Indikatoren erstellen

Gilt für:

Tipp

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Der Kompromissindikator (Indicator of Compromise, IoCs) ist ein wesentliches Feature in jeder Endpunktschutzlösung. Diese Funktion bietet SecOps die Möglichkeit, eine Liste von Indikatoren für die Erkennung und die Blockierung (Verhinderung und Reaktion) festzulegen.

Erstellen Sie Indikatoren, die die Erkennung, Verhinderung und den Ausschluss von Entitäten definieren. Sie können die auszuführende Aktion sowie die Dauer für das Anwenden der Aktion sowie den Bereich der Gerätegruppe definieren, auf die sie angewendet werden soll.

Derzeit unterstützte Quellen sind das Clouderkennungsmodul von Defender für Endpunkt, das automatisierte Untersuchungs- und Wartungsmodul und das Modul zur Endpunktverhinderung (Microsoft Defender Antivirus).

Cloud-Erkennungsmodul

Das Clouderkennungsmodul von Defender für Endpunkt überprüft regelmäßig gesammelte Daten und versucht, die von Ihnen festgelegten Indikatoren zuzuordnen. Wenn eine Übereinstimmung vorliegt, wird die Aktion gemäß den Einstellungen ausgeführt, die Sie für ioC angegeben haben.

Endpunktverhütungsmodul

Die gleiche Liste von Indikatoren wird vom Präventions-Agent berücksichtigt. Wenn Microsoft Defender AV also der primäre konfigurierte AV ist, werden die übereinstimmenden Indikatoren entsprechend den Einstellungen behandelt. Wenn die Aktion z. B. "Warnung und Blockierung" lautet, verhindert Microsoft Defender AV Dateiausführungen (blockieren und korrigieren), und eine entsprechende Warnung wird ausgelöst. Wenn die Aktion hingegen auf "Zulassen" festgelegt ist, erkennt oder blockiert Microsoft Defender AV die Ausführung der Datei nicht.

Automatisiertes Untersuchungs- und Wartungsmodul

Die automatische Untersuchung und Korrektur verhält sich gleich. Wenn ein Indikator auf "Zulassen" festgelegt ist, ignoriert die automatisierte Untersuchung und Behebung eine "schlechte" Bewertung dafür. Wenn sie auf "Blockieren" festgelegt ist, wird sie von der automatischen Untersuchung und Behebung als "schlecht" behandelt.

Die EnableFileHashComputation-Einstellung berechnet den Dateihash für das Zertifikat und die Datei-IoC während dateiüberprüfungen. Es unterstützt die IoC-Erzwingung von Hashes und Zertifikaten, die zu vertrauenswürdigen Anwendungen gehören. Sie wird gleichzeitig aktiviert und mit der Einstellung "Datei zulassen" oder "Datei blockieren" deaktiviert. EnableFileHashComputation wird manuell über die Gruppenrichtlinie aktiviert und ist standardmäßig deaktiviert.

Beim Erstellen eines neuen Indikators (IoC) sind eine oder mehrere der folgenden Aktionen verfügbar:

  • Zulassen – IoC darf auf Ihren Geräten ausgeführt werden.
  • Überwachung – Eine Warnung wird ausgelöst, wenn ioC ausgeführt wird.
  • Warnen – IoC fordert eine Warnung an, die der Benutzer umgehen kann (gilt nur für Defender für Cloud-Apps).
  • Ausführung blockieren – IoC darf nicht ausgeführt werden.
  • Blockieren und Korrigieren – IoC darf nicht ausgeführt werden, und es wird eine Korrekturmaßnahme auf ioC angewendet.

Hinweis

Die Verwendung des Warnmodus fordert Ihre Benutzer mit einer Warnung auf, wenn sie eine riskante App öffnen. Die Aufforderung verhindert nicht, dass sie die App verwenden. Sie können jedoch eine benutzerdefinierte Nachricht und Links zu einer Unternehmensseite bereitstellen, die die entsprechende Verwendung der App beschreibt. Benutzer können die Warnung weiterhin umgehen und die App bei Bedarf weiterhin verwenden. Weitere Informationen finden Sie unter Verwalten von Apps, die von Microsoft Defender für Endpunkt ermittelt wurden.

Sie können einen Indikator für Folgendes erstellen:

Die folgende Tabelle zeigt genau, welche Aktionen pro Indikatortyp (IoC) verfügbar sind:

IoC-Typ Verfügbare Aktionen
Files Zulassen
Überwachung
Blockieren und Korrigieren
IP-Adressen Zulassen
Überwachung
Ausführung blockieren
URLs und Domänen Zulassen
Überwachung
Ausführung blockieren
Zertifikate Zulassen
Blockieren und Korrigieren

Die Funktionalität bereits vorhandener IoCs ändert sich nicht. Die Indikatoren wurden jedoch so umbenannt, dass sie den aktuellen unterstützten Antwortaktionen entsprechen:

  • Die Antwortaktion "Nur Warnung" wurde in "Überwachung" umbenannt, wobei die Einstellung "Warnung generieren" aktiviert wurde.
  • Die Antwort "Warnung und Blockierung" wurde in "Blockieren und Korrigieren" mit der optionalen Einstellung "Warnung generieren" umbenannt.

Das IoC-API-Schema und die Bedrohungs-IDs in der voraus gehenden Suche wurden aktualisiert, um die Umbenennung der IoC-Antwortaktionen auszurichten. Die API-Schemaänderungen gelten für alle IoC-Typen.

Hinweis

Es gibt einen Grenzwert von 15.000 Indikatoren pro Mandant. Datei- und Zertifikatindikatoren blockieren keine Ausschlüsse, die für Microsoft Defender Antivirus definiert sind. Indikatoren werden in Microsoft Defender Antivirus nicht unterstützt, wenn sie sich im passiven Modus befinden.

Das Format für den Import neuer Indikatoren (IoCs) wurde gemäß den neuen aktualisierten Aktionen und Warnungseinstellungen geändert. Es wird empfohlen, das neue CSV-Format herunterzuladen, das am unteren Rand des Importbereichs zu finden ist.