建立指示器
適用於:
提示
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
IoC) 概觀 (入侵指標
IoC) (入侵指標是在網路或主機上觀察到的鑑識成品。 IoC 表示已發生電腦或網路入侵,且信賴度很高。 IoC 是可觀察的,這會將它們直接連結至可測量的事件。 某些 IoC 範例包括:
- 已知惡意代碼的哈希
- 惡意網路流量的簽章
- 已知惡意代碼散發者的 URL 或網域
若要停止其他入侵或防止入侵已知的 IoC,成功的 IoC 工具應該能夠偵測工具規則集所列舉的所有惡意數據。 IoC 比對是每個端點保護解決方案中不可或缺的功能。 這項功能可讓 SecOps 設定偵測指標清單,以及封鎖 (防護和回應) 。
組織可以建立指標來定義IoC實體的偵測、預防和排除。 您可以定義要採取的動作,以及何時套用動作的持續時間,以及要套用動作的裝置群組範圍。
這段影片示範如何建立和新增指標的逐步解說:
關於 Microsoft 指標
一般而言,您應該只針對已知的不正確 IoC 建立指標,或針對組織中應明確允許的任何檔案/網站建立指標。 如需適用於端點的 Defender 預設可以封鎖之網站類型的詳細資訊,請參閱 Microsoft Defender SmartScreen 概觀。
誤判 (FP) 是指 SmartScreen 誤判,因此被視為惡意代碼或網路釣魚,但實際上不是威脅,因此您想要為其建立允許原則。
您也可以提交誤判,並提交可疑或已知錯誤的 IoC 進行分析,以協助推動 Microsoft 安全性智慧的改善。 如果檔案或應用程式的警告或區塊未正確顯示,或您懷疑未偵測到的檔案是惡意代碼,您可以將檔案提交給 Microsoft 進行檢閱。 如需詳細資訊,請參閱 提交要分析的檔案。
IP/URL 指標
您可以使用IP/URL指標,將使用者從SmartScreen誤判 (FP) ,或覆寫 WFC) 區塊 (Web 內容篩選。
您可以使用 URL 和 IP 指標來管理網站存取。 您可以建立過渡 IP 和 URL 指標,以暫時解除封鎖 SmartScreen 區塊中的使用者。 您也可能有長時間保留的指標,可選擇性地略過 Web 內容篩選區塊。
假設您有正確特定網站的 Web 內容篩選分類。 在此範例中,您已設定 Web 內容篩選來封鎖所有社交媒體,這對於您的整體組織目標是正確的。 不過,行銷小組真的需要使用特定的社交媒體網站進行廣告和公告。 在此情況下,您可以針對要使用的特定群組 (或群組,使用IP或URL指標來解除封鎖特定的社交媒體網站) 。
IP/URL 指標:網路保護和 TCP 三向交握
透過網路保護,在完成透過 TCP/IP 的三向交握之後,決定是否允許或封鎖網站的存取。 因此,當網站遭到網路保護封鎖時,即使網站遭到封鎖,您還是可能會在 Microsoft Defender 入口網站中看到 下方的動作類型ConnectionSuccess
NetworkConnectionEvents
。 NetworkConnectionEvents
會從 TCP 層回報,而不是從網路保護回報。 完成三向交握之後,網路保護會允許或封鎖網站的存取。
以下是運作方式的範例:
假設用戶嘗試存取其裝置上的網站。 網站正好裝載在危險的網域上,而且應該遭到網路保護封鎖。
透過 TCP/IP 的三向交握會開始。 完成之前,
NetworkConnectionEvents
會記錄動作,並將其ActionType
列為ConnectionSuccess
。 不過,一旦三向交握程式完成,網路保護就會封鎖網站的存取。 這一切都會快速發生。 Microsoft Defender SmartScreen 也會發生類似的程式;也就是三向交握完成時,即會做出判斷,並封鎖或允許存取網站。在 Microsoft Defender 入口網站中,警示會列在警示佇列中。 該警示的詳細資料包括 和
NetworkConnectionEvents
AlertEvents
。 您可以看到網站遭到封鎖,即使您也有 ActionType 為 的專案ConnectionSuccess
也一NetworkConnectionEvents
樣。
檔案哈希指標
在某些情況下,為新識別的檔案 IoC 建立新的指標 -做為立即的間距量值 - 可能適合用來封鎖檔案或甚至應用程式。 不過,使用指標嘗試封鎖應用程式可能不會提供預期的結果,因為應用程式通常是由許多不同的檔案所組成。 封鎖應用程式的慣用方法是使用 Windows Defender 應用程控 (WDAC) 或 AppLocker。
因為應用程式的每個版本都有不同的檔案哈希,所以不建議使用指標來封鎖哈希。
憑證指標
在某些情況下,用來簽署您組織設定為允許或封鎖之檔案或應用程式的特定憑證。 如果適用於端點的 Defender 使用 ,則支持憑證指標。CER 或 。PEM 檔案格式。 如需詳細資訊,請參閱根據憑證 Create 指標。
