创建文件指示器
适用于:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 商业版
提示
希望体验 Defender for Endpoint? 注册免费试用版。
通过禁止潜在的恶意文件或可疑恶意软件,防止攻击在组织中进一步传播。 如果你知道一个潜在的恶意可移植可执行文件 (PE) 文件,则可以阻止它。 此操作将阻止在组织中的设备上读取、写入或执行它。
有三种方法可以为文件创建指示器:
- 通过设置页创建指示器
- 使用文件详细信息页中的“添加指示器”按钮创建上下文指示器
- 通过 指示器 API 创建指示器
注意
若要在 Windows Server 2016 和 Windows Server 2012 R2 上运行此功能,必须使用载入 Windows 服务器中的说明载入这些设备。 macOS 和 Linux 的增强反恶意软件引擎功能中现在也提供了具有“允许”、“阻止”和“修正”操作的自定义文件指示器。
开始之前
在为文件创建指示器之前,请先了解以下先决条件:
如果你的组织在活动模式下使用Microsoft Defender防病毒 ()
反恶意软件客户端版本必须为
4.18.1901.x
或更高版本。 请参阅 每月平台和引擎版本在运行 Windows 10 版本 1703 或更高版本、Windows 11、Windows Server 2012 R2、Windows Server 2016 或更高版本、Windows Server 2019 或 Windows Server 2022 的设备上支持此功能。
在 中
Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\
,文件哈希计算功能应设置为 “已启用”若要开始阻止文件,请在Microsoft Defender门户中的“设置” (中打开“阻止或允许”功能,转到“设置>终结点>常规>高级功能>允许或阻止文件) 。
此功能旨在防止从 Web 下载可疑的恶意软件 (或潜在的恶意文件) 。 它目前支持可移植可执行文件 (PE) 文件,包括 .exe
和 .dll
文件。 覆盖范围会随着时间推移而扩展。
重要
在 Defender for Endpoint 计划 1 和 Defender for Business 中,可以创建一个指示器来阻止或允许文件。 在 Defender for Business 中,指标应用于整个环境,不能限定为特定设备。
从设置页Create文件指示器
在导航窗格中,选择“规则) ”下的“设置>终结点>指示器 (”。
选择“ 文件哈希 ”选项卡。
选择 “添加项”。
指定以下详细信息:
- 指示器:指定实体详细信息并定义指示器的过期时间。
- 操作:指定要执行的操作并提供说明。
- 范围:定义设备组的范围, (范围在 Defender for Business) 中不可用。
注意
Defender for Endpoint 计划 1 和计划 2 都支持创建设备组
查看“摘要”选项卡中的详细信息,然后选择“ 保存”。
从文件详细信息页Create上下文指示器
对文件执行响应操作时,其中一个选项是为文件添加指示器。 为文件添加指示器哈希时,可以选择在组织中的设备尝试运行该文件时引发警报并阻止该文件。
由指示器自动阻止的文件不会显示在文件的“操作中心”中,但警报仍将在“警报”队列中可见。
针对文件阻止操作发出警报 (预览)
重要
本部分中 (公共预览版的自动调查和修正引擎) 中的信息与预发布产品有关,该产品在商业发布前可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
文件 IOC 当前支持的操作包括允许、审核和阻止以及修正。 选择阻止文件后,可以选择是否需要触发警报。 这样,你将能够控制到达安全运营团队的警报数,并确保只引发所需的警报。
在Microsoft Defender XDR中,转到“设置>终结点>指示器>添加新文件哈希”。
选择“阻止并修正文件”。
选择是否针对文件块事件生成警报并定义警报设置:
- 警报标题
- 警报严重性
- 类别
- 说明
- 建议的操作
重要
- 通常,文件块在几分钟内强制实施和删除,但可能需要 30 分钟以上时间。
- 如果存在具有相同强制类型和目标的冲突文件 IoC 策略,则将应用更安全哈希的策略。 SHA-256 文件哈希 IoC 策略将胜过 SHA-1 文件哈希 IoC 策略,如果哈希类型定义了同一个文件,该策略将赢得 MD5 文件哈希 IoC 策略。 无论设备组如何,这始终如此。
- 在所有其他情况下,如果具有相同强制目标的冲突文件 IoC 策略应用于所有设备和设备的组,则对于设备,设备组中的策略将获胜。
- 如果禁用 EnableFileHashComputation 组策略,则文件 IoC 的阻止准确性会降低。 但是,启用
EnableFileHashComputation
可能会影响设备性能。 例如,将大型文件从网络共享复制到本地设备(尤其是通过 VPN 连接),可能会对设备性能产生影响。
有关 EnableFileHashComputation 组策略的详细信息,请参阅 Defender CSP。
有关在 Linux 和 macOS 上的 Defender for Endpoint 上配置此功能的详细信息,请参阅在 Linux 上配置文件哈希计算功能和在 macOS 上配置文件哈希计算功能。
高级搜寻功能 (预览)
重要
本部分中 (公共预览版的自动调查和修正引擎) 中的信息与预发布产品有关,该产品在商业发布前可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
目前为预览版,可以提前查询响应操作活动。 下面是高级搜寻查询示例:
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"
有关高级搜寻的详细信息,请参阅 使用高级搜寻主动搜寻威胁。
下面是可在上面的示例查询中使用的其他线程名称:
文件:
EUS:Win32/CustomEnterpriseBlock!cl
EUS:Win32/CustomEnterpriseNoAlertBlock!cl
证书:
EUS:Win32/CustomCertEnterpriseBlock!cl
响应操作活动也可以在设备时间线中查看。
策略冲突处理
证书和文件 IoC 策略处理冲突遵循以下顺序:
- 如果Windows Defender应用程序控制和 AppLocker 强制实施模式策略不允许文件,则为“阻止”。
- 否则,如果Microsoft Defender防病毒排除项允许该文件,则为“允许”。
- 否则,如果文件被阻止或警告或警告文件 IoC,则 为阻止/警告。
- 否则,如果文件被 SmartScreen 阻止,则 为“阻止”。
- 否则,如果文件由允许文件 IoC 策略允许,则为 “允许”。
- 否则,如果文件被攻击面减少规则、受控文件夹访问或防病毒保护阻止,则 为“阻止”。
- 否则,允许 (传递Windows Defender应用程序控制 & AppLocker 策略,) 应用任何 IoC 规则。
注意
如果Microsoft Defender防病毒设置为“阻止”,但文件哈希或证书的 Defender for Endpoint 指示器设置为“允许”,则策略默认为“允许”。
如果存在具有相同强制类型和目标的冲突文件 IoC 策略,则更安全 (的策略意味着应用更长) 哈希。 例如,如果两种哈希类型都定义了同一个文件,则 SHA-256 文件哈希 IoC 策略优先于 MD5 文件哈希 IoC 策略。
警告
文件和证书的策略冲突处理不同于域/URL/IP 地址的策略冲突处理。
Microsoft Defender 漏洞管理阻止易受攻击的应用程序功能使用文件 IoC 进行强制实施,并遵循本节前面所述的冲突处理顺序。
示例
组件 | 组件强制实施 | 文件指示器操作 | 结果 |
---|---|---|---|
攻击面减少文件路径排除 | 允许 | 阻止 | 阻止 |
攻击面减少规则 | 阻止 | 允许 | 允许 |
Windows Defender 应用程序控制 | 允许 | 阻止 | 允许 |
Windows Defender 应用程序控制 | 阻止 | 允许 | 阻止 |
Microsoft Defender防病毒排除 | 允许 | 阻止 | 允许 |
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