建立指示器

  • 發行項

適用於:

提示

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

IoC) 概觀 (入侵指標

IoC) (入侵指標是在網路或主機上觀察到的鑑識成品。 IoC 表示已發生電腦或網路入侵,且信賴度很高。 IoC 是可觀察的,這會將它們直接連結至可測量的事件。 某些 IoC 範例包括:

  • 已知惡意代碼的哈希
  • 惡意網路流量的簽章
  • 已知惡意代碼散發者的 URL 或網域

若要停止其他入侵或防止入侵已知的 IoC,成功的 IoC 工具應該能夠偵測工具規則集所列舉的所有惡意數據。 IoC 比對是每個端點保護解決方案中不可或缺的功能。 這項功能可讓 SecOps 設定偵測指標清單,以及封鎖 (防護和回應) 。

組織可以建立指標來定義IoC實體的偵測、預防和排除。 您可以定義要採取的動作,以及何時套用動作的持續時間,以及要套用動作的裝置群組範圍。

這段影片示範如何建立和新增指標的逐步解說:

關於 Microsoft 指標

一般而言,您應該只針對已知的不正確 IoC 建立指標,或針對組織中應明確允許的任何檔案/網站建立指標。 如需適用於端點的 Defender 預設可以封鎖之網站類型的詳細資訊,請參閱 Microsoft Defender SmartScreen 概觀。

誤判 (FP) 是指 SmartScreen 誤判,因此被視為惡意代碼或網路釣魚,但實際上不是威脅,因此您想要為其建立允許原則。

您也可以提交誤判,並提交可疑或已知錯誤的 IoC 進行分析,以協助推動 Microsoft 安全性智慧的改善。 如果檔案或應用程式的警告或區塊未正確顯示,或您懷疑未偵測到的檔案是惡意代碼,您可以將檔案提交給 Microsoft 進行檢閱。 如需詳細資訊,請參閱 提交要分析的檔案

IP/URL 指標

您可以使用IP/URL指標,將使用者從SmartScreen誤判 (FP) ,或覆寫 WFC) 區塊 (Web 內容篩選。

您可以使用 URL 和 IP 指標來管理網站存取。 您可以建立過渡 IP 和 URL 指標,以暫時解除封鎖 SmartScreen 區塊中的使用者。 您也可能有長時間保留的指標,可選擇性地略過 Web 內容篩選區塊。

假設您有正確特定網站的 Web 內容篩選分類。 在此範例中,您已設定 Web 內容篩選來封鎖所有社交媒體,這對於您的整體組織目標是正確的。 不過,行銷小組真的需要使用特定的社交媒體網站進行廣告和公告。 在此情況下,您可以針對要使用的特定群組 (或群組,使用IP或URL指標來解除封鎖特定的社交媒體網站) 。

請參閱 Web 保護Web 內容篩選

IP/URL 指標:網路保護和 TCP 三向交握

透過網路保護,在完成透過 TCP/IP 的三向交握之後,決定是否允許或封鎖網站的存取。 因此,當網站遭到網路保護封鎖時,即使網站遭到封鎖,您還是可能會在 Microsoft Defender 入口網站中看到 下方的動作類型ConnectionSuccessNetworkConnectionEventsNetworkConnectionEvents 會從 TCP 層回報,而不是從網路保護回報。 完成三向交握之後,網路保護會允許或封鎖網站的存取。

以下是運作方式的範例:

  1. 假設用戶嘗試存取其裝置上的網站。 網站正好裝載在危險的網域上,而且應該遭到網路保護封鎖。

  2. 透過 TCP/IP 的三向交握會開始。 完成之前, NetworkConnectionEvents 會記錄動作,並將其 ActionType 列為 ConnectionSuccess。 不過,一旦三向交握程式完成,網路保護就會封鎖網站的存取。 這一切都會快速發生。 Microsoft Defender SmartScreen 也會發生類似的程式;在三向交握完成時,會進行判斷,並封鎖或允許存取網站。

  3. 在 Microsoft Defender 入口網站中,警示會列在警示佇列中。 該警示的詳細資料包括 和 NetworkConnectionEventsAlertEvents。 您可以看到網站遭到封鎖,即使您也有 ActionType 為 的專案ConnectionSuccess也一NetworkConnectionEvents樣。

檔案哈希指標

在某些情況下,為新識別的檔案 IoC 建立新的指標 -做為立即的間距量值 - 可能適合用來封鎖檔案或甚至應用程式。 不過,使用指標嘗試封鎖應用程式可能不會提供預期的結果,因為應用程式通常是由許多不同的檔案所組成。 封鎖應用程式的慣用方法是使用 Windows Defender 應用程控 (WDAC) 或 AppLocker。

因為應用程式的每個版本都有不同的檔案哈希,所以不建議使用指標來封鎖哈希。

Windows Defender 應用程控 (WDAC)

