Göstergeleri oluşturun

  • Makale

Şunlar için geçerlidir:

İpucu

Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Güvenliğin aşılmasına (IoC) genel bakış göstergesi

Güvenliğin aşıldığının göstergesi (IoC), ağda veya konakta gözlemlenen bir adli yapıttır. IoC, yüksek güvenle bir bilgisayar veya ağ yetkisiz erişim gerçekleştiğini gösterir. IC'ler gözlemlenebilir ve bu da bunları doğrudan ölçülebilir olaylara bağlar. Bazı IoC örnekleri şunlardır:

  • bilinen kötü amaçlı yazılım karmaları
  • kötü amaçlı ağ trafiğinin imzaları
  • Kötü amaçlı yazılım dağıtımcıları olarak bilinen URL'ler veya etki alanları

Diğer risk ihlallerini durdurmak veya bilinen IoC ihlallerini önlemek için başarılı IoC araçları, aracın kural kümesi tarafından numaralandırılan tüm kötü amaçlı verileri algılayabilmelidir. IoC eşleştirme, her uç nokta koruma çözümünde önemli bir özelliktir. Bu özellik SecOps'a algılama ve engelleme (önleme ve yanıt) için göstergelerin listesini ayarlama olanağı verir.

Kuruluşlar IoC varlıklarının algılanmasını, önlenmesini ve dışlanmasını tanımlayan göstergeler oluşturabilir. Gerçekleştirilecek eylemin yanı sıra eylemin ne zaman uygulanacağı ve uygulanacağı cihaz grubunun kapsamını tanımlayabilirsiniz.

Bu videoda gösterge oluşturma ve ekleme yönergeleri gösterilmektedir:

Microsoft göstergeleri hakkında

Genel bir kural olarak, yalnızca bilinen hatalı IC'ler veya kuruluşunuzda açıkça izin verilmesi gereken dosyalar / web siteleri için göstergeler oluşturmanız gerekir. Uç Nokta için Defender'ın varsayılan olarak engellediği site türleri hakkında daha fazla bilgi için bkz. SmartScreen'e genel bakış Microsoft Defender.

Hatalı Pozitif (FP), kötü amaçlı yazılım veya kimlik avı olarak kabul edilen ancak aslında bir tehdit olmadığı için bir izin verme ilkesi oluşturmak istediğiniz bir SmartScreen hatalı pozitif değerini ifade eder.

Ayrıca hatalı pozitifler ve analiz için şüpheli veya kötü bilinen GÇ'ler göndererek Microsoft'un güvenlik zekasına yönelik iyileştirmeler yapmaya yardımcı olabilirsiniz. Dosya veya uygulama için yanlış bir uyarı veya blok gösteriliyorsa veya algılanmayan bir dosyanın kötü amaçlı yazılım olduğundan şüpheleniyorsanız, gözden geçirilmek üzere Microsoft'a bir dosya gönderebilirsiniz. Daha fazla bilgi için bkz. Dosyaları analiz için gönderme.

IP/URL göstergeleri

Kullanıcıların SmartScreen hatalı pozitif (FP) engelini kaldırmak veya bir Web İçeriği Filtreleme (WFC) bloğunu geçersiz kılmak için IP/URL göstergelerini kullanabilirsiniz.

Site erişimini yönetmek için URL ve IP göstergelerini kullanabilirsiniz. Kullanıcıların SmartScreen bloğundaki engelini geçici olarak kaldırmak için geçici IP ve URL göstergeleri oluşturabilirsiniz. Ayrıca, web içeriği filtreleme bloklarını seçmeli olarak atlamak için uzun süre sakladığınız göstergeleriniz de olabilir.

Doğru olan belirli bir site için kategorize eden bir web içeriğine sahip olduğunuz durumu göz önünde bulundurun. Bu örnekte, genel kuruluş hedefleriniz için doğru olan tüm sosyal medyayı engellemek için ayarlanmış web içeriği filtrelemeniz vardır. Ancak pazarlama ekibinin reklam ve duyurular için belirli bir sosyal medya sitesini kullanması gerekiyor. Bu durumda, belirli bir grubun (veya grupların) IP veya URL göstergelerini kullanarak belirli bir sosyal medya sitesinin engelini kaldırabilirsiniz.

Bkz . Web koruması ve Web içeriği filtreleme

IP/URL Göstergeleri: Ağ koruması ve TCP üç yönlü el sıkışması

Ağ koruması ile, TCP/IP aracılığıyla üç yönlü el sıkışması tamamlandıktan sonra siteye erişime izin verilip verilmeyeceğinin veya engellenip engellenmeyeceğinin belirlenmesi yapılır. Bu nedenle, bir site ağ koruması tarafından engellendiğinde, site engellenmiş olsa bile Microsoft Defender portalında altında NetworkConnectionEvents bir eylem türü ConnectionSuccess görebilirsiniz. NetworkConnectionEvents ağ korumasından değil TCP katmanından bildirilir. Üç yönlü el sıkışması tamamlandıktan sonra siteye erişime izin verilir veya ağ koruması tarafından engellenir.

Bunun nasıl çalıştığına dair bir örnek aşağıda verilmişti:

  1. Bir kullanıcının cihazında bir web sitesine erişmeye çalıştığı varsayılmaktadır. Site tehlikeli bir etki alanında barındırılacak ve ağ koruması tarafından engellenmelidir.

  2. TCP/IP aracılığıyla üç yönlü el sıkışması başlar. İşlem tamamlanmadan önce bir NetworkConnectionEvents eylem günlüğe kaydedilir ve eylemi ActionType olarak ConnectionSuccesslistelenir. Ancak, üç yönlü el sıkışma işlemi tamamlandığında ağ koruması siteye erişimi engeller. Tüm bunlar hızlı bir şekilde gerçekleşir. Benzer bir işlem Microsoft Defender SmartScreen ile gerçekleşir; üç yönlü el sıkışması tamamlandığında belirleme yapılır ve siteye erişim engellenir veya izin verilir.

  3. Microsoft Defender portalında, uyarılar kuyruğunda bir uyarı listelenir. Bu uyarının ayrıntıları hem hem AlertEventsde NetworkConnectionEvents içerir. ActionType içeren bir NetworkConnectionEvents öğeniz de olsa, sitenin ConnectionSuccessengellendiğini görebilirsiniz.

Dosya karması göstergeleri

Bazı durumlarda, yeni tanımlanan bir ioC dosyası için yeni bir gösterge oluşturmak (ani bir durdurma aralığı ölçüsü olarak), dosyaları ve hatta uygulamaları engellemek için uygun olabilir. Ancak, bir uygulamayı engellemeye çalışmak için göstergelerin kullanılması, genellikle birçok farklı dosyadan oluştuğundan beklenen sonuçları sağlamayabilir. Uygulamaları engellemenin tercih edilen yöntemleri Windows Defender Uygulama Denetimi (WDAC) veya AppLocker kullanmaktır.

Bir uygulamanın her sürümünde farklı bir dosya karması olduğundan, karmaları engellemek için göstergelerin kullanılması önerilmez.

Windows Defender Uygulama Denetimi (WDAC)

Sertifika göstergeleri

Bazı durumlarda, kuruluşunuzun izin vermek veya engellemek için ayarlandığı bir dosyayı veya uygulamayı imzalamak için kullanılan belirli bir sertifika. Sertifika göstergeleri, uç nokta için Defender'da ( kullanıyorlarsa) desteklenir. CER veya . PEM dosya biçimi. Daha fazla ayrıntı için bkz. sertifikaları temel alan İçerik Oluşturucu göstergeleri.

IoC algılama altyapıları

Şu anda IoC'ler için desteklenen Microsoft kaynakları şunlardır:

Bulut algılama altyapısı

Uç Nokta için Defender'ın bulut algılama altyapısı, toplanan verileri düzenli olarak tarar ve ayarladığınız göstergelerle eşleşmeye çalışır. Eşleşme olduğunda, IoC için belirttiğiniz ayarlara göre işlem yapılır.

Uç nokta önleme altyapısı

Aynı gösterge listesi önleme aracısı tarafından kabul edilir. Yani, Microsoft Defender Virüsten Koruma, yapılandırılmış birincil virüsten koruma yazılımıysa, eşleşen göstergeler ayarlara göre değerlendirilir. Örneğin, eylem "Uyarı ve Engelle" ise virüsten koruma Microsoft Defender dosya yürütmelerini engeller (engelleme ve düzeltme) ve buna karşılık gelen bir uyarı görüntülenir. Öte yandan, Eylem "İzin Ver" olarak ayarlanırsa Microsoft Defender Virüsten Koruma dosyayı algılamaz veya engellemez.

Otomatik araştırma ve düzeltme altyapısı

Otomatik araştırma ve düzeltme, uç nokta önleme altyapısına benzer şekilde davranır. Bir gösterge "İzin Ver" olarak ayarlanırsa, otomatik araştırma ve düzeltme bunun için "hatalı" bir kararı yoksayar. "Engelle" olarak ayarlanırsa, otomatik araştırma ve düzeltme bunu "hatalı" olarak ele alır.

Bu ayar, EnableFileHashComputation dosya taramaları sırasında sertifika ve dosya IoC için dosya karması hesaplar. Karmaların ve sertifikaların güvenilen uygulamalara ait olduğu IoC zorlamasını destekler. dosyaya izin ver veya engelle ayarıyla eşzamanlı olarak etkinleştirilir. EnableFileHashComputationgrup ilkesi aracılığıyla el ile etkinleştirilir ve varsayılan olarak devre dışı bırakılır.

