Share via

Создание индикаторов для файлов

  • Статья

Область применения:

Совет

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Предотвращение дальнейшего распространения атаки в организации путем запрета потенциально вредоносных файлов или подозрительных вредоносных программ. Если вы знаете потенциально вредоносный переносимый исполняемый файл (PE), его можно заблокировать. Эта операция предотвратит ее чтение, запись или выполнение на устройствах в вашей организации.

Существует три способа создания индикаторов для файлов:

  • Создание индикатора с помощью страницы параметров
  • Создание контекстного индикатора с помощью кнопки добавить индикатор на странице сведений о файле
  • Создание индикатора с помощью API индикатора

Примечание.

Чтобы эта функция работала на Windows Server 2016 и Windows Server 2012 R2, эти устройства должны быть подключены с помощью инструкций в разделе Подключение серверов Windows. Пользовательские индикаторы файлов с действиями Разрешить, Блокировать и Исправление теперь также доступны в расширенных возможностях модуля защиты от вредоносных программ для macOS и Linux.

Перед началом работы

Прежде чем создавать индикаторы для файлов, ознакомьтесь со следующими предварительными условиями:

Эта функция предназначена для предотвращения загрузки из Интернета подозрительных вредоносных программ (или потенциально вредоносных файлов). В настоящее время она поддерживает переносимые исполняемые (PE) файлы, включая .exe файлы и .dll . Охват расширяется со временем.

Важно!

В Defender для конечной точки плана 1 и Defender для бизнеса можно создать индикатор для блокировки или разрешения файла. В Defender для бизнеса индикатор применяется в вашей среде и не может быть ограничен определенными устройствами.

Create индикатор для файлов на странице параметров

  1. В области навигации выберите Параметры Индикаторы>конечных> точек разделе Правила).

  2. Перейдите на вкладку Хэши файлов .

  3. Выберите Добавить элемент.

  4. Укажите следующие сведения:

    • Индикатор. Укажите сведения о сущности и определите срок действия индикатора.
    • Действие. Укажите выполняемое действие и укажите описание.
    • Область. Определите область группы устройств (область недоступна в Defender для бизнеса).

    Примечание.

    Создание группы устройств поддерживается как в Defender для конечной точки плана 1, так и в плане 2

  5. Просмотрите сведения на вкладке Сводка, а затем нажмите кнопку Сохранить.

Create контекстный индикатор на странице сведений о файле

Одним из вариантов при выполнении действий реагирования на файл является добавление индикатора для файла. При добавлении хэша индикатора для файла можно создать оповещение и заблокировать файл каждый раз, когда устройство в вашей организации пытается запустить его.

Файлы, автоматически заблокированные индикатором, не будут отображаться в центре уведомлений файла, но оповещения по-прежнему будут отображаться в очереди оповещений.

Оповещение о действиях блокировки файлов (предварительная версия)

Важно!

Сведения в этом разделе (общедоступная предварительная версия для автоматизированного механизма исследования и исправления) относятся к предварительной версии продукта, который может быть существенно изменен до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Текущими поддерживаемыми действиями для IOC файлов являются разрешение, аудит и блокировка, а также исправление. После блокировки файла можно выбрать, требуется ли активировать оповещение. Таким образом, вы сможете контролировать количество оповещений, попадаемых в группы по операциям безопасности, и убедиться, что создаются только необходимые оповещения.

В Microsoft Defender XDR перейдите в раздел Параметры>Индикаторы конечных>> точекДобавление хэша нового файла.

Выберите Блокировать и исправьте файл.

Выберите, следует ли создать оповещение о событии блока файлов, и определите параметры оповещений:

  • Заголовок оповещения
  • Уровень серьезности оповещений
  • Категория
  • Описание
  • Рекомендуемые действия

Параметры оповещений для индикаторов файлов

Важно!

