Crear indicadores

  • Artículo

Se aplica a:

Sugerencia

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Información general del indicador de riesgo (IoC)

Un indicador de riesgo (IoC) es un artefacto forense, observado en la red o el host. Una instancia de IoC indica que se ha producido una intrusión de equipo o red con una gran confianza. Los IOC son observables, lo que los vincula directamente a eventos medibles. Algunos ejemplos de IoC incluyen:

  • hashes de malware conocido
  • firmas de tráfico de red malintencionado
  • Direcciones URL o dominios que son distribuidores de malware conocidos

Para detener otros riesgos o evitar infracciones de los ioC conocidos, las herramientas de IoC correctas deben ser capaces de detectar todos los datos malintencionados enumerados por el conjunto de reglas de la herramienta. La coincidencia de IoC es una característica esencial en todas las soluciones de Endpoint Protection. Esta funcionalidad ofrece a SecOps la capacidad de establecer una lista de indicadores para la detección y el bloqueo (prevención y respuesta).

Las organizaciones pueden crear indicadores que definan la detección, prevención y exclusión de entidades de IoC. Puede definir la acción que se va a realizar, así como la duración de la aplicación de la acción y el ámbito del grupo de dispositivos al que se va a aplicar.

En este vídeo se muestra un tutorial sobre cómo crear y agregar indicadores:

Acerca de los indicadores de Microsoft

Como regla general, solo debe crear indicadores para los IOC incorrectos conocidos o para los archivos o sitios web que se deben permitir explícitamente en su organización. Para obtener más información sobre los tipos de sitios que Defender para punto de conexión puede bloquear de forma predeterminada, consulte Microsoft Defender información general de SmartScreen.

Falso positivo (FP) hace referencia a un falso positivo de SmartScreen, de modo que se considera malware o phish, pero en realidad no es una amenaza, por lo que quiere crear una directiva de permiso para él.

También puede ayudar a impulsar las mejoras en la inteligencia de seguridad de Microsoft mediante el envío de falsos positivos e IOC sospechosos o incorrectos conocidos para su análisis. Si se muestra una advertencia o un bloque incorrectamente para un archivo o aplicación, o si sospecha que un archivo no detectado es malware, puede enviar un archivo a Microsoft para su revisión. Para más información, consulte Enviar archivos para su análisis.

Indicadores de DIRECCIÓN IP/URL

Puede usar indicadores IP/URL para desbloquear a los usuarios de un falso positivo (FP) de SmartScreen o para invalidar un bloque de filtrado de contenido web (WFC).

Puede usar indicadores de DIRECCIÓN URL e IP para administrar el acceso al sitio. Puede crear indicadores de DIRECCIÓN IP y DIRECCIÓN URL provisionales para desbloquear temporalmente los usuarios de un bloque SmartScreen. También puede tener indicadores que mantenga durante un largo período de tiempo para omitir selectivamente los bloques de filtrado de contenido web.

Tenga en cuenta el caso en el que tiene una categorización de filtrado de contenido web para un sitio determinado que sea correcto. En este ejemplo, tiene el filtrado de contenido web establecido para bloquear todas las redes sociales, lo que es correcto para los objetivos generales de la organización. Sin embargo, el equipo de marketing tiene una necesidad real de usar un sitio de redes sociales específico para la publicidad y los anuncios. En ese caso, puede desbloquear el sitio de medios sociales específico mediante indicadores de DIRECCIÓN IP o DIRECCIÓN URL para el grupo específico (o grupos) que se va a usar.

Consulte Protección web y filtrado de contenido web

Indicadores IP/URL: protección de red y protocolo de enlace triple TCP

Con la protección de red, la determinación de si se va a permitir o bloquear el acceso a un sitio se realiza después de la finalización del protocolo de enlace triple a través de TCP/IP. Por lo tanto, cuando la protección de red bloquea un sitio, es posible que vea un tipo de acción de ConnectionSuccessNetworkConnectionEvents en en el portal de Microsoft Defender, aunque el sitio esté bloqueado. NetworkConnectionEvents se notifican desde la capa TCP y no desde la protección de red. Una vez completado el protocolo de enlace triple, la protección de red permite o bloquea el acceso al sitio.

