Создание индикаторов для файлов
Область применения:
- Microsoft Defender XDR
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender для бизнеса
Совет
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Предотвращение дальнейшего распространения атаки в организации путем запрета потенциально вредоносных файлов или подозрительных вредоносных программ. Если вы знаете потенциально вредоносный переносимый исполняемый файл (PE), его можно заблокировать. Эта операция предотвратит ее чтение, запись или выполнение на устройствах в вашей организации.
Существует три способа создания индикаторов для файлов:
- Создание индикатора с помощью страницы параметров
- Создание контекстного индикатора с помощью кнопки добавить индикатор на странице сведений о файле
- Создание индикатора с помощью API индикатора
Перед началом работы
Перед созданием индикаторов для файлов важно понимать следующие предварительные требования:
Эта функция доступна, если ваша организация использует антивирусную программу Microsoft Defender (в активном режиме) и включена облачная защита. Дополнительные сведения см. в статье Управление облачной защитой.
Версия клиента защиты от вредоносных программ должна быть 4.18.1901.x или более поздней. См . статью Версии ежемесячной платформы и подсистемы.
Поддерживается на устройствах с Windows 10 версии 1703 или более поздней, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2022.
Примечание.
Windows Server 2016 и Windows Server 2012 R2 необходимо подключить с помощью инструкций в разделе Подключение серверов Windows, чтобы эта функция работала. Пользовательские индикаторы файлов с действиями Разрешить, Блокировать и Исправление теперь также доступны в расширенных возможностях модуля защиты от вредоносных программ для macOS и Linux.
Чтобы начать блокировку файлов, сначала необходимо включить функцию "блокировать или разрешать" в параметрах.
Эта функция предназначена для предотвращения загрузки из Интернета подозрительных вредоносных программ (или потенциально вредоносных файлов). В настоящее время он поддерживает переносимые исполняемые (PE) файлы, включая файлы .exe и .dll. Охват будет расширяться со временем.
Важно!
В Defender для конечной точки плана 1 и Defender для бизнеса можно создать индикатор для блокировки или разрешения файла. В Defender для бизнеса индикатор применяется в вашей среде и не может быть ограничен определенными устройствами.
Создание индикатора для файлов на странице параметров
В области навигации выберите Параметры Индикаторы>конечных> точек(в разделе Правила).
Перейдите на вкладку Хэши файлов .
Выберите Добавить элемент.
Укажите следующие сведения:
- Индикатор — укажите сведения о сущности и определите срок действия индикатора.
- Действие — укажите выполняемое действие и укажите описание.
- Область — определите область группы устройств (область недоступна в Defender для бизнеса).
Примечание.
Создание группы устройств поддерживается как в Defender для конечной точки плана 1, так и в плане 2
Просмотрите сведения на вкладке Сводка, а затем нажмите кнопку Сохранить.
Создание контекстного индикатора на странице сведений о файле
Одним из вариантов при выполнении действий реагирования на файл является добавление индикатора для файла. При добавлении хэша индикатора для файла можно создать оповещение и заблокировать файл каждый раз, когда устройство в вашей организации пытается запустить его.
Файлы, автоматически заблокированные индикатором, не будут отображаться в центре уведомлений файла, но оповещения по-прежнему будут отображаться в очереди оповещений.
Общедоступная предварительная версия: оповещение о действиях блокировки файлов
Важно!
Сведения в этом разделе (общедоступная предварительная версия для автоматизированного механизма исследования и исправления) относятся к предварительной версии продукта, который может быть существенно изменен до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Текущими поддерживаемыми действиями для IOC файлов являются разрешение, аудит и блокировка, а также исправление. После блокировки файла можно выбрать, требуется ли активировать оповещение. Таким образом, вы сможете контролировать количество оповещений, попадаемых в группы по операциям безопасности, и убедиться, что создаются только необходимые оповещения.
В Microsoft Defender XDR перейдите в раздел Параметры>Индикаторы конечных>> точекДобавление хэша нового файла.
Выберите Блокировать и исправьте файл.
Выберите, следует ли создать оповещение о событии блока файлов, и определите параметры оповещений:
- Заголовок оповещения
- Уровень серьезности оповещений
- Категория
- Описание
- Рекомендуемые действия
Важно!
- Как правило, блоки файлов применяются и удаляются в течение нескольких минут, но могут занять до 30 минут.