IoC 偵測引擎
目前,IoC 支援的 Microsoft 來源如下:
- 適用於端點的Defender雲端偵測引擎
- 在 適用於端點的 Microsoft Defender 中自動調查和補救 (AIR) 引擎
- 端點防護引擎 (Microsoft Defender 防病毒軟體)
雲端偵測引擎
適用於端點的 Defender 雲端偵測引擎會定期掃描收集的數據,並嘗試符合您設定的指標。 當有相符專案時,會根據您為IoC指定的設定來採取動作。
端點防護引擎
防護代理程式會接受相同的指標清單。 也就是說,如果 Microsoft Defender 防病毒軟體是設定的主要防病毒軟體,則會根據設定來處理相符的指標。 例如,如果動作是「警示和封鎖」,Microsoft Defender 防病毒軟體會防止檔案執行 (封鎖和補救) 並出現對應的警示。 另一方面,如果 [動作] 設定為 [允許],Microsoft Defender 防病毒軟體不會偵測或封鎖檔案。
自動化調查和補救引擎
自動化調查和補救的行為與端點預防引擎類似。 如果指標設定為 「允許」,則自動化調查和補救會忽略其「錯誤」的決策。 如果設定為 「封鎖」,自動化調查和補救會將它視為「錯誤」。
設定 EnableFileHashComputation
會在檔案掃描期間計算憑證和檔案IoC的檔案哈希。 它支援IoC強制執行屬於受信任應用程式的哈希和憑證。 其會使用允許或封鎖檔案設定同時啟用。 EnableFileHashComputation
會透過 群組原則 手動啟用,且預設為停用。
指標的強制類型
當您的安全性小組在IoC) (建立新的指標時,可以使用下列動作:
- 允許 – IoC 可在您的裝置上執行。
- 稽核 – IoC 執行時會觸發警示。
- 警告 – IoC 會提示使用者可以略過的警告
- 封鎖執行 - 不允許執行IoC。
- 封鎖和補救 - 不允許執行 IoC,而且補救動作會套用至 IoC。
注意事項
如果使用者開啟有風險的應用程式或網站,則使用警告模式會提示使用者發出警告。 提示不會封鎖他們允許應用程式或網站執行,但您可以提供自定義訊息,以及描述應用程式適當使用方式的公司頁面連結。 使用者仍然可以略過警告,並視需要繼續使用應用程式。 如需詳細資訊,請參閱管理 適用於端點的 Microsoft Defender 探索到的應用程式。
您可以為下列專案建立指標:
下表顯示每個指標 (IoC) 類型的確切可用動作:
IoC 類型 | 可用的動作 |
---|---|
Files | 允許 稽核 警告 封鎖執行 封鎖和補救 |
IP 位址 | 允許 稽核 警告 封鎖執行 |
URL 和網域 | 允許 稽核 警告 封鎖執行 |
憑證 | 允許 封鎖和補救 |
現有IoC的功能不會變更。 不過,指標已重新命名,以符合目前支持的響應動作:
- 「僅限警示」回應動作已重新命名為「稽核」,並已啟用產生的警示設定。
- 「警示和封鎖」回應已重新命名為「封鎖和補救」,並具有選擇性的產生警示設定。
系統會事先更新IoC API架構和威脅標識碼,以配合重新命名IoC回應動作。 API 設定變更適用於所有 IoC 類型。
注意事項
每個租使用者有15,000個指標的限制。 檔案和憑證指標不會封鎖針對 Microsoft Defender 防病毒軟體定義的排除專案。 處於被動模式時,Microsoft Defender 防病毒軟體不支持指標。
匯入新指標 (IoC) 的格式已根據新的更新動作和警示設定而變更。 建議您下載可在匯入面板底部找到的新 CSV 格式。
已知問題和限制
客戶可能會遇到入侵指標警示的問題。 下列案例是警示未建立或是以不正確資訊建立的情況。 我們的工程小組會調查每個問題。
- 封鎖指標 – 只會引發具有資訊嚴重性的一般警示。 自定義警示 (,也就是在這些情況下不會引發自定義標題和嚴重性) 。
- 警告指標 – 在此案例中可以使用一般警示和自定義警示,不過,由於警示偵測邏輯發生問題,因此結果不具決定性。 在某些情況下,客戶可能會看到一般警示,而自定義警示可能會在其他情況下顯示。
- 允許 – 設計) 不會產生任何警示 (。
- 稽核 - 警示會根據客戶所提供的嚴重性產生。
- 在某些情況下,來自 EDR 偵測的警示可能會優先於來自防病毒軟體區塊的警示,在此情況下會產生資訊警示。
Defender 無法封鎖 Microsoft Store 應用程式,因為它們是由 Microsoft 簽署。
相關文章
- 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案
- Create關係型IoC
- 使用 適用於端點的 Microsoft Defender 指標 API
- 使用合作夥伴整合式解決方案
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。