Criar indicadores para arquivos

  • Artigo

Aplica-se a:

Dica

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Evite a propagação adicional de um ataque em sua organização proibindo arquivos potencialmente mal-intencionados ou malware suspeito. Se você conhece um arquivo PE (executável portátil) potencialmente mal-intencionado, poderá bloqueá-lo. Essa operação impedirá que ela seja lida, gravada ou executada em dispositivos em sua organização.

Há três maneiras de criar indicadores para arquivos:

  • Criando um indicador por meio da página de configurações
  • Criando um indicador contextual usando o botão adicionar indicador na página de detalhes do arquivo
  • Criando um indicador por meio da API de Indicador

Observação

Para que esse recurso funcione em Windows Server 2016 e Windows Server 2012 R2, esses dispositivos devem ser integrados usando as instruções em Integrar servidores Windows. Os indicadores de arquivo personalizados com as ações Permitir, Bloquear e Corrigir também estão disponíveis nos recursos aprimorados do mecanismo antimalware para macOS e Linux.

Antes de começar

Entenda os seguintes pré-requisitos antes de criar indicadores para arquivos:

Esse recurso foi projetado para impedir que o malware suspeito (ou arquivos potencialmente mal-intencionados) seja baixado da Web. Atualmente, ele dá suporte a arquivos de PE (executáveis portáteis), incluindo .exe e .dll arquivos. A cobertura é estendida ao longo do tempo.

Importante

No Plano 1 do Defender para Ponto de Extremidade e no Defender para Empresas, você pode criar um indicador para bloquear ou permitir um arquivo. No Defender para Empresas, seu indicador é aplicado em seu ambiente e não pode ser escopo para dispositivos específicos.

Create um indicador para arquivos da página de configurações

  1. No painel de navegação, selecione Configurações>Indicadoresde Pontos> de Extremidade (em Regras).

  2. Selecione a guia Hashes de arquivo .

  3. Selecione Adicionar item.

  4. Especifique os seguintes detalhes:

    • Indicador: especifique os detalhes da entidade e defina a expiração do indicador.
    • Ação: especifique a ação a ser tomada e forneça uma descrição.
    • Escopo: defina o escopo do grupo de dispositivos (o escopo não está disponível no Defender para Empresas).

    Observação

    Há suporte para a criação do Grupo de Dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade

  5. Examine os detalhes na guia Resumo e selecione Salvar.

Create um indicador contextual da página de detalhes do arquivo

Uma das opções ao executar ações de resposta em um arquivo é adicionar um indicador para o arquivo. Ao adicionar um hash de indicador para um arquivo, você pode optar por levantar um alerta e bloquear o arquivo sempre que um dispositivo em sua organização tentar executá-lo.

Os arquivos bloqueados automaticamente por um indicador não aparecerão no Centro de Ações do arquivo, mas os alertas ainda estarão visíveis na fila Alertas.

Alerta sobre ações de bloqueio de arquivos (versão prévia)

Importante

As informações nesta seção (Visualização Pública para mecanismo automatizado de investigação e correção) referem-se ao produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

As ações atuais com suporte para o COI de arquivo são permitir, auditar e bloquear e corrigir. Depois de optar por bloquear um arquivo, você pode escolher se é necessário disparar um alerta. Dessa forma, você poderá controlar o número de alertas que estão chegando às suas equipes de operações de segurança e garantir que apenas os alertas necessários sejam gerados.

Em Microsoft Defender XDR, acesse Configurações>Indicadores>de Pontos> de ExtremidadeAdicionar Novo Hash de Arquivo.

Escolha bloquear e corrigir o arquivo.

Escolha se deve gerar um alerta no evento do bloco de arquivos e definir as configurações de alertas:

  • O título do alerta
  • A gravidade do alerta
  • Categoria
  • Descrição
  • Ações recomendadas

