Создание индикаторов

  • Статья

Область применения:

Совет

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Общие сведения о индикаторе компрометации (IoC)

Индикатор компрометации (IoC) — это судебно-медицинский артефакт, наблюдаемый в сети или узле. IoC указывает (с высокой степенью достоверности) на то, что произошло вторжение на компьютер или сеть. Операции ввода-вывода являются наблюдаемыми, что напрямую связывает их с измеримыми событиями. Ниже приведены некоторые примеры IoC:

  • Хэши известных вредоносных программ
  • сигнатуры вредоносного сетевого трафика
  • URL-адреса или домены, которые являются известными распространителями вредоносных программ

Чтобы остановить другие компрометации или предотвратить нарушения известных ioC, успешные средства IoC должны иметь возможность обнаруживать все вредоносные данные, перечисленные набором правил средства. Сопоставление IoC является важной функцией в каждом решении для защиты конечных точек. Эта возможность позволяет SecOps задавать список индикаторов для обнаружения и блокировки (предотвращение и реагирование).

Организации могут создавать индикаторы, определяющие обнаружение, предотвращение и исключение сущностей IoC. Вы можете определить действие, которое необходимо выполнить, а также длительность применения действия и область группы устройств, к которые оно будет применено.

В этом видео показано пошаговое руководство по созданию и добавлению индикаторов:

Сведения о индикаторах Майкрософт

Как правило, следует создавать индикаторы только для известных недопустимых операций ввода-вывода или для любых файлов или веб-сайтов, которые должны быть явно разрешены в вашей организации. Дополнительные сведения о типах сайтов, которые Defender для конечной точки может блокировать по умолчанию, см. Microsoft Defender обзор SmartScreen.

Ложноположительный результат (FP) относится к ложноположительным срабатываниям SmartScreen, так что он считается вредоносной программой или фишингом, но на самом деле не является угрозой, поэтому вы хотите создать для него политику разрешений.

Вы также можете улучшить аналитику безопасности Майкрософт, отправив ложноположительные результаты и подозрительные или известные неверные операции ввода-вывода для анализа. Если предупреждение или блок неправильно отображается для файла или приложения или если вы подозреваете, что незамеченный файл является вредоносным, вы можете отправить файл в Корпорацию Майкрософт для проверки. Подробно см. в статье Отправка файлов для анализа.

Индикаторы IP-адресов и URL-адресов

Индикаторы IP-адресов и URL-адресов можно использовать для разблокировки пользователей из ложноположительных результатов SmartScreen (FP) или для переопределения блока веб-фильтрации содержимого (WFC).

Для управления доступом к сайту можно использовать индикаторы URL-адресов и IP-адресов. Вы можете создать промежуточные индикаторы IP-адресов и URL-адресов, чтобы временно разблокировать пользователей из блока SmartScreen. У вас также могут быть индикаторы, которые вы храните в течение длительного периода времени, чтобы выборочно обходить блоки фильтрации веб-содержимого.

Рассмотрим случай, когда у вас есть правильная классификация фильтрации веб-содержимого для определенного сайта. В этом примере настроена фильтрация веб-содержимого для блокировки всех социальных сетей, что правильно для общих целей организации. Тем не менее, команда маркетинга имеет реальную необходимость использовать конкретный сайт социальных сетей для рекламы и объявлений. В этом случае можно разблокировать определенный сайт социальных сетей, используя индикаторы IP-адресов или URL-адресов для конкретной группы (или групп).

См. статью Веб-защита и фильтрация веб-содержимого.

Индикаторы IP-адресов и URL-адресов: защита сети и трехстороннее подтверждение TCP

В случае защиты сети определение того, следует ли разрешать или блокировать доступ к сайту, производится после завершения трехстороннего подтверждения через TCP/IP. Таким образом, если сайт заблокирован защитой сети, на портале Microsoft Defender может отображаться тип ConnectionSuccessNetworkConnectionEvents действия в разделе, даже если сайт был заблокирован. NetworkConnectionEvents отображаются на уровне TCP, а не из защиты сети. После завершения трехстороннего подтверждения доступ к сайту будет разрешен или заблокирован защитой сети.

