Skapa indikatorer

  • Artikel

Gäller för:

Tips

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Översikt över indikator för kompromettering (IoC)

En indikator för kompromettering (IoC) är en kriminalteknisk artefakt som observeras i nätverket eller värden. En IoC indikerar – med hög konfidens – att ett dator- eller nätverksintrång har inträffat. IoCs kan observeras, vilket länkar dem direkt till mätbara händelser. Några IoC-exempel är:

  • hashvärden för känd skadlig kod
  • signaturer för skadlig nätverkstrafik
  • URL:er eller domäner som är kända distributörer av skadlig kod

För att stoppa andra kompromettering eller förhindra överträdelser av kända IoC-verktyg bör lyckade IoC-verktyg kunna identifiera alla skadliga data som räknas upp av verktygets regeluppsättning. IoC-matchning är en viktig funktion i varje slutpunktsskyddslösning. Den här funktionen ger SecOps möjlighet att ange en lista över indikatorer för identifiering och blockering (förebyggande och svar).

Organisationer kan skapa indikatorer som definierar identifiering, förebyggande och exkludering av IoC-entiteter. Du kan definiera vilken åtgärd som ska vidtas samt varaktigheten för när åtgärden ska tillämpas och omfånget för den enhetsgrupp som den ska tillämpas på.

Den här videon visar en genomgång av hur du skapar och lägger till indikatorer:

Om Microsoft-indikatorer

Som en allmän regel bör du bara skapa indikatorer för kända felaktiga IoCs, eller för filer/webbplatser som uttryckligen ska tillåtas i din organisation. Mer information om vilka typer av webbplatser som Defender för Endpoint kan blockera som standard finns i Microsoft Defender SmartScreen-översikt.

Falskt positivt (FP) refererar till en SmartScreen-falsk positiv identifiering, så att den anses vara skadlig kod eller nätfiske, men faktiskt inte är ett hot, så du vill skapa en tillåten princip för den.

Du kan också hjälpa till att förbättra Microsofts säkerhetsinformation genom att skicka falska positiva identifieringar och misstänkta eller kända skadliga IoCs för analys. Om en varning eller ett block visas felaktigt för en fil eller ett program, eller om du misstänker att en oupptäckt fil är skadlig kod, kan du skicka en fil till Microsoft för granskning. Mer information finns i Skicka filer för analys.

IP-/URL-indikatorer

Du kan använda IP-/URL-indikatorer för att avblockera användare från en SmartScreen-falsk positiv (FP) eller för att åsidosätta ett WFC-block (Web Content Filtering).

Du kan använda URL- och IP-indikatorer för att hantera webbplatsåtkomst. Du kan skapa mellanliggande IP- och URL-indikatorer för att tillfälligt avblockera användare från ett SmartScreen-block. Du kan också ha indikatorer som du behåller under en längre tid för att selektivt kringgå block för webbinnehållsfiltrering.

Tänk på det fall där du har en kategorisering av webbinnehållsfiltrering för en viss webbplats som är korrekt. I det här exemplet har du angett webbinnehållsfiltrering för att blockera alla sociala medier, vilket är korrekt för dina övergripande organisationsmål. Marknadsföringsteamet har dock ett verkligt behov av att använda en specifik webbplats för sociala medier för annonsering och meddelanden. I så fall kan du avblockera den specifika sociala mediewebbplatsen med hjälp av IP- eller URL-indikatorer för den specifika grupp (eller grupper) som ska användas.

Se Webbskydd och webbinnehållsfiltrering

IP/URL-indikatorer: Nätverksskydd och TCP-trevägshandskakning

Med nätverksskydd görs fastställandet av om åtkomsten till en plats ska tillåtas eller blockeras efter att trevägshandskakningen har slutförts via TCP/IP. När en plats blockeras av nätverksskydd kan du därför se en åtgärdstyp under ConnectionSuccessNetworkConnectionEvents i Microsoft Defender-portalen, även om webbplatsen har blockerats. NetworkConnectionEvents rapporteras från TCP-lagret och inte från nätverksskyddet. När trevägshandskakningen har slutförts tillåts eller blockeras åtkomsten till platsen av nätverksskyddet.

Här är ett exempel på hur det fungerar:

  1. Anta att en användare försöker komma åt en webbplats på sin enhet. Webbplatsen råkar finnas på en farlig domän och bör blockeras av nätverksskyddet.

  2. Trevägshandskakningen via TCP/IP påbörjas. Innan den är klar loggas en NetworkConnectionEvents åtgärd och den ActionType visas som ConnectionSuccess. Men så snart trevägshandskakningsprocessen har slutförts blockerar nätverksskyddet åtkomsten till platsen. Allt detta sker snabbt. En liknande process sker med Microsoft Defender SmartScreen. Det är när trevägshandskakningen slutförs som en bestämning görs och åtkomst till en webbplats antingen blockeras eller tillåts.

  3. I Microsoft Defender-portalen visas en avisering i aviseringskön. Information om aviseringen omfattar både NetworkConnectionEvents och AlertEvents. Du kan se att webbplatsen har blockerats, även om du även har ett NetworkConnectionEvents objekt med ActionType för ConnectionSuccess.

Filhashindikatorer

I vissa fall kan det vara lämpligt att skapa en ny indikator för en nyligen identifierad fil-IoC – som ett omedelbart stopp-gap-mått – för att blockera filer eller till och med program. Men att använda indikatorer för att försöka blockera ett program kanske inte ger förväntade resultat eftersom programmen vanligtvis består av många olika filer. De bästa metoderna för att blockera program är att använda Windows Defender Application Control (WDAC) eller AppLocker.

Eftersom varje version av ett program har olika filhash rekommenderas inte att använda indikatorer för att blockera hashvärden.