As configurações de alerta para indicadores de arquivo

Importante

  • Normalmente, os blocos de arquivos são aplicados e removidos em alguns minutos, mas podem levar mais de 30 minutos.
  • Se houver políticas de IoC de arquivo conflitantes com o mesmo tipo de imposição e destino, a política do hash mais seguro será aplicada. Uma política de IoC de hash de arquivo SHA-256 conquistará uma política de IoC de hash de arquivo SHA-1, que conquistará uma política de IoC de hash de arquivo MD5 se os tipos de hash definirem o mesmo arquivo. Isso é sempre verdadeiro, independentemente do grupo de dispositivos.
  • Em todos os outros casos, se políticas de IoC de arquivo conflitantes com o mesmo destino de aplicação forem aplicadas a todos os dispositivos e ao grupo do dispositivo, em seguida, para um dispositivo, a política no grupo de dispositivos será ganha.
  • Se a política de grupo EnableFileHashComputation estiver desabilitada, a precisão de bloqueio do IoC do arquivo será reduzida. No entanto, a habilitação EnableFileHashComputation pode afetar o desempenho do dispositivo. Por exemplo, copiar arquivos grandes de um compartilhamento de rede em seu dispositivo local, especialmente em uma conexão VPN, pode ter um efeito no desempenho do dispositivo.

Para obter mais informações sobre a política de grupo EnableFileHashComputation, consulte Defender CSP.

Para obter mais informações sobre como configurar esse recurso no Defender para Ponto de Extremidade no Linux e no macOS, confira Configurar o recurso de computação de hash de arquivo no Linux e Configurar o recurso de computação de hash de arquivo no macOS.

Recursos avançados de caça (versão prévia)

Importante

As informações nesta seção (Visualização Pública para Mecanismo automatizado de investigação e correção) referem-se ao produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Atualmente em versão prévia, você pode consultar a atividade de ação de resposta na caça antecipada. Veja abaixo uma consulta de caça antecipada de exemplo:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Para obter mais informações sobre a caça avançada, consulte Procurar proativamente ameaças com caça avançada.

Abaixo estão outros nomes de thread que podem ser usados na consulta de exemplo acima:

Arquivos:

  • EUS:Win32/CustomEnterpriseBlock!cl
  • EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Certificados:

  • EUS:Win32/CustomCertEnterpriseBlock!cl

A atividade de ação de resposta também pode ser acessível no dispositivo linha do tempo.

Tratamento de conflitos de política

Conflitos de tratamento de política do Cert e do IoC de arquivo seguem esta ordem:

  1. Se o arquivo não for permitido por Windows Defender políticas de modo de impor o Controle de Aplicativo e o AppLocker, bloqueie.
  2. Caso contrário, se o arquivo for permitido pelas exclusões Microsoft Defender Antivírus, permita.
  3. Caso contrário, se o arquivo for bloqueado ou avisado por um bloco ou avisar IoCs de arquivo, bloqueie/avise.
  4. Caso contrário, se o arquivo for bloqueado pelo SmartScreen, bloqueie.
  5. Caso contrário, se o arquivo for permitido por uma política de IoC de arquivo de permissão, permita.
  6. Caso contrário, se o arquivo for bloqueado por regras de redução de superfície de ataque, acesso controlado à pasta ou proteção contra antivírus, bloqueie.
  7. Caso contrário, Permitir (passa Windows Defender Política do AppLocker & Controle de Aplicativo, nenhuma regra de IoC se aplica a ela).

Observação

Em situações em que Microsoft Defender Antivírus é definido como Bloquear, mas os indicadores do Defender para Ponto de Extremidade para hash de arquivo ou certificados são definidos como Permitir, a política é padrão para Permitir.

Se houver políticas de IoC de arquivo conflitantes com o mesmo tipo de imposição e destino, a política do hash mais seguro (ou seja, mais longo) será aplicada. Por exemplo, uma política de IoC de hash de arquivo SHA-256 tem precedência sobre uma política de IoC de hash de arquivo MD5 se ambos os tipos de hash definirem o mesmo arquivo.

Aviso

O tratamento de conflitos de política para arquivos e certificados difere do tratamento de conflitos de política para domínios/URLs/endereços IP.

Os recursos de aplicativo vulneráveis de bloco do Gerenciamento de Vulnerabilidades do Microsoft Defender usam os IoCs de arquivo para a aplicação e seguem a ordem de tratamento de conflito descrita anteriormente nesta seção.

Exemplos

Componente Imposição de componentes Ação do indicador de arquivo Resultado
Exclusão do caminho do arquivo de redução de superfície de ataque Permitir Bloquear Bloquear
Regra de redução de superfície de ataque Bloquear Permitir Permitir
Controle de Aplicativos do Windows Defender Permitir Bloquear Permitir
Controle de Aplicativos do Windows Defender Bloquear Permitir Bloquear
Microsoft Defender exclusão antivírus Permitir Bloquear Permitir

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.