Ниже приведен пример того, как это работает.

  1. Предположим, что пользователь пытается получить доступ к веб-сайту на своем устройстве. Сайт размещается в опасном домене, и он должен быть заблокирован сетевой защитой.

  2. Начинается трехстороннее подтверждение через TCP/IP. Перед его завершением NetworkConnectionEvents действие регистрируется и отображается ActionType как ConnectionSuccess. Однако как только процесс трехстороннего подтверждения завершится, защита сети блокирует доступ к сайту. Все это происходит быстро. Аналогичный процесс происходит с Microsoft Defender SmartScreen. Это происходит, когда трехстороннее подтверждение завершается, что делается определение, а доступ к сайту либо заблокирован, либо разрешен.

  3. На портале Microsoft Defender в очереди оповещений отображается оповещение. Сведения об этом оповещении включают и NetworkConnectionEventsAlertEvents. Вы видите, что сайт был заблокирован, даже если у вас также есть NetworkConnectionEvents элемент с ActionType .ConnectionSuccess

Хэш-индикаторы файлов

В некоторых случаях создание нового индикатора для недавно идентифицированного файла IoC ( в качестве меры немедленного интервала остановки) может быть подходящим для блокировки файлов или даже приложений. Однако использование индикаторов для блокировки приложения может не предоставлять ожидаемые результаты, так как приложения обычно состоят из множества различных файлов. Для блокировки приложений рекомендуется использовать Защитник Windows управления приложениями (WDAC) или AppLocker.

Так как каждая версия приложения имеет свой хэш файлов, использовать индикаторы для блокировки хэшей не рекомендуется.

Управление приложениями Защитник Windows (WDAC)

Индикаторы сертификатов

В некоторых случаях — определенный сертификат, используемый для подписи файла или приложения, разрешенных или заблокированных вашей организацией. Индикаторы сертификатов поддерживаются в Defender для конечной точки, если они используют . CER или . Формат PEM-файла. Дополнительные сведения см. в разделе Create индикаторы на основе сертификатов.

Подсистемы обнаружения IoC

В настоящее время поддерживаемые microsoft источники для ioC:

Подсистема обнаружения облака

Модуль облачного обнаружения Defender для конечной точки регулярно сканирует собранные данные и пытается соответствовать заданным индикаторам. При наличии совпадения действие выполняется в соответствии с параметрами, указанными для IoC.

Подсистема защиты конечных точек

Тот же список индикаторов учитывается агентом по предотвращению. Это означает, что если Microsoft Defender Антивирусная программа является основной настроенной антивирусной программой, соответствующие индикаторы обрабатываются в соответствии с параметрами. Например, если для действия задано значение "Оповещение и блокировка", Microsoft Defender антивирусная программа предотвращает выполнение файлов (блокировать и исправлять), и появится соответствующее оповещение. С другой стороны, если для действия задано значение "Разрешить", Microsoft Defender антивирусная программа не обнаруживает и не блокирует файл.

Автоматическое исследование и исправление

Автоматическое исследование и исправление ведут себя аналогично подсистеме защиты конечных точек. Если для индикатора задано значение "Разрешить", автоматическое исследование и исправление игнорирует "плохой" вердикт для него. Если задано значение "Блокировать", автоматическое исследование и исправление будет рассматриваться как "плохое".

Параметр EnableFileHashComputation вычисляет хэш файла для сертификата и файлов IoC во время сканирования файлов. Он поддерживает принудительное применение вЕщей хэшей и сертификатов, принадлежащих доверенным приложениям. Он одновременно включается с параметром разрешить или блокировать файл. EnableFileHashComputationвключается вручную через групповая политика и по умолчанию отключен.

