optie voor Defender voor Eindpunt probeert te wissen, wordt deze na enige tijd opnieuw ingeschakeld omdat het Defender for Cloud Apps-beleid dit overschrijft.
Bekende problemen en beperkingen
Microsoft Store-apps kunnen niet worden geblokkeerd door Microsoft Defender omdat ze zijn ondertekend door Microsoft.
Klanten kunnen problemen ondervinden met waarschuwingen voor IOC's. De volgende scenario's zijn situaties waarin waarschuwingen niet worden gemaakt of worden gemaakt met onjuiste informatie. Elk probleem wordt onderzocht door ons technische team.
- Blokindicatoren: Algemene waarschuwingen met alleen informatieve ernst worden gemaakt. Aangepaste waarschuwingen (aangepaste titel en ernst) worden in deze gevallen niet geactiveerd.
- Waarschuwingsindicatoren: algemene waarschuwingen en aangepaste waarschuwingen zijn mogelijk in dit scenario; De resultaten zijn echter niet deterministisch vanwege een probleem met de waarschuwingsdetectielogica. In sommige gevallen zien klanten mogelijk een algemene waarschuwing, terwijl een aangepaste waarschuwing in andere gevallen kan worden weergegeven.
- Toestaan: er worden geen waarschuwingen gegenereerd (standaard).
- Controle: waarschuwingen worden gegenereerd op basis van de ernst die door de klant is opgegeven (volgens ontwerp).
- In sommige gevallen kunnen waarschuwingen die afkomstig zijn van EDR-detecties, voorrang hebben op waarschuwingen die afkomstig zijn van antivirusblokken, in welk geval een informatiewaarschuwing wordt gegenereerd.
Verwante artikelen
- Uitsluitingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus
- Contextuele IoC maken
- De Microsoft Defender voor Eindpunt indicators-API gebruiken
- Geïntegreerde oplossingen voor partners gebruiken
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.