Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Güvenliğin aşılmasına (IoC) genel bakış göstergesi
Güvenliğin aşıldığının göstergesi (IoC), ağda veya konakta gözlemlenen bir adli yapıttır. IoC, yüksek güvenle bir bilgisayar veya ağ yetkisiz erişim gerçekleştiğini gösterir. IC'ler gözlemlenebilir ve bu da bunları doğrudan ölçülebilir olaylara bağlar. Bazı IoC örnekleri şunlardır:
- bilinen kötü amaçlı yazılım karmaları
- kötü amaçlı ağ trafiğinin imzaları
- Kötü amaçlı yazılım dağıtımcıları olarak bilinen URL'ler veya etki alanları
Diğer risk ihlallerini durdurmak veya bilinen IoC ihlallerini önlemek için başarılı IoC araçları, aracın kural kümesi tarafından numaralandırılan tüm kötü amaçlı verileri algılayabilmelidir. IoC eşleştirme, her uç nokta koruma çözümünde önemli bir özelliktir. Bu özellik SecOps'a algılama ve engelleme (önleme ve yanıt) için göstergelerin listesini ayarlama olanağı verir.
Kuruluşlar IoC varlıklarının algılanmasını, önlenmesini ve dışlanmasını tanımlayan göstergeler oluşturabilir. Gerçekleştirilecek eylemin yanı sıra eylemin ne zaman uygulanacağı ve uygulanacağı cihaz grubunun kapsamını tanımlayabilirsiniz.
Bu videoda gösterge oluşturma ve ekleme yönergeleri gösterilmektedir:
Microsoft göstergeleri hakkında
Genel bir kural olarak, yalnızca bilinen hatalı IC'ler veya kuruluşunuzda açıkça izin verilmesi gereken dosyalar / web siteleri için göstergeler oluşturmanız gerekir. Uç Nokta için Defender'ın varsayılan olarak engellediği site türleri hakkında daha fazla bilgi için bkz. SmartScreen'e genel bakış Microsoft Defender.
Hatalı pozitif (FP), Microsoft'un tehdit zekasında hatalı pozitif anlamına gelir. Belirli bir kaynak aslında bir tehdit değilse, kaynağa izin vermek için IoC'ye İzin Ver oluşturabilirsiniz. Ayrıca hatalı pozitifler ve analiz için şüpheli veya kötü bilinen GÇ'ler göndererek Microsoft'un güvenlik zekasına yönelik iyileştirmeler yapmaya yardımcı olabilirsiniz. Dosya veya uygulama için yanlış bir uyarı veya blok gösteriliyorsa veya algılanmayan bir dosyanın kötü amaçlı yazılım olduğundan şüpheleniyorsanız, gözden geçirilmek üzere Microsoft'a bir dosya gönderebilirsiniz. Daha fazla bilgi için bkz. Dosyaları analiz için gönderme.
IP/URL/Etki alanı göstergeleri
Site erişimini yönetmek için IP ve URL/Etki alanı göstergelerini kullanabilirsiniz.
BIR IP adresine bağlantıları engellemek için, IPv4 adresini noktalı dörtlü biçiminde yazın (örneğin, 8.8.8.8). IPv6 adresleri için sekiz segmentin tümünü belirtin (örneğin, 2001:4860:4860:0:0:0:0:8888). Joker karakterlerin ve aralıkların desteklenmediğini unutmayın.
Bir etki alanına ve herhangi bir alt etki alanına yönelik bağlantıları engellemek için etki alanını belirtin (örneğin, contoso.com). Bu gösterge ve ile eşleşir contoso.comsub.contoso.com.anything.sub.contoso.com
Belirli bir URL yolunu engellemek için URL yolunu belirtin (örneğin, https://contoso.com/block). Bu gösterge, üzerindeki yolunun /block altındaki kaynakları eşleştirir contoso.com. HTTPS URL yollarının yalnızca Microsoft Edge'de eşleştirileceğini unutmayın; HTTP URL yolları herhangi bir tarayıcıda eşleştirilebilir.
Ayrıca, kullanıcıların SmartScreen bloğunun engelini kaldırmak için IP ve URL göstergeleri oluşturabilir veya yüklenmesine izin vermek istediğiniz sitelerin web içeriği filtreleme bloklarını seçmeli olarak atlayabilirsiniz. Örneğin, tüm sosyal medya web sitelerini engellemek için ayarlanmış web içeriği filtrelemesine sahip olduğunuz bir durum düşünün. Ancak pazarlama ekibinin reklam yerleşimlerini izlemek için belirli bir sosyal medya sitesini kullanma zorunluluğu vardır. Bu durumda, bir etki alanı İzin Ver göstergesi oluşturup pazarlama ekibinin cihaz grubuna atayarak belirli bir sosyal medya sitesinin engellemesini kaldırabilirsiniz.
Bkz . Web koruması ve Web içeriği filtreleme
IP/URL Göstergeleri: Ağ koruması ve TCP üç yönlü el sıkışması
Ağ koruması ile, TCP/IP aracılığıyla üç yönlü el sıkışması tamamlandıktan sonra siteye erişime izin verilip verilmeyeceğinin veya engellenip engellenmeyeceğinin belirlenmesi yapılır. Bu nedenle, bir site ağ koruması tarafından engellendiğinde, site engellenmiş olsa bile Microsoft Defender portalında altında NetworkConnectionEvents bir eylem türü ConnectionSuccess görebilirsiniz.
NetworkConnectionEvents ağ korumasından değil TCP katmanından bildirilir. Üç yönlü el sıkışması tamamlandıktan sonra siteye erişime izin verilir veya ağ koruması tarafından engellenir.
Bunun nasıl çalıştığına dair bir örnek aşağıda verilmişti:
Bir kullanıcının cihazında bir web sitesine erişmeye çalıştığı varsayılmaktadır. Site tehlikeli bir etki alanında barındırılacak ve ağ koruması tarafından engellenmelidir.
TCP/IP aracılığıyla üç yönlü el sıkışması başlar. İşlem tamamlanmadan önce bir
NetworkConnectionEventseylem günlüğe kaydedilir ve eylemiActionTypeolarakConnectionSuccesslistelenir. Ancak, üç yönlü el sıkışma işlemi tamamlandığında ağ koruması siteye erişimi engeller. Tüm bunlar hızlı bir şekilde gerçekleşir. Benzer bir işlem Microsoft Defender SmartScreen ile gerçekleşir; üç yönlü el sıkışması tamamlandığında belirleme yapılır ve siteye erişim engellenir veya izin verilir.Microsoft Defender portalında, uyarılar kuyruğunda bir uyarı listelenir. Bu uyarının ayrıntıları hem hem
AlertEventsdeNetworkConnectionEventsiçerir. ActionType içeren birNetworkConnectionEventsöğeniz de olsa, siteninConnectionSuccessengellendiğini görebilirsiniz.
Dosya karması göstergeleri
Bazı durumlarda, yeni tanımlanan bir ioC dosyası için yeni bir gösterge oluşturmak (ani bir durdurma aralığı ölçüsü olarak), dosyaları ve hatta uygulamaları engellemek için uygun olabilir. Ancak, bir uygulamayı engellemeye çalışmak için göstergelerin kullanılması, genellikle birçok farklı dosyadan oluştuğundan beklenen sonuçları sağlamayabilir. Uygulamaları engellemenin tercih edilen yöntemleri Windows Defender Uygulama Denetimi (WDAC) veya AppLocker kullanmaktır.
Bir uygulamanın her sürümünde farklı bir dosya karması olduğundan, karmaları engellemek için göstergelerin kullanılması önerilmez.
Windows Defender Uygulama Denetimi (WDAC)
Sertifika göstergeleri
Bu sertifika tarafından imzalanan dosya ve uygulamalara izin vermek veya bunları engellemek için bir IoC oluşturabilirsiniz. Sertifika göstergeleri içinde sağlanabilir. CER veya . PEM dosya biçimi. Daha fazla ayrıntı için bkz. Sertifikaları temel alan göstergeler oluşturma .
IoC algılama altyapıları
Şu anda IoC'ler için desteklenen Microsoft kaynakları şunlardır:
- Uç Nokta için Defender'ın bulut algılama altyapısı
- Uç Nokta için Microsoft Defender'de otomatik araştırma ve düzeltme (AIR) motoru
- Uç nokta önleme altyapısı (Microsoft Defender Virüsten Koruma)
Bulut algılama altyapısı
Uç Nokta için Defender'ın bulut algılama altyapısı, toplanan verileri düzenli olarak tarar ve ayarladığınız göstergelerle eşleşmeye çalışır. Eşleşme olduğunda, IoC için belirttiğiniz ayarlara göre işlem yapılır.
Uç nokta önleme altyapısı
Aynı gösterge listesi önleme aracısı tarafından kabul edilir. Yani, Microsoft Defender Virüsten Koruma, yapılandırılmış birincil virüsten koruma yazılımıysa, eşleşen göstergeler ayarlara göre değerlendirilir. Örneğin, eylem engellenip düzeltiliyorsa virüsten koruma Microsoft Defender dosya yürütmelerini engeller ve buna karşılık gelen bir uyarı görüntülenir. Öte yandan, Eylem İzin Ver olarak ayarlandıysa Microsoft Defender Virüsten Koruma dosyayı algılamaz veya engellemez.
Otomatik araştırma ve düzeltme altyapısı
Otomatik araştırma ve düzeltme, uç nokta önleme altyapısına benzer şekilde davranır. Bir gösterge İzin Ver olarak ayarlanırsa, otomatik araştırma ve düzeltme bunun için hatalı bir kararı yoksayar. Engelle olarak ayarlanırsa, otomatik araştırma ve düzeltme bunu kötü olarak ele alır.
ayarı, EnableFileHashComputation dosya taramaları sırasında dosya karması hesaplar. Güvenilen uygulamalara ait karmalara karşı IoC zorlamasını destekler. dosyaya izin ver veya engelle ayarıyla eşzamanlı olarak etkinleştirilir.
EnableFileHashComputationgrup ilkesi aracılığıyla el ile etkinleştirilir ve varsayılan olarak devre dışı bırakılır.
Göstergeler için zorlama türleri
Güvenlik ekibiniz yeni bir gösterge (IoC) oluşturduğunda aşağıdaki eylemler kullanılabilir:
- İzin Ver: IoC'nin cihazlarınızda çalışmasına izin verilir.
- Denetim: IoC çalıştırıldığında bir uyarı tetikler.
- Uyar: IoC, kullanıcının atlayabileceğinizi belirten bir uyarı ister
- Yürütmeyi engelle: IoC'nin çalıştırılmasına izin verilmez.
- Engelleme ve düzeltme: IoC'nin çalıştırılmasına izin verilmez ve IoC'ye bir düzeltme eylemi uygulanır.
Not
Uyarı modunun kullanılması, kullanıcılara riskli bir uygulama veya web sitesi açtıklarında bir uyarı sorar. İstem, uygulamanın veya web sitesinin çalışmasına izin vermelerini engellemez, ancak özel bir ileti ve uygulamanın uygun kullanımını açıklayan bir şirket sayfasına bağlantılar sağlayabilirsiniz. Kullanıcılar yine de uyarıyı atlayabilir ve gerekirse uygulamayı kullanmaya devam edebilir. Daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender tarafından bulunan uygulamaları yönetme.
Not
Uyar eylemi için, IoC'yi atlayabilmek için bildirim almak için Virüs & Tehdit Koruması bildirimleri altında "Dosyalar veya etkinlikler engellendi" seçeneğinin etkinleştirildiğinden emin olun. İlgili kayıt defteri anahtarı şu şekilde ayarlanmalıdır: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender Security Center\Virus ve tehdit koruması\FilesBlockedNotificationDisabled = 0.
Diğer ayrıntılar için bkz. Windows Güvenliği uygulama ayarları.
Şunun için bir gösterge oluşturabilirsiniz:
Aşağıdaki tabloda, gösterge türü (IoC) başına hangi eylemlerin kullanılabilir olduğu gösterilmektedir:
| IoC türü | Kullanılabilir eylemler |
|---|---|
| Dosyalar | İzin ver Denetim Uyarmak Yürütmeyi engelle Engelleme ve düzeltme |
| IP adresleri | İzin ver Denetim Uyarmak Yürütmeyi engelle |
| URL'ler ve etki alanları | İzin ver Denetim Uyarmak Yürütmeyi engelle |
| Sertifikalar | İzin ver Engelleme ve düzeltme |
Önceden var olan GÇ'lerin işlevselliği değişmez. Ancak göstergeler şu anda desteklenen yanıt eylemleriyle eşleşecek şekilde yeniden adlandırılır:
- Yalnızca uyarı yanıtı eylemi, oluşturulan uyarı ayarı etkinken denetim olarak yeniden adlandırıldı.
- Uyarı ve engelleme yanıtı, isteğe bağlı uyarı oluştur ayarıyla engellenip düzeltecek şekilde yeniden adlandırıldı.
IoC API şeması ve Gelişmiş Tehdit Avcılığı'ndaki tehdit kimlikleri, IoC yanıt eylemlerinin yeniden adlandırılmasıyla uyumlu olacak şekilde güncelleştirilir. API düzeni değişiklikleri tüm IoC Türleri için geçerlidir.
Not
Kiracı başına 15.000 gösterge sınırı vardır. Bu sınıra yapılan artışlar desteklenmez.
Dosya ve sertifika göstergeleri, Microsoft Defender Virüsten Koruma için tanımlanan dışlamaları engellemez. Göstergeler pasif moddayken Microsoft Defender Virüsten Koruma'da desteklenmez.
Yeni göstergeleri (ICS) içeri aktarma biçimi, yeni güncelleştirilen eylemler ve uyarı ayarlarına göre değişti. İçeri aktarma panelinin en altında bulunabilecek yeni CSV biçimini indirmenizi öneririz.
Tasdikli veya tasdiksiz uygulamalar için Microsoft Defender for Cloud Apps defender portalıyla eşitlenen göstergeler, Microsoft Defender portala eşitlendiğinde ayarların üzerine yazılır. seçenekGenerate Alert, Microsoft Defender portalında tasdiksiz uygulamalar için varsayılan olarak etkindir. Uç Nokta için Defender seçeneğini temizlemeye Generate Alert çalışırsanız, bir süre sonra yeniden etkinleştirilir çünkü Defender for Cloud Apps ilkesi bunu geçersiz kılar. Tasdikli veya izin verilen uygulamalar değeri olarak ayarlanmamıştır Generate Alert .
Bilinen sorunlar ve sınırlamalar
Microsoft tarafından imzalanan Microsoft uygulamaları Microsoft Defender tarafından engellenemez.
Müşteriler ICS için uyarılarla ilgili sorunlarla karşılaşabilir. Aşağıdaki senaryolar, uyarıların oluşturulmadığı veya yanlış bilgilerle oluşturulduğu durumlardır.
- Engelle ve Uyar göstergeleri: Yalnızca bilgilendirici önem derecesine sahip genel uyarılar oluşturulur. Özel uyarılar (özel başlık ve önem derecesi) bu durumlarda tetiklenmez.
- İzin Ver: Uyarı oluşturulmaz (tasarım gereği).
- Denetim: Uyarılar, müşteri tarafından sağlanan önem derecesine göre oluşturulur (tasarım gereği).
- Bazı durumlarda, EDR algılamalarından gelen uyarılar virüsten koruma bloklarından kaynaklanan uyarılardan öncelikli olabilir ve bu durumda bir bilgi uyarısı oluşturulur.