Utwórz wskaźniki

Dotyczy:

Porada

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Wskaźnik naruszenia zabezpieczeń (IoC) — omówienie

Wskaźnik naruszenia zabezpieczeń (IoC) jest artefaktem kryminalistycznym zaobserwowanym w sieci lub na hoście. IoC wskazuje — z dużym zaufaniem — że doszło do włamania do komputera lub sieci. IoCs są widoczne, które łączą je bezpośrednio z mierzalnymi zdarzeniami. Niektóre przykłady IoC obejmują:

  • skróty znanego złośliwego oprogramowania
  • sygnatury złośliwego ruchu sieciowego
  • Adresy URL lub domeny, które są znanymi dystrybutorami złośliwego oprogramowania

Aby zatrzymać dodatkowe naruszenia zabezpieczeń lub zapobiec naruszeniom znanych IoCs, pomyślne narzędzia IoC powinny mieć możliwość wykrywania wszystkich złośliwych danych wyliczonych przez zestaw reguł narzędzia. Dopasowywanie IoC jest istotną funkcją w każdym rozwiązaniu ochrony punktu końcowego. Ta funkcja zapewnia usłudze SecOps możliwość ustawiania listy wskaźników wykrywania i blokowania (zapobieganie i reagowanie).

Organizacje mogą tworzyć wskaźniki definiujące wykrywanie, zapobieganie i wykluczanie jednostek IoC. Możesz zdefiniować akcję do wykonania, a także czas trwania, kiedy zastosować akcję, oraz zakres grupy urządzeń, do których ma zostać zastosowana.

Informacje o wskaźnikach firmy Microsoft

Ogólnie rzecz biorąc, należy tworzyć wskaźniki tylko dla znanych złych IoCs lub dla plików/witryn internetowych, które powinny być jawnie dozwolone w organizacji. Aby uzyskać więcej informacji na temat typów witryn, które usługa MDE może domyślnie blokować, zobacz omówienie Microsoft Defender SmartScreen.

Wynik fałszywie dodatni (FP) odnosi się do fałszywie dodatniego filtru SmartScreen, firma Microsoft twierdzi, że jest to złośliwe oprogramowanie / phish, ale w rzeczywistości jest to bezpieczna witryna, więc klient chce utworzyć zasady zezwalania na to.

Możesz również pomóc w ulepszeniu analizy zabezpieczeń firmy Microsoft, przesyłając wyniki fałszywie dodatnie i podejrzane lub znane-złe IoCs do analizy. Jeśli uważasz, że ostrzeżenie lub blok został niepoprawnie wyświetlony dla pliku lub aplikacji lub jeśli uważasz, że niewykryty plik jest złośliwym oprogramowaniem, możesz przesłać plik do firmy Microsoft do przeglądu. Aby uzyskać więcej informacji, zobacz Przesyłanie plików do analizy.

Wskaźniki adresów IP/URL

Istnieje kilka powodów używania wskaźników adresów IP/URL, takich jak odblokowywanie użytkowników z fałszywie dodatniego filtru SmartScreen (FP) lub zastępowanie bloku filtrowania zawartości sieci Web (WFC).

Do zarządzania dostępem do witryny można użyć wskaźników adresów URL i IP. Możesz utworzyć tymczasowe wskaźniki adresów IP i adresów URL, aby tymczasowo odblokować użytkowników z bloku SmartScreen. Możesz również mieć wskaźniki, które przechowujesz przez długi czas, aby selektywnie pomijać bloki filtrowania zawartości internetowej.

Rozważ przypadek, w którym masz kategoryzację filtrowania zawartości internetowej dla określonej witryny, która jest poprawna. W tym przykładzie filtrowanie zawartości internetowej jest ustawione tak, aby blokować wszystkie media społecznościowe, co jest poprawne dla ogólnych celów organizacji. Jednak zespół ds. marketingu naprawdę musi używać konkretnej witryny mediów społecznościowych do reklam i ogłoszeń. W takim przypadku można odblokować określoną witrynę mediów społecznościowych przy użyciu wskaźników adresu IP lub adresu URL dla określonej grupy (lub grup) do użycia.

Zobacz Ochrona sieci Web i filtrowanie zawartości sieci Web

Wskaźniki skrótów plików

W niektórych przypadkach utworzenie nowego wskaźnika dla nowo zidentyfikowanego pliku IoC — jako miary natychmiastowego zatrzymania odstępu — może być odpowiednie do blokowania plików, a nawet aplikacji. Jednak użycie wskaźników do próby zablokowania aplikacji może nie zapewnić oczekiwanych wyników, ponieważ aplikacje zwykle składają się z wielu różnych plików. Preferowane metody blokowania aplikacji to używanie funkcji Windows Defender Application Control (WDAC) lub AppLocker.

Ponieważ każda wersja aplikacji ma inny skrót pliku, używanie wskaźników do blokowania skrótów nie jest zalecane.

Windows Defender Application Control (WDAC)

Wskaźniki certyfikatów

W niektórych przypadkach może istnieć określony certyfikat, który został użyty do podpisania pliku lub aplikacji, na który organizacja chce zezwolić/zablokować. Wskaźniki certyfikatów są obsługiwane w środowisku MDE, pod warunkiem, że są to wskaźniki . CER lub . Format pliku PEM. Aby uzyskać więcej informacji, zobacz Tworzenie wskaźników na podstawie certyfikatów .