Windows Defender programkontroll (WDAC)

Certifikatindikatorer

I vissa fall ett specifikt certifikat som används för att signera en fil eller ett program som din organisation är inställd på att tillåta eller blockera. Certifikatindikatorer stöds i Defender för Endpoint om de använder . CER eller . PEM-filformat. Mer information finns i Skapa indikatorer baserat på certifikat .

IoC-identifieringsmotorer

För närvarande stöds Microsoft-källor för IoCs:

Molnidentifieringsmotor

Molnidentifieringsmotorn i Defender för Endpoint söker regelbundet igenom insamlade data och försöker matcha de indikatorer som du anger. När det finns en matchning vidtas åtgärder enligt de inställningar som du har angett för IoC.

Motor för slutpunktsskydd

Samma lista över indikatorer respekteras av skyddsagenten. Om Microsoft Defender Antivirus är det primära antivirusprogrammet som konfigurerats behandlas de matchade indikatorerna enligt inställningarna. Om åtgärden till exempel är "Avisering och blockera" förhindrar Microsoft Defender Antivirus filkörningar (blockera och åtgärda) och en motsvarande avisering visas. Å andra sidan, om åtgärden är inställd på "Tillåt", Microsoft Defender Antivirus inte identifierar eller blockerar filen.

Automatiserad undersöknings- och reparationsmotor

Den automatiserade undersökningen och reparationen fungerar på samma sätt som slutpunktsskyddsmotorn. Om en indikator är inställd på "Tillåt" ignorerar automatiserad undersökning och reparation en "dålig" bedömning för den. Om värdet är "Blockera" behandlas den automatiserade undersökningen och reparationen som "dålig".

Inställningen EnableFileHashComputation beräknar filhashen för certifikatet och fil-IoC under filgenomsökningar. Den stöder IoC-tillämpning av hashvärden och certifikat som tillhör betrodda program. Den aktiveras samtidigt med inställningen tillåt eller blockera fil. EnableFileHashComputationaktiveras manuellt via grupprincip och inaktiveras som standard.

Tillämpningstyper för indikatorer

När ditt säkerhetsteam skapar en ny indikator (IoC) är följande åtgärder tillgängliga:

  • Tillåt – IoC tillåts köras på dina enheter.
  • Granskning – en avisering utlöses när IoC körs.
  • Varna – IoC uppmanar en varning om att användaren kan kringgå
  • Blockera körning – IoC får inte köras.
  • Blockera och åtgärda – IoC får inte köras och en åtgärd tillämpas på IoC.

Obs!

När du använder läget Varna får användarna en varning om de öppnar en riskfylld app eller webbplats. Uppmaningen blockerar dem inte från att tillåta att programmet eller webbplatsen körs, men du kan ange ett anpassat meddelande och länkar till en företagssida som beskriver lämplig användning av appen. Användarna kan fortfarande kringgå varningen och fortsätta att använda appen om de behöver det. Mer information finns i Styra appar som identifieras av Microsoft Defender för Endpoint.

Du kan skapa en indikator för:

Tabellen nedan visar exakt vilka åtgärder som är tillgängliga per indikatortyp (IoC):

IoC-typ Tillgängliga åtgärder
Filer Tillåt
Granskning
Varna
Blockera körning
Blockera och åtgärda
IP-adresser Tillåt
Granskning
Varna
Blockera körning
URL:er och domäner Tillåt
Granskning
Varna
Blockera körning
Certifikat Tillåt
Blockera och åtgärda

Funktionerna i befintliga IoCs ändras inte. Indikatorerna har dock bytt namn för att matcha de aktuella svarsåtgärder som stöds:

  • Svarsåtgärden "endast avisering" har bytt namn till "granskning" med den genererade aviseringsinställningen aktiverad.
  • Svaret "avisering och blockering" har bytt namn till "blockera och åtgärda" med den valfria inställningen generera avisering.

IoC API-schemat och hot-ID:n i förväg uppdateras så att de överensstämmer med namnbytet av IoC-svarsåtgärderna. API-schemaändringarna gäller för alla IoC-typer.

Obs!

Det finns en gräns på 15 000 indikatorer per klientorganisation. Fil- och certifikatindikatorer blockerar inte undantag som definierats för Microsoft Defender Antivirus. Indikatorer stöds inte i Microsoft Defender Antivirus när det är i passivt läge.

Formatet för att importera nya indikatorer (IoCs) har ändrats enligt de nya uppdaterade åtgärderna och aviseringsinställningarna. Vi rekommenderar att du laddar ned det nya CSV-formatet som finns längst ned på importpanelen.

Kända problem och begränsningar

Kunder kan få problem med aviseringar för indikatorer för komproprog. Följande scenarier är situationer där aviseringar inte skapas eller skapas med felaktig information. Varje problem undersöks av vårt teknikteam.

  • Blockindikatorer – Allmänna aviseringar med endast informations allvarlighetsgrad utlöses. Anpassade aviseringar (dvs. anpassad rubrik och allvarlighetsgrad) utlöses inte i dessa fall.
  • Varningsindikatorer – Allmänna aviseringar och anpassade aviseringar är möjliga i det här scenariot, men resultaten är inte deterministiska på grund av ett problem med aviseringsidentifieringslogik. I vissa fall kan kunder se en allmän avisering, medan en anpassad avisering kan visas i andra fall.
  • Tillåt – Inga aviseringar genereras (avsiktligt).
  • Granskning – Aviseringar genereras baserat på kundens allvarlighetsgrad.
  • I vissa fall kan aviseringar som kommer från EDR-identifieringar ha företräde framför aviseringar som härrör från antivirusblock, i vilket fall en informationsavisering genereras.

Microsoft Store-appar kan inte blockeras av Defender eftersom de är signerade av Microsoft.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.