憑證指標

在某些情況下,用來簽署您組織設定為允許或封鎖之檔案或應用程式的特定憑證。 如果適用於端點的 Defender 使用 ,則支持憑證指標。CER 或 。PEM 檔案格式。 如需詳細資訊,請參閱 根據憑證建立 指標。

IoC 偵測引擎

目前,IoC 支援的 Microsoft 來源如下:

雲端偵測引擎

適用於端點的 Defender 雲端偵測引擎會定期掃描收集的數據,並嘗試符合您設定的指標。 當有相符專案時,會根據您為IoC指定的設定來採取動作。

端點防護引擎

防護代理程式會接受相同的指標清單。 也就是說,如果 Microsoft Defender 防病毒軟體是設定的主要防病毒軟體,則會根據設定來處理相符的指標。 例如,如果動作是「警示和封鎖」,Microsoft Defender 防病毒軟體會防止檔案執行 (封鎖和補救) ,並出現對應的警示。 另一方面,如果 [動作] 設定為 [允許],Microsoft Defender 防病毒軟體不會偵測或封鎖檔案。

自動化調查和補救引擎

自動化調查和補救的行為與端點預防引擎類似。 如果指標設定為 「允許」,則自動化調查和補救會忽略其「錯誤」的決策。 如果設定為 「封鎖」,自動化調查和補救會將它視為「錯誤」。

設定 EnableFileHashComputation 會在檔案掃描期間計算憑證和檔案IoC的檔案哈希。 它支援IoC強制執行屬於受信任應用程式的哈希和憑證。 其會使用允許或封鎖檔案設定同時啟用。 EnableFileHashComputation透過 群組原則 手動啟用,預設為停用。

指標的強制類型

當您的安全性小組在IoC) (建立新的指標時,可以使用下列動作:

  • 允許 – IoC 可在您的裝置上執行。
  • 稽核 – IoC 執行時會觸發警示。
  • 警告 – IoC 會提示使用者可以略過的警告
  • 封鎖執行 - 不允許執行IoC。
  • 封鎖和補救 - 不允許執行 IoC,而且補救動作會套用至 IoC。

注意事項

如果使用者開啟有風險的應用程式或網站,則使用警告模式會提示使用者發出警告。 提示不會封鎖他們允許應用程式或網站執行,但您可以提供自定義訊息,以及描述應用程式適當使用方式的公司頁面連結。 使用者仍然可以略過警告,並視需要繼續使用應用程式。 如需詳細資訊,請參閱管理 適用於端點的 Microsoft Defender 探索到的應用程式。

您可以為下列專案建立指標:

下表顯示每個指標 (IoC) 類型的確切可用動作:

IoC 類型 可用的動作
Files 允許
稽核
警告
封鎖執行
封鎖和補救
IP 位址 允許
稽核
警告
封鎖執行
URL 和網域 允許
稽核
警告
封鎖執行
憑證 允許
封鎖和補救

現有IoC的功能不會變更。 不過,指標已重新命名,以符合目前支持的響應動作:

  • 「僅限警示」回應動作已重新命名為「稽核」,並已啟用產生的警示設定。
  • 「警示和封鎖」回應已重新命名為「封鎖和補救」,並具有選擇性的產生警示設定。

系統會事先更新IoC API架構和威脅標識碼,以配合重新命名IoC回應動作。 API 設定變更適用於所有 IoC 類型。

注意事項

每個租使用者有15,000個指標的限制。 檔案和憑證指標不會封鎖針對 Microsoft Defender 防病毒軟體定義的排除專案。 處於被動模式時,Microsoft Defender 防病毒軟體不支持指標。

匯入新指標 (IoC) 的格式已根據新的更新動作和警示設定而變更。 建議您下載可在匯入面板底部找到的新 CSV 格式。

已知問題和限制

客戶可能會遇到入侵指標警示的問題。 下列案例是警示未建立或是以不正確資訊建立的情況。 我們的工程小組會調查每個問題。

  • 封鎖指標 – 只會引發具有資訊嚴重性的一般警示。 自定義警示 (,也就是在這些情況下不會引發自定義標題和嚴重性) 。
  • 警告指標 – 在此案例中可以使用一般警示和自定義警示,不過,由於警示偵測邏輯發生問題,因此結果不具決定性。 在某些情況下,客戶可能會看到一般警示,而自定義警示可能會在其他情況下顯示。
  • 允許 – 設計) 不會產生任何警示 (。
  • 稽核 - 警示會根據客戶所提供的嚴重性產生。
  • 在某些情況下,來自 EDR 偵測的警示可能會優先於來自防病毒軟體區塊的警示,在此情況下會產生資訊警示。

Defender 無法封鎖 Microsoft Store 應用程式,因為它們是由 Microsoft 簽署。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。