Aparaty wykrywania IoC

Obecnie obsługiwane źródła firmy Microsoft dla IoCs to:

Aparat wykrywania chmury

Aparat wykrywania chmury usługi Defender for Endpoint regularnie skanuje zebrane dane i próbuje dopasować ustawione wskaźniki. W przypadku dopasowania akcja zostanie wykonana zgodnie z ustawieniami określonymi dla IoC.

Aparat zapobiegania punktom końcowym

Ta sama lista wskaźników jest honorowana przez agenta zapobiegania. Oznacza to, że jeśli Microsoft Defender program antywirusowy jest podstawowym programem antywirusowym skonfigurowanym, dopasowane wskaźniki będą traktowane zgodnie z ustawieniami. Jeśli na przykład akcja to "Alert and Block", program antywirusowy Microsoft Defender uniemożliwi wykonywanie plików (blokuj i koryguj), a odpowiedni alert zostanie zgłoszony. Z drugiej strony, jeśli akcja ma wartość "Zezwalaj", program antywirusowy Microsoft Defender nie wykryje ani nie zablokuje uruchamiania pliku.

Aparat zautomatyzowanego badania i korygowania

Zautomatyzowane badanie i korygowanie zachowują się tak samo. Jeśli wskaźnik ma wartość "Zezwalaj", automatyczne badanie i korygowanie zignoruje "zły" werdykt. Jeśli ustawiono opcję "Blokuj", automatyczne badanie i korygowanie będą traktować je jako "złe".

Ustawienie oblicza EnableFileHashComputation skrót pliku dla certyfikatu i pliku IoC podczas skanowania plików. Obsługuje wymuszanie IoC skrótów i certyfikatów należą do zaufanych aplikacji. Zostanie ona włączona współbieżnie i wyłączona z ustawieniem pliku zezwalania lub blokowania. EnableFileHashComputationjest włączona ręcznie za pośrednictwem zasady grupy i jest domyślnie wyłączona.

Typy wymuszania dla wskaźników

Podczas tworzenia nowego wskaźnika (IoC) jest dostępna co najmniej jedna z następujących akcji:

  • Zezwalaj — usługa IoC będzie mogła działać na urządzeniach.
  • Inspekcja — alert zostanie wyzwolony po uruchomieniu usługi IoC.
  • Ostrzeżenie — usługa IoC wyświetli ostrzeżenie, że użytkownik może pominąć
  • Blokuj wykonywanie — nie będzie można uruchomić usługi IoC.
  • Blokuj i koryguj — usługa IoC nie będzie mogła działać, a akcja korygowania zostanie zastosowana do IoC.

Uwaga

Użycie trybu ostrzeżenia spowoduje wyświetlenie monitu dla użytkowników z ostrzeżeniem, jeśli otworzą ryzykowną aplikację lub witrynę internetową. Monit nie zablokuje im możliwości uruchamiania aplikacji lub witryny internetowej, ale możesz podać niestandardowy komunikat i linki do strony firmowej opisującej odpowiednie użycie aplikacji. Użytkownicy nadal mogą pominąć ostrzeżenie i nadal korzystać z aplikacji, jeśli zajdzie taka potrzeba. Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami odnalezionych przez Ochrona punktu końcowego w usłudze Microsoft Defender.

Możesz utworzyć wskaźnik dla:

W poniższej tabeli przedstawiono dokładnie, które akcje są dostępne dla każdego typu wskaźnika (IoC):

Typ IoC Dostępne akcje
Pliki Zezwalaj
Inspekcji
Ostrzec
Blokuj wykonywanie
Blokuj i koryguj
Adresy IP Zezwalaj
Inspekcji
Ostrzec
Blokuj wykonywanie
Adresy URL i domeny Zezwalaj
Inspekcji
Ostrzec
Blokuj wykonywanie
Certyfikaty Zezwalaj
Blokuj i koryguj

Funkcjonalność istniejących wcześniej IoCs nie ulegnie zmianie. Zmieniono jednak nazwę wskaźników tak, aby odpowiadały bieżącym obsługiwanym akcjom odpowiedzi:

  • Nazwa akcji odpowiedzi "tylko alert" została zmieniona na "inspekcja" z włączonym ustawieniem generowania alertu.
  • Nazwa odpowiedzi "alert i blok" została zmieniona na "blokuj i koryguj" przy użyciu opcjonalnego ustawienia alertu generowania.

Schemat interfejsu API IoC i identyfikatory zagrożeń z wyprzedzeniem zostały zaktualizowane w celu dopasowania ich do zmiany nazwy akcji odpowiedzi IoC. Zmiany schematu interfejsu API mają zastosowanie do wszystkich typów IoC.

Uwaga

Istnieje limit 15 000 wskaźników na dzierżawę. Wskaźniki plików i certyfikatów nie blokują wykluczeń zdefiniowanych dla programu antywirusowego Microsoft Defender. Wskaźniki nie są obsługiwane w programie antywirusowym Microsoft Defender, gdy jest w trybie pasywnym.

Format importowania nowych wskaźników (IoCs) zmienił się zgodnie z nowymi zaktualizowanymi ustawieniami akcji i alertów. Zalecamy pobranie nowego formatu CSV, który można znaleźć w dolnej części panelu importu.