Este es un ejemplo de cómo funciona:

  1. Supongamos que un usuario intenta acceder a un sitio web en su dispositivo. El sitio se hospeda en un dominio peligroso y debe estar bloqueado por la protección de red.

  2. Comienza el protocolo de enlace triple a través de TCP/IP. Antes de que se complete, se registra una NetworkConnectionEvents acción y su ActionType aparece como ConnectionSuccess. Sin embargo, en cuanto se completa el proceso de protocolo de enlace triple, la protección de red bloquea el acceso al sitio. Todo esto sucede rápidamente. Se produce un proceso similar con Microsoft Defender SmartScreen; es cuando se completa el protocolo de enlace de tres vías que se realiza una determinación y se bloquea o se permite el acceso a un sitio.

  3. En el portal de Microsoft Defender, se muestra una alerta en la cola de alertas. Los detalles de esa alerta incluyen tanto NetworkConnectionEvents como AlertEvents. Puede ver que el sitio se bloqueó, aunque también tenga un NetworkConnectionEvents elemento con actiontype de ConnectionSuccess.

Indicadores hash de archivo

En algunos casos, la creación de un nuevo indicador para un ioC de archivo recién identificado ,como medida inmediata de detención de brechas, podría ser adecuado para bloquear archivos o incluso aplicaciones. Sin embargo, es posible que el uso de indicadores para intentar bloquear una aplicación no proporcione los resultados esperados, ya que las aplicaciones suelen estar compuestas de muchos archivos diferentes. Los métodos preferidos para bloquear aplicaciones son usar Windows Defender Control de aplicaciones (WDAC) o AppLocker.

Dado que cada versión de una aplicación tiene un hash de archivo diferente, no se recomienda usar indicadores para bloquear hashes.

control de aplicaciones de Windows Defender (WDAC)

Indicadores de certificado

En algunos casos, un certificado específico que se usa para firmar un archivo o aplicación que su organización está establecido para permitir o bloquear. Los indicadores de certificado se admiten en Defender para punto de conexión, si usan . CER o . Formato de archivo PEM. Consulte Create indicadores basados en certificados para obtener más información.

Motores de detección de IoC

Actualmente, los orígenes de Microsoft admitidos para IoC son:

Motor de detección de nube

El motor de detección en la nube de Defender para punto de conexión examina periódicamente los datos recopilados e intenta coincidir con los indicadores establecidos. Cuando hay una coincidencia, se realiza una acción según la configuración especificada para IoC.

Motor de prevención de puntos de conexión

El agente de prevención respeta la misma lista de indicadores. Es decir, si Microsoft Defender Antivirus es el antivirus principal configurado, los indicadores coincidentes se tratan según la configuración. Por ejemplo, si la acción es "Alerta y Bloqueo", Microsoft Defender Antivirus impide las ejecuciones de archivos (bloquear y corregir) y aparece una alerta correspondiente. Por otro lado, si la acción está establecida en "Permitir", Microsoft Defender Antivirus no detecta ni bloquea el archivo.

Motor de investigación y corrección automatizado

La investigación y corrección automatizadas se comportan de forma similar al motor de prevención de puntos de conexión. Si un indicador se establece en "Permitir", la investigación y la corrección automatizadas omiten un veredicto "incorrecto" para él. Si se establece en "Bloquear", la investigación y la corrección automatizadas lo tratan como "incorrecto".

La EnableFileHashComputation configuración calcula el hash de archivo para el certificado y el archivo IoC durante los exámenes de archivos. Admite la aplicación de IoC de hashes y certificados que pertenecen a aplicaciones de confianza. Se habilita simultáneamente con la configuración de permitir o bloquear el archivo. EnableFileHashComputationse habilita manualmente a través de directiva de grupo y está deshabilitado de forma predeterminada.

