Criar indicadores com base em certificados
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Pode criar indicadores para certificados. Alguns casos de utilização comuns incluem:
- Cenários em que precisa de implementar tecnologias de bloqueio, como regras de redução da superfície de ataque , mas precisa de permitir comportamentos de aplicações assinadas ao adicionar o certificado na lista de permissões.
- Bloquear a utilização de uma aplicação assinada específica na sua organização. Ao criar um indicador para bloquear o certificado da aplicação, o Windows Defender AV impedirá execuções de ficheiros (bloquear e remediar) e a Investigação e Remediação Automatizadas comportam-se da mesma forma.
Antes de começar
É importante compreender os seguintes requisitos antes de criar indicadores para certificados:
Esta funcionalidade está disponível se a sua organização utilizar o Antivírus do Microsoft Defender e a proteção baseada na cloud estiver ativada. Para obter mais informações, veja Gerir a proteção baseada na cloud.
A versão do cliente Antimalware tem de ser 4.18.1901.x ou posterior.
Suportado em computadores com o Windows 10, versão 1703 ou posterior, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2022.
Observação
O Windows Server 2016 e o Windows Server 2012 R2 terão de ser integrados através das instruções em Integrar servidores Windows para que esta funcionalidade funcione.
As definições de proteção contra vírus e ameaças têm de estar atualizadas.
Esta funcionalidade suporta atualmente a introdução de . CER ou . Extensões de ficheiro PEM.
Importante
- Um certificado de folha válido é um certificado de assinatura que tem um caminho de certificação válido e tem de ser encadeado à Autoridade de Certificação de Raiz (AC) fidedigna pela Microsoft. Em alternativa, um certificado personalizado (autoassinado) pode ser utilizado desde que seja considerado fidedigno pelo cliente (o certificado da AC de raiz é instalado no Computador Local "Autoridades de Certificação de Raiz Fidedigna").
- Os subordinados ou elementos principais dos IOCs de certificados de permissão/bloqueio não estão incluídos na funcionalidade permitir/bloquear IoC, apenas são suportados certificados de folha.
- Os certificados assinados pela Microsoft não podem ser bloqueados.
Crie um indicador para certificados a partir da página de definições:
Importante
Pode demorar até 3 horas a criar e remover um IoC de certificado.
No painel de navegação, selecione Definições>Indicadores dePontos Finais> (em Regras).
Selecione Adicionar indicador.
Especifique os seguintes detalhes:
- Indicador – especifique os detalhes da entidade e defina a expiração do indicador.
- Ação – especifique a ação a ser executada e forneça uma descrição.
- Âmbito – defina o âmbito do grupo de máquinas.
Reveja os detalhes no separador Resumo e, em seguida, clique em Guardar.
Artigos relacionados
- Criar indicadores
- Criar indicadores para arquivos
- Criar indicadores para IPs e URLs/domínios
- Gerenciar indicadores
- Exclusões do Microsoft Defender para Endpoint e do Antivírus do Microsoft Defender
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.