Create indicadores baseados em certificados
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Pode criar indicadores para certificados. Alguns casos de utilização comuns incluem:
- Cenários em que precisa de implementar tecnologias de bloqueio, como regras de redução da superfície de ataque e acesso controlado a pastas , mas precisa de permitir comportamentos de aplicações assinadas ao adicionar o certificado na lista de permissões.
- Bloquear a utilização de uma aplicação assinada específica na sua organização. Ao criar um indicador para bloquear o certificado da aplicação, Windows Defender AV impedirá execuções de ficheiros (bloquear e remediar) e a Investigação e Remediação Automatizadas comportam-se da mesma forma.
Before you begin
É importante compreender os seguintes requisitos antes de criar indicadores para certificados:
Esta funcionalidade está disponível se a sua organização utilizar Microsoft Defender o Antivírus e a proteção baseada na cloud estiver ativada. Para obter mais informações, veja Gerir a proteção baseada na cloud.
A versão do cliente Antimalware tem de ser 4.18.1901.x ou posterior.
Suportado em computadores em Windows 10, versão 1703 ou posterior, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2022.
Nota
Windows Server 2016 e Windows Server 2012 R2 terão de ser integrados com as instruções em Integrar servidores Windows para que esta funcionalidade funcione.
As definições de proteção contra vírus e ameaças têm de estar atualizadas.
Esta funcionalidade suporta atualmente a introdução de . CER ou . Extensões de ficheiro PEM.
Importante
- Um certificado de folha válido é um certificado de assinatura que tem um caminho de certificação válido e tem de ser encadeado à Autoridade de Certificação de Raiz (AC) fidedigna pela Microsoft. Em alternativa, um certificado personalizado (autoassinado) pode ser utilizado desde que seja considerado fidedigno pelo cliente (o certificado da AC de raiz é instalado no Computador Local "Autoridades de Certificação de Raiz Fidedigna").
- Os subordinados ou elementos principais dos IOCs de certificados de permissão/bloqueio não estão incluídos na funcionalidade permitir/bloquear IoC, apenas são suportados certificados de folha.
- Os certificados assinados pela Microsoft não podem ser bloqueados.
Create um indicador para certificados a partir da página de definições:
Importante
Pode demorar até 3 horas a criar e remover um IoC de certificado.
No painel de navegação, selecione Definições>Indicadores dePontos Finais> (em Regras).
Selecione Adicionar indicador.
Especifique os seguintes detalhes:
- Indicador – especifique os detalhes da entidade e defina a expiração do indicador.
- Ação – especifique a ação a ser executada e forneça uma descrição.
- Âmbito – defina o âmbito do grupo de máquinas.
Reveja os detalhes no separador Resumo e, em seguida, clique em Guardar.
Artigos relacionados
- Criar indicadores
- Criar indicadores para ficheiros
- Criar indicadores para IPs e URLs/domínios
- Gerir indicadores
- Exclusões do Antivírus de Microsoft Defender para Endpoint e Microsoft Defender
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de