Типы принудительного применения для индикаторов

Когда группа безопасности создает новый индикатор (IoC), доступны следующие действия:

  • Разрешить — IoC разрешено запускать на ваших устройствах.
  • Аудит — оповещение активируется при запуске IoC.
  • Предупреждение — IoC выводит предупреждение о том, что пользователь может обойти
  • Блочное выполнение — IoC не будет разрешено выполнять.
  • Блокировать и исправлять . IoC не будет разрешено выполнять, и к IoC будет применено действие исправления.

Примечание.

При использовании режима предупреждения пользователи получат предупреждение, если они открывают опасное приложение или веб-сайт. Запрос не блокирует запуск приложения или веб-сайта, но вы можете предоставить пользовательское сообщение и ссылки на страницу компании, на которой описывается соответствующее использование приложения. Пользователи по-прежнему могут обходить предупреждение и продолжать использовать приложение при необходимости. Дополнительные сведения см. в разделе Управление приложениями, обнаруженными Microsoft Defender для конечной точки.

Индикатор можно создать для:

В таблице ниже показано, какие именно действия доступны для каждого типа индикатора (IoC):

Тип IoC Доступные действия
Файлы Разрешить
Аудит
Предупредить
Выполнение блока
Блокировка и исправление
IP-адреса. Разрешить
Аудит
Предупредить
Выполнение блока
URL-адреса и домены Разрешить
Аудит
Предупредить
Выполнение блока
Сертификаты Разрешить
Блокировка и исправление

Функциональность уже существующих ioCs не изменится. Однако индикаторы были переименованы в соответствии с текущими поддерживаемыми действиями реагирования:

  • Действие ответа "Только оповещение" было переименовано в "аудит" с включенным параметром созданного оповещения.
  • Ответ "оповещение и блокировка" был переименован в "блокировать и исправлять" с необязательным параметром создания оповещения.

Схема API Интернета вещей и идентификаторы угроз при предварительной охоте обновляются в соответствии с переименованием действий реагирования IoC. Изменения схемы API применяются ко всем типам IoC.

Примечание.

Существует ограничение в 15 000 индикаторов на каждого клиента. Индикаторы файлов и сертификатов не блокируют исключения, определенные для Microsoft Defender антивирусной программы. Индикаторы не поддерживаются в антивирусной программе Microsoft Defender, если она находится в пассивном режиме.

Формат импорта новых индикаторов (IoCs) изменился в соответствии с новыми обновленными параметрами действий и оповещений. Рекомендуется скачать новый формат CSV, который можно найти в нижней части панели импорта.

Известные проблемы и ограничения

У клиентов могут возникнуть проблемы с оповещениями для индикаторов компрометации. Ниже описаны ситуации, когда оповещения не создаются или создаются с неточными сведениями. Каждая проблема изучается нашей командой разработчиков.

  • Блочные индикаторы — будут срабатся универсальные оповещения только с информационной серьезностью. Пользовательские оповещения (т. е. настраиваемые заголовок и уровень серьезности) в этих случаях не запускаются.
  • Индикаторы предупреждения . В этом сценарии возможны универсальные оповещения и пользовательские оповещения, однако результаты не детерминируются из-за проблемы с логикой обнаружения оповещений. В некоторых случаях клиенты могут видеть универсальное оповещение, в то время как пользовательское оповещение может отображаться в других случаях.
  • Разрешить — оповещения не создаются (по умолчанию).
  • Аудит . Оповещения создаются на основе серьезности, предоставляемой клиентом.
  • В некоторых случаях оповещения, поступающие от обнаружения EDR, могут иметь приоритет над оповещениями, исходящими из антивирусных блоков. В этом случае будет создано информационное оповещение.

Приложения Microsoft Store не могут быть заблокированы Defender, так как они подписаны корпорацией Майкрософт.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.