  • Как правило, блоки файлов применяются и удаляются в течение нескольких минут, но могут занять до 30 минут.
  • Если существуют конфликтующие политики IoC файлов с тем же типом принудительного применения и целевым объектом, будет применена политика более безопасного хэша. Политика хэша файла SHA-256 IoC победит политику хэша файла SHA-1 IoC, которая победит политику хэша MD5-файлов IoC, если типы хэшей определяют один и тот же файл. Это всегда верно независимо от группы устройств.
  • Во всех остальных случаях, если конфликтующие политики Интернета вещей в файлах с одинаковым целевым объектом принудительного применения применяются ко всем устройствам и к группе устройства, то для устройства политика в группе устройств будет выиграна.
  • Если групповая политика EnableFileHashComputation отключена, снижается точность блокировки файла IoC. Однако включение EnableFileHashComputation может повлиять на производительность устройства. Например, копирование больших файлов из общей сетевой папки на локальное устройство, особенно через VPN-подключение, может влиять на производительность устройства.

Дополнительные сведения о групповой политике EnableFileHashComputation см. в разделе CSP Defender.

Дополнительные сведения о настройке этой функции в Defender для конечной точки в Linux и macOS см . в разделах Настройка функции вычисления хэша файлов в Linux и Настройка функции вычисления хэша файлов в macOS.

Расширенные возможности охоты (предварительная версия)

Важно!

Сведения в этом разделе (общедоступная предварительная версия для автоматического исследования и исправления) относятся к предварительной версии продукта, который может быть существенно изменен до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

В настоящее время в предварительной версии действие ответа можно запрашивать заранее. Ниже приведен пример запроса на предварительную охоту:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Дополнительные сведения о расширенной охоте см. в разделе Упреждающая охота на угрозы с помощью расширенной охоты.

Ниже приведены другие имена потоков, которые можно использовать в примере запроса выше:

Файлы:

  • EUS:Win32/CustomEnterpriseBlock!cl
  • EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Сертификаты:

  • EUS:Win32/CustomCertEnterpriseBlock!cl

Действие реагирования также можно просмотреть в временная шкала устройства.

Обработка конфликтов политик

Конфликты политики Cert и File IoC обрабатываются в следующем порядке:

  1. Если файл не разрешен Защитник Windows Управление приложениями и AppLocker применить политики режима, выберите Блокировать.
  2. В противном случае, если файл разрешен Microsoft Defender исключениями антивирусной программы, выберите Разрешить.
  3. В противном случае, если файл заблокирован или предупрежден блоком или предупреждением ioCs файла, затем — Блокировать или предупреждать.
  4. В противном случае, если файл заблокирован SmartScreen, выберите Блокировать.
  5. В противном случае, если файл разрешен политикой IoC разрешить файл, выберите Разрешить.
  6. В противном случае, если файл заблокирован правилами сокращения направлений атак, управляемым доступом к папкам или антивирусной защитой, выберите Блокировать.
  7. В противном случае— разрешить (передает Защитник Windows управление приложениями & политику AppLocker, к нему не применяются правила Интернета вещей).

Примечание.

В ситуациях, когда Microsoft Defender антивирусная программа имеет значение Блокировать, а индикаторы Defender для конечной точки для хэша файлов или сертификатов имеют значение Разрешить, политика по умолчанию имеет значение Разрешить.

Если существуют конфликтующие политики IoC файлов с тем же типом принудительного применения и целевым объектом, применяется политика более безопасного (то есть более длинного) хэша. Например, политика IoC хэша файла SHA-256 имеет приоритет над политикой IoC хэша файла MD5, если оба типа хэша определяют один и тот же файл.

Предупреждение

Обработка конфликтов политик для файлов и сертификатов отличается от обработки конфликтов политик для доменов, URL-адресов или IP-адресов.

Управление уязвимостями Microsoft Defender блочных уязвимых функций приложения использует файловые ioCs для принудительного применения и соответствует порядку обработки конфликтов, описанному ранее в этом разделе.

Примеры

Компонент Принудительное применение компонентов Действие индикатора файла Результат
Исключение пути к файлу сокращения направлений атаки Разрешить Блокировка Блокировка
Правило сокращения направлений атаки Блокировка Разрешить Разрешить
Управление приложениями в Защитнике Windows Разрешить Блокировка Разрешить
Управление приложениями в Защитнике Windows Блокировка Разрешить Блокировка
Исключение антивирусной программы Microsoft Defender Разрешить Блокировка Разрешить

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.