- Если существуют конфликтующие политики IoC файлов с тем же типом принудительного применения и целевым объектом, будет применена политика более безопасного хэша. Политика хэша файла SHA-256 IoC победит политику хэша файла SHA-1 IoC, которая победит политику хэша MD5-файлов IoC, если типы хэшей определяют один и тот же файл. Это всегда верно независимо от группы устройств.
- Во всех остальных случаях, если конфликтующие политики Интернета вещей в файлах с одинаковым целевым объектом принудительного применения применяются ко всем устройствам и к группе устройства, то для устройства политика в группе устройств будет выиграна.
- Если групповая политика EnableFileHashComputation отключена, снижается точность блокировки файла IoC. Однако включение
EnableFileHashComputationможет повлиять на производительность устройства. Например, копирование больших файлов из общей сетевой папки на локальное устройство, особенно через VPN-подключение, может влиять на производительность устройства.
Дополнительные сведения о групповой политике EnableFileHashComputation см. в разделе CSP Defender.
Дополнительные сведения о настройке этой функции в Defender для конечной точки в Linux и macOS см . в разделах Настройка функции вычисления хэша файлов в Linux и Настройка функции вычисления хэша файлов в macOS.
Общедоступная предварительная версия: расширенные возможности охоты
Важно!
Сведения в этом разделе (общедоступная предварительная версия для автоматического исследования и исправления) относятся к предварительной версии продукта, который может быть существенно изменен до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Действие действия ответа можно запрашивать заранее. Ниже приведен пример запроса на предварительную охоту:
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"
Дополнительные сведения о расширенной охоте см. в разделе Упреждающая охота на угрозы с помощью расширенной охоты.
Ниже приведены другие имена потоков, которые можно использовать в примере запроса выше:
Файлы:
- EUS:Win32/CustomEnterpriseBlock!cl
- EUS:Win32/CustomEnterpriseNoAlertBlock!cl
Сертификаты:
- EUS:Win32/CustomCertEnterpriseBlock!cl
Действие реагирования также можно просмотреть в временная шкала устройства.
Обработка конфликтов политик
Конфликт обработки политики Cert и File IoC будет выполняться в следующем порядке:
Если файл не разрешен Защитник Windows управление приложениями и AppLocker принудительно применяют политику или политики режима, выберите Блокировать.
В противном случае, если файл разрешен исключением антивирусной программы Microsoft Defender, выберите Разрешить
В противном случае, если файл заблокирован или предупрежден блоком или предупреждать файл IoC, а затем блокировать или предупреждать
В противном случае, если файл заблокирован SmartScreen, а затем — Блокировать
В противном случае, если файл разрешен политикой IoC разрешить файл, выберите Разрешить
В противном случае, если файл заблокирован правилами ASR, CFA, AV, а затем Блокировать
В противном случае разрешить (передает Защитник Windows политику AppLocker управления приложениями&, к ней не применяются правила IoC)
Примечание.
В ситуациях, когда для Microsoft Defender антивирусная программа имеет значение Блокировать, а для Defender для конечной точки — индикаторы — хэш файла или сертификат — значение Разрешить, политика по умолчанию будет разрешать.
Если существуют конфликтующие политики IoC файлов с тем же типом принудительного применения и целевым объектом, будет применена политика более безопасного (то есть более длинного) хэша. Например, политика хэша файлов SHA-256 IoC победит политику хэша md5-файлов IoC, если оба типа хэша определяют один и тот же файл.
Предупреждение
Обработка конфликтов политик для файлов и сертификатов отличается от обработки конфликтов политик для доменов, URL-адресов или IP-адресов.
Управление уязвимостями Microsoft Defender блочные уязвимые функции приложения используют файловые операции ввода-вывода для принудительного применения и будут соответствовать указанному выше порядку обработки конфликтов.
Примеры
| Компонент | Принудительное применение компонентов | Действие индикатора файла | Результат |
|---|---|---|---|
| Исключение пути к файлу сокращения направлений атаки | Разрешить | Блокировка | Блокировка |
| Правило сокращения направлений атаки | Блокировка | Разрешить | Разрешить |
| Управление приложениями в Защитнике Windows | Разрешить | Блокировка | Разрешить |
| Управление приложениями в Защитнике Windows | Блокировка | Разрешить | Блокировка |
| Исключение антивирусной программы Microsoft Defender | Разрешить | Блокировка | Разрешить |
См. также
Создание индикаторов для протоколов IP и URL-адресов или доменов
Исключения для антивирусной программы Microsoft Defender для конечной точки и Microsoft Defender
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в нашем техническом сообществе: Microsoft Defender для конечной точки технического сообщества.