Tipos de cumplimiento para indicadores

Cuando el equipo de seguridad crea un nuevo indicador (IoC), están disponibles las siguientes acciones:

  • Permitir : se permite que IoC se ejecute en los dispositivos.
  • Auditoría : se desencadena una alerta cuando se ejecuta IoC.
  • Advertir : IoC solicita una advertencia que el usuario puede omitir.
  • Ejecución de bloques : no se permitirá la ejecución de IoC.
  • Bloquear y corregir : no se permitirá la ejecución de IoC y se aplicará una acción de corrección a IoC.

Nota:

El uso del modo Advertir solicitará a los usuarios una advertencia si abren una aplicación o un sitio web de riesgo. El mensaje no impedirá que se ejecute la aplicación o el sitio web, pero puede proporcionar un mensaje personalizado y vínculos a una página de la empresa que describa el uso adecuado de la aplicación. Los usuarios pueden omitir la advertencia y seguir usando la aplicación si lo necesitan. Para obtener más información, consulte Control de las aplicaciones detectadas por Microsoft Defender para punto de conexión.

Puede crear un indicador para:

En la tabla siguiente se muestra exactamente qué acciones están disponibles por tipo de indicador (IoC):

Tipo de IoC Acciones disponibles
Files Permitir
Auditoría
Advertir
Ejecución de bloques
Bloquear y corregir
Direcciones IP Permitir
Auditoría
Advertir
Ejecución de bloques
Direcciones URL y dominios Permitir
Auditoría
Advertir
Ejecución de bloques
Certificados Permitir
Bloquear y corregir

La funcionalidad de los ioC preexistebles no cambiará. Sin embargo, se cambió el nombre de los indicadores para que coincidan con las acciones de respuesta admitidas actuales:

  • Se cambió el nombre de la acción de respuesta "solo alerta" a "audit" con la configuración de alerta generada habilitada.
  • Se cambió el nombre de la respuesta "alerta y bloque" a "bloquear y corregir" con la configuración de generación de alertas opcional.

El esquema de la API de IoC y los identificadores de amenazas de búsqueda anticipada se actualizan para alinearse con el cambio de nombre de las acciones de respuesta de IoC. Los cambios del esquema de API se aplican a todos los tipos de IoC.

Nota:

Hay un límite de 15 000 indicadores por inquilino. Los indicadores de archivo y certificado no bloquean las exclusiones definidas para Microsoft Defender Antivirus. Los indicadores no se admiten en Microsoft Defender Antivirus cuando está en modo pasivo.

El formato para importar nuevos indicadores (IoC) ha cambiado según la nueva configuración de alertas y acciones actualizadas. Se recomienda descargar el nuevo formato CSV que se encuentra en la parte inferior del panel de importación.

Problemas y limitaciones conocidos

Los clientes pueden experimentar problemas con las alertas de indicadores de riesgo. Los escenarios siguientes son situaciones en las que no se crean alertas o se crean con información inexacta. Nuestro equipo de ingeniería investiga cada problema.

  • Indicadores de bloque : solo se activarán alertas genéricas con gravedad informativa. Las alertas personalizadas (es decir, el título y la gravedad personalizados) no se desencadenan en estos casos.
  • Indicadores de advertencia: las alertas genéricas y las alertas personalizadas son posibles en este escenario, pero los resultados no son deterministas debido a un problema con la lógica de detección de alertas. En algunos casos, los clientes podrían ver una alerta genérica, mientras que una alerta personalizada podría mostrarse en otros casos.
  • Permitir : no se generan alertas (por diseño).
  • Auditoría : las alertas se generan en función de la gravedad proporcionada por el cliente.
  • En algunos casos, las alertas procedentes de detecciones de EDR pueden tener prioridad sobre las alertas derivadas de bloques antivirus, en cuyo caso se generará una alerta de información.

Defender no puede bloquear las aplicaciones de Microsoft Store porque están firmadas por Microsoft.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.