Luo ilmaisimia tiedostoille

Koskee seuraavia:

• Microsoft Defender XDR
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

Vihje

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Estä hyökkäyksen leviäminen organisaatioosi kieltämällä mahdollisesti haitalliset tiedostot tai epäillyt haittaohjelmat. Jos tiedät mahdollisesti haitallisen kannettavan suoritettavan tiedoston (PE), voit estää sen. Tämä toiminto estää sen lukemisen, kirjoittamisen tai suorittamisen organisaatiosi laitteissa.

Tiedostojen ilmaisimia voi luoda kolmella tavalla:

• Luomalla ilmaisimen Asetus-sivun kautta
• Luomalla tilannekohtaisen ilmaisimen tiedoston tietosivun Lisää ilmaisin -painikkeella
• Luomalla ilmaisimen ilmaisimen ohjelmointirajapinnan kautta

Huomautus

Jotta tämä ominaisuus toimisi Windows Server 2016:ssa ja Windows Server 2012 R2:ssa, kyseiset laitteet on otettava käyttöön Onboard Windows -palvelimien ohjeiden mukaisesti. Mukautetut tiedostoilmaisimet, joissa on Salli-, Estä- ja Korjaa-toimintoja, ovat nyt käytettävissä myös macOS:n ja Linuxin parannetuissa haittaohjelmatoimintojen toiminnoissa.

Alkuvalmistelut

Tutustu seuraaviin edellytyksiin, ennen kuin luot tiedostojen ilmaisimia:

• Tämä ominaisuus on käytettävissä, jos organisaatiosi käyttää Microsoft Defender virustentorjuntaohjelmaa (aktiivisessa tilassa)

• Toiminnan valvonta on käytössä

• Pilvipohjainen suojaus on käytössä.

• Pilvisuojauksen verkkoyhteys toimii

• Haittaohjelmien torjunta -asiakasversion on oltava uudempi tai uudempi 4.18.1901.x . Näytä kuukausittaiset käyttöympäristön ja moduulin versiot

• Tätä ominaisuutta tuetaan laitteissa, joissa on käytössä Windows 10 versio 1703 tai uudempi versio Windows 11, Windows Server 2012 R2, Windows Server 2016 tai uudempi versio, Windows Server 2019 tai Windows Server 2022.

• Kohteessa Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\tiedoston hajautusarvon laskentaominaisuuden asetuksena tulee olla Käytössä

• Aloita tiedostojen esto ottamalla "estä tai salli" -ominaisuus käyttöön asetuksissa (Microsoft Defender portaalissa, siirry kohtaan Asetukset>PäätepisteetYleiset>lisäominaisuudet>>Salli tai estä tiedosto).

Tämä ominaisuus on suunniteltu estämään haittaohjelmien (tai mahdollisesti haitallisten tiedostojen) lataaminen verkosta. Se tukee tällä hetkellä kannettavia suoritettavaa tiedostoa (PE), mukaan lukien .exe ja .dll tiedostoja. Kattavuus on pidennetty ajan kuluessa.

Tärkeää

Defender for Endpointin palvelupaketti 1:ssä ja Defender for Businessissa voit luoda ilmaisimen tiedoston estämiseksi tai sallimiseksi. Defender for Businessissa ilmaisinta käytetään koko ympäristössä, eikä sitä voi rajata tiettyihin laitteisiin.

Create asetusten sivulla tiedostojen ilmaisimen

1. Valitse siirtymisruudussa Asetukset>Päätepisteen ilmaisimet> (Säännöt-kohdasta).

2. Valitse Tiedosto hajautuksia -välilehti.

3. Valitse Lisää kohde.

4. Määritä seuraavat tiedot:

   • Ilmaisin: Määritä entiteetin tiedot ja ilmaisimen vanhentuminen.
   • Toiminto: Määritä suoritettava toiminto ja anna kuvaus.
   • Laajuus: Määritä laiteryhmän laajuus (kopiointi ei ole käytettävissä Defender for Businessissa).