Göstergeler için zorlama türleri

Güvenlik ekibiniz yeni bir gösterge (IoC) oluşturduğunda aşağıdaki eylemler kullanılabilir:

  • İzin Ver – IoC'nin cihazlarınızda çalışmasına izin verilir.
  • Denetim – IoC çalıştırıldığında bir uyarı tetikleniyor.
  • Uyar – IoC kullanıcının atlayabileceğinizi belirten bir uyarı ister
  • Yürütmeyi engelle - IoC'nin çalıştırılmasına izin verilmez.
  • Engelle ve düzelt - IoC'nin çalışmasına izin verilmez ve IoC'ye bir düzeltme eylemi uygulanır.

Not

Uyarı modunu kullanmak, kullanıcılarınıza riskli bir uygulama veya web sitesi açmaları durumunda bir uyarı sorar. İstem, uygulamanın veya web sitesinin çalışmasına izin vermelerini engellemez, ancak özel bir ileti ve uygulamanın uygun kullanımını açıklayan bir şirket sayfasına bağlantılar sağlayabilirsiniz. Kullanıcılar yine de uyarıyı atlayabilir ve gerekirse uygulamayı kullanmaya devam edebilir. Daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender tarafından bulunan uygulamaları yönetme.

Şunun için bir gösterge oluşturabilirsiniz:

Aşağıdaki tabloda, gösterge türü (IoC) başına tam olarak hangi eylemlerin kullanılabilir olduğu gösterilmektedir:

IoC türü Kullanılabilir eylemler
Dosyalar İzin ver
Denetim
Uyarmak
Yürütmeyi engelle
Engelleme ve düzeltme
IP adresleri İzin ver
Denetim
Uyarmak
Yürütmeyi engelle
URL'ler ve etki alanları İzin ver
Denetim
Uyarmak
Yürütmeyi engelle
Sertifika İzin ver
Engelleme ve düzeltme

Önceden var olan GÇ'lerin işlevselliği değişmez. Ancak göstergeler, desteklenen geçerli yanıt eylemleriyle eşleşecek şekilde yeniden adlandırıldı:

  • "Yalnızca uyarı" yanıt eylemi, oluşturulan uyarı ayarı etkinken "denetim" olarak yeniden adlandırıldı.
  • "Uyarı ve engelleme" yanıtı, isteğe bağlı uyarı oluşturma ayarıyla "engelle ve düzelt" olarak yeniden adlandırıldı.

IoC API şeması ve tehdit kimlikleri önceden tehdit avcılığı, IoC yanıt eylemlerinin yeniden adlandırılmasıyla uyumlu olacak şekilde güncelleştirilir. API düzeni değişiklikleri tüm IoC Türleri için geçerlidir.

Not

Kiracı başına 15.000 gösterge sınırı vardır. Dosya ve sertifika göstergeleri, Microsoft Defender Virüsten Koruma için tanımlanan dışlamaları engellemez. Göstergeler pasif moddayken Microsoft Defender Virüsten Koruma'da desteklenmez.

Yeni göstergeleri (ICS) içeri aktarma biçimi, yeni güncelleştirilen eylemler ve uyarı ayarlarına göre değişti. İçeri aktarma panelinin en altında bulunabilecek yeni CSV biçimini indirmenizi öneririz.

Bilinen sorunlar ve sınırlamalar

Müşteriler, Risk Altındaki Göstergeler için uyarılarla ilgili sorunlarla karşılaşabilir. Aşağıdaki senaryolar, uyarıların oluşturulmadığı veya yanlış bilgilerle oluşturulduğu durumlardır. Her sorun mühendislik ekibimiz tarafından araştırılır.

  • Blok göstergeleri – Yalnızca bilgilendirici önem derecesine sahip genel uyarılar tetiklenir. Özel uyarılar (özel başlık ve önem derecesi) bu durumlarda tetiklenmez.
  • Uyarı göstergeleri – Bu senaryoda genel uyarılar ve özel uyarılar mümkündür, ancak uyarı algılama mantığıyla ilgili bir sorun nedeniyle sonuçlar belirleyici değildir. Bazı durumlarda müşteriler genel bir uyarı görebilirken, diğer durumlarda özel bir uyarı görünebilir.
  • İzin Ver – Hiçbir uyarı oluşturulmaz (tasarım gereği).
  • Denetim - Uyarılar, müşteri tarafından sağlanan önem derecesine göre oluşturulur.
  • Bazı durumlarda, EDR algılamalarından gelen uyarılar virüsten koruma bloklarından kaynaklanan uyarılardan öncelikli olabilir ve bu durumda bir bilgi uyarısı oluşturulur.

Microsoft Store uygulamaları Microsoft tarafından imzalandıklarına göre Defender tarafından engellenemez.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.