创建指示器

适用于:

提示

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

IoC) (泄露指示器概述

IoC) (泄露指示器是在网络或主机上观察到的取证项目。 IoC 指示已发生计算机或网络入侵,且置信度高。 IoC 是可观测的,它们直接链接到可衡量的事件。 一些 IoC 示例包括:

  • 已知恶意软件的哈希
  • 恶意网络流量的签名
  • 已知恶意软件分发的 URL 或域

若要阻止其他入侵或防止已知 IoC 泄露,成功的 IoC 工具应能够检测该工具的规则集枚举的所有恶意数据。 IoC 匹配是每个终结点保护解决方案中的基本功能。 此功能使 SecOps 能够设置用于检测和阻止 (预防和响应) 的指示器列表。

组织可以创建指标来定义 IoC 实体的检测、阻止和排除。 可以定义要执行的操作以及应用操作的持续时间,以及要应用操作的设备组的范围。

关于 Microsoft 指标

一般情况下,只应为已知错误的 IoC 或组织中应显式允许的任何文件/网站创建指示器。 有关 MDE 默认可能阻止的网站类型的详细信息,请参阅 Microsoft Defender SmartScreen 概述

误报 (FP) 是指 SmartScreen 误报,Microsoft 说它是恶意软件/网络钓鱼,但它实际上是一个安全站点,因此客户希望为此创建允许策略。

还可以通过提交误报和可疑或已知错误的 IoC 进行分析,帮助改进 Microsoft 的安全智能。 如果你认为错误地为文件或应用程序显示警告或阻止,或者你认为未检测到的文件是恶意软件,则可以将文件提交到 Microsoft 进行审阅。 有关详细信息,请参阅提交文件进行分析

IP/URL 指示器

使用 IP/URL 指示器的原因有多种,例如从 SmartScreen 误报 (FP) 取消阻止用户,或者替代 Web 内容筛选 (WFC) 块。

可以使用 URL 和 IP 指示器来管理站点访问。 可以创建临时 IP 和 URL 指示器,以暂时取消阻止 SmartScreen 块中的用户。 你可能还具有长时间保留的指示器,以便有选择地绕过 Web 内容筛选块。

请考虑以下情况:特定网站的 Web 内容筛选分类是正确的。 在此示例中,你已将 Web 内容筛选设置为阻止所有社交媒体,这适用于你的整体组织目标。 但是,营销团队确实需要使用特定的社交媒体网站进行广告和公告。 在这种情况下,可以使用要使用的特定组 (或) 组的 IP 或 URL 指示器来取消阻止特定社交媒体网站。

请参阅 Web 保护和Web 内容筛选

文件哈希指示器

在某些情况下,为新标识的文件 IoC 创建新指示器(作为即时的停止间隔措施)可能适用于阻止文件甚至应用程序。 但是,使用指示器尝试阻止应用程序可能无法提供预期结果,因为应用程序通常由许多不同的文件组成。 阻止应用程序的首选方法是使用 Windows Defender 应用程序控制 (WDAC) 或 AppLocker。

由于应用程序的每个版本都具有不同的文件哈希,因此不建议使用指示器来阻止哈希。

Windows Defender应用程序控制 (WDAC)

证书指示器

在某些情况下,可能有特定的证书已用于对组织希望允许/阻止的文件或应用程序进行签名。 MDE 中支持证书指示器,前提是它们是 的 。CER 或 。PEM 文件格式。 有关更多详细信息,请参阅 基于证书创建指示器

IoC 检测引擎

目前,IoC 支持的 Microsoft 源包括:

云检测引擎

Defender for Endpoint 的云检测引擎会定期扫描收集的数据,并尝试匹配你设置的指标。 当存在匹配项时,将根据为 IoC 指定的设置执行操作。

终结点防护引擎

预防代理遵循相同的指标列表。 这意味着,如果Microsoft Defender防病毒是配置的主要防病毒,则会根据设置处理匹配的指示器。 例如,如果操作为“警报和阻止”,Microsoft Defender防病毒将阻止文件执行 (阻止和修正) ,并引发相应的警报。 另一方面,如果操作设置为“允许”,Microsoft Defender防病毒将不会检测或阻止文件运行。

自动调查和修正引擎

自动调查和修正的行为相同。 如果指示器设置为“允许”,则自动调查和修正将忽略其“错误”判决。 如果设置为“阻止”,则自动调查和修正会将其视为“坏”。

设置 EnableFileHashComputation 在文件扫描期间计算证书和文件 IoC 的文件哈希。 它支持 IoC 强制实施属于受信任应用程序的哈希和证书。 它将使用允许或阻止文件设置同时启用和禁用。 EnableFileHashComputation通过 组策略 手动启用,默认情况下处于禁用状态。

指标的强制类型

(IoC) 创建新指示器时,可以使用以下一个或多个操作:

  • 允许 - 将允许 IoC 在设备上运行。
  • 审核 - IoC 运行时将触发警报。
  • 警告 - IoC 将提示用户可绕过的警告
  • 阻止执行 - 不允许运行 IoC。
  • 阻止和修正 - 不允许运行 IoC,并将修正操作应用于 IoC。

注意

如果用户打开有风险的应用或网站,则使用警告模式将提示用户。 提示不会阻止他们允许应用程序或网站运行,但你可以提供自定义消息和指向公司页面的链接,用于描述应用的适当用法。 用户仍然可以绕过警告,并根据需要继续使用应用。 有关详细信息,请参阅治理Microsoft Defender for Endpoint发现的应用。

可以为以下项创建指示器:

下表确切地显示了 IoC) 类型 (指示器可用的操作:

IoC 类型 可用操作
Files 允许
Audit
警告
阻止执行
阻止和修正
IP 地址 允许
Audit
警告
阻止执行
URL 和域 允许
Audit
警告
阻止执行
证书 允许
阻止和修正

预先存在的 IoC 的功能不会更改。 但是,指标已重命名,以匹配当前支持的响应操作:

  • 启用生成警报设置后,“仅警报”响应操作已重命名为“审核”。
  • “警报和阻止”响应已重命名为“阻止和修正”,并具有可选的生成警报设置。

IoC API 架构和提前搜寻的威胁 ID 已更新,以便与 IoC 响应操作的重命名保持一致。 API 方案更改适用于所有 IoC 类型。

注意

每个租户限制为 15,000 个指示器。 文件和证书指示器不会阻止为 Microsoft Defender 防病毒定义的排除项。 当防病毒处于被动模式时,Microsoft Defender防病毒不支持指示器。

导入新指标 (IoC) 的格式已根据新的更新操作和警报设置而更改。 建议下载可在导入面板底部找到的新 CSV 格式。