创建文件指示器

  • 项目

适用于:

提示

希望体验 Defender for Endpoint? 注册免费试用版

通过禁止潜在的恶意文件或可疑恶意软件,防止攻击在组织中进一步传播。 如果你知道一个潜在的恶意可移植可执行文件 (PE) 文件,则可以阻止它。 此操作将阻止在组织中的设备上读取、写入或执行它。

有三种方法可以为文件创建指示器:

  • 通过设置页创建指示器
  • 使用文件详细信息页中的“添加指示器”按钮创建上下文指示器
  • 通过 指示器 API 创建指示器

注意

若要在 Windows Server 2016 和 Windows Server 2012 R2 上运行此功能,必须使用载入 Windows 服务器中的说明载入这些设备。 macOS 和 Linux 的增强反恶意软件引擎功能中现在也提供了具有“允许”、“阻止”和“修正”操作的自定义文件指示器。

开始之前

在为文件创建指示器之前,请先了解以下先决条件:

此功能旨在防止从 Web 下载可疑的恶意软件 (或潜在的恶意文件) 。 它目前支持可移植可执行文件 (PE) 文件,包括 .exe.dll 文件。 覆盖范围会随着时间推移而扩展。

重要

在 Defender for Endpoint 计划 1 和 Defender for Business 中,可以创建一个指示器来阻止或允许文件。 在 Defender for Business 中,指标应用于整个环境,不能限定为特定设备。

从设置页Create文件指示器

  1. 在导航窗格中,选择“规则) ”下的“设置>终结点>指示器 (”。

  2. 选择“ 文件哈希 ”选项卡。

  3. 选择 “添加项”。

  4. 指定以下详细信息:

    • 指示器:指定实体详细信息并定义指示器的过期时间。
    • 操作:指定要执行的操作并提供说明。
    • 范围:定义设备组的范围, (范围在 Defender for Business) 中不可用。

    注意

    Defender for Endpoint 计划 1 和计划 2 都支持创建设备组

  5. 查看“摘要”选项卡中的详细信息,然后选择“ 保存”。

从文件详细信息页Create上下文指示器

对文件执行响应操作时,其中一个选项是为文件添加指示器。 为文件添加指示器哈希时,可以选择在组织中的设备尝试运行该文件时引发警报并阻止该文件。

由指示器自动阻止的文件不会显示在文件的“操作中心”中,但警报仍将在“警报”队列中可见。

针对文件阻止操作发出警报 (预览)

重要

本部分中 (公共预览版的自动调查和修正引擎) 中的信息与预发布产品有关,该产品在商业发布前可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

文件 IOC 当前支持的操作包括允许、审核和阻止以及修正。 选择阻止文件后,可以选择是否需要触发警报。 这样,你将能够控制到达安全运营团队的警报数,并确保只引发所需的警报。

在Microsoft Defender XDR中,转到“设置>终结点>指示器>添加新文件哈希”。

选择“阻止并修正文件”。

选择是否针对文件块事件生成警报并定义警报设置:

  • 警报标题
  • 警报严重性
  • 类别
  • 说明
  • 建议的操作

文件指示器的警报设置

重要

  • 通常,文件块在几分钟内强制实施和删除,但可能需要 30 分钟以上时间。
  • 如果存在具有相同强制类型和目标的冲突文件 IoC 策略,则将应用更安全哈希的策略。 SHA-256 文件哈希 IoC 策略将胜过 SHA-1 文件哈希 IoC 策略,如果哈希类型定义了同一个文件,该策略将赢得 MD5 文件哈希 IoC 策略。 无论设备组如何,这始终如此。
  • 在所有其他情况下,如果具有相同强制目标的冲突文件 IoC 策略应用于所有设备和设备的组,则对于设备,设备组中的策略将获胜。
  • 如果禁用 EnableFileHashComputation 组策略,则文件 IoC 的阻止准确性会降低。 但是,启用 EnableFileHashComputation 可能会影响设备性能。 例如,将大型文件从网络共享复制到本地设备(尤其是通过 VPN 连接),可能会对设备性能产生影响。

有关 EnableFileHashComputation 组策略的详细信息,请参阅 Defender CSP

有关在 Linux 和 macOS 上的 Defender for Endpoint 上配置此功能的详细信息,请参阅在 Linux 上配置文件哈希计算功能和在 macOS 上配置文件哈希计算功能

高级搜寻功能 (预览)

重要

本部分中 (公共预览版的自动调查和修正引擎) 中的信息与预发布产品有关,该产品在商业发布前可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

目前为预览版,可以提前查询响应操作活动。 下面是高级搜寻查询示例:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

有关高级搜寻的详细信息,请参阅 使用高级搜寻主动搜寻威胁

下面是可在上面的示例查询中使用的其他线程名称:

文件:

  • EUS:Win32/CustomEnterpriseBlock!cl
  • EUS:Win32/CustomEnterpriseNoAlertBlock!cl

证书:

  • EUS:Win32/CustomCertEnterpriseBlock!cl

响应操作活动也可以在设备时间线中查看。

策略冲突处理

证书和文件 IoC 策略处理冲突遵循以下顺序:

  1. 如果Windows Defender应用程序控制和 AppLocker 强制实施模式策略不允许文件,则为“阻止”。
  2. 否则,如果Microsoft Defender防病毒排除项允许该文件,则为“允许”。
  3. 否则,如果文件被阻止或警告或警告文件 IoC,则 为阻止/警告
  4. 否则,如果文件被 SmartScreen 阻止,则 为“阻止”。
  5. 否则,如果文件由允许文件 IoC 策略允许,则为 “允许”。
  6. 否则,如果文件被攻击面减少规则、受控文件夹访问或防病毒保护阻止,则 为“阻止”。
  7. 否则,允许 (传递Windows Defender应用程序控制 & AppLocker 策略,) 应用任何 IoC 规则。

注意

如果Microsoft Defender防病毒设置为“阻止”,但文件哈希或证书的 Defender for Endpoint 指示器设置为“允许”,则策略默认为“允许”。

如果存在具有相同强制类型和目标的冲突文件 IoC 策略,则更安全 (的策略意味着应用更长) 哈希。 例如,如果两种哈希类型都定义了同一个文件,则 SHA-256 文件哈希 IoC 策略优先于 MD5 文件哈希 IoC 策略。

警告

文件和证书的策略冲突处理不同于域/URL/IP 地址的策略冲突处理。

Microsoft Defender 漏洞管理阻止易受攻击的应用程序功能使用文件 IoC 进行强制实施,并遵循本节前面所述的冲突处理顺序。

示例

组件 组件强制实施 文件指示器操作 结果
攻击面减少文件路径排除 允许 阻止 阻止
攻击面减少规则 阻止 允许 允许
Windows Defender 应用程序控制 允许 阻止 允许
Windows Defender 应用程序控制 阻止 允许 阻止
Microsoft Defender防病毒排除 允许 阻止 允许

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区