   Huomautus

   Laiteryhmän luontia tuetaan sekä Defender for Endpoint -palvelupaketti 1 että palvelupaketti 2

5. Tarkista tiedot Yhteenveto-välilehdessä ja valitse sitten Tallenna.

Create tilannekohtaisen ilmaisimen tiedoston tietosivulta

Yksi vaihtoehdoista , kun tiedostolle tehdään vastaustoimintoja , on ilmaisimen lisääminen tiedostoon. Kun lisäät tiedostoon ilmaisimen hajautusarvon, voit halutessasi lisätä ilmoituksen ja estää tiedoston aina, kun organisaatiosi laite yrittää suorittaa sen.

Ilmaisimen automaattisesti estämät tiedostot eivät näy tiedoston toimintokeskuksessa, mutta ilmoitukset näkyvät silti Ilmoitusjonossa.

Ilmoitus tiedoston estotoiminnoista (esikatselu)

Tärkeää

Tämän osion tiedot (julkinen esikatselu automatisoidulle tutkimukselle ja korjausmoduulille) liittyvät esiversiotuotteeseen, jota voidaan muuttaa huomattavasti ennen sen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Tiedoston OC (IOC) nykyiset tuetut toiminnot ovat salliminen, valvonta ja estäminen sekä korjaaminen. Kun olet valinnut tiedoston estämisen, voit valita, tarvitaanko ilmoituksen käynnistäminen. Tällä tavalla voit hallita suojaustoimintatiimeihin pääsevien hälytysten määrää ja varmistaa, että vain pakolliset hälytykset annetaan.

Siirry Microsoft Defender XDR kohtaan Asetukset>Päätepisteet Ilmaisimet>>Lisää uusi tiedoston hajautusarvo.

Valitse Estä ja korjaa tiedosto.

Valitse, luodaanko ilmoitus tiedostoestotapahtumalle ja määritetään ilmoitusasetukset:

• Ilmoituksen otsikko
• Ilmoituksen vakavuus
• Luokka
• Kuvaus
• Suositellut toiminnot

Tärkeää

• Yleensä tiedostolohkot pakotetaan käyttöön ja poistetaan muutaman minuutin kuluessa, mutta ne voivat kestää jopa 30 minuuttia.
• Jos tiedostossa on ristiriitaisia IoC-käytäntöjä, joilla on sama pakotustyyppi ja kohde, käytetään turvallisemman hajautusarvon käytäntöä. SHA-256-tiedoston hajautuskoodin IoC-käytäntö voittaa SHA-1-tiedoston hajautusarvon IoC-käytännön, joka voittaa MD5-tiedoston hajautuskoodin IoC-käytännön, jos hajautustyypit määrittävät saman tiedoston. Tämä on aina tosi laiteryhmästä riippumatta.
• Kaikissa muissa tapauksissa, jos ristiriitaisia tiedoston IoC-käytäntöjä, joilla on sama pakotuskohde, sovelletaan kaikkiin laitteisiin ja laitteen ryhmään, laiteryhmän käytäntö voittaa.
• Jos EnableFileHashComputation-ryhmäkäytäntö on poistettu käytöstä, IoC-tiedoston estotarkkuutta vähennetään. Käyttöönotto EnableFileHashComputation voi kuitenkin vaikuttaa laitteen suorituskykyyn. Esimerkiksi suurten tiedostojen kopioiminen jaettavasta verkkoresurssista paikalliseen laitteeseesi, erityisesti VPN-yhteyden kautta, voi vaikuttaa laitteen suorituskykyyn.

Lisätietoja EnableFileHashComputation-ryhmäkäytännöstä on kohdassa Defender CSP.

Lisätietoja tämän ominaisuuden määrittämisestä Defender for Endpointissa Linuxissa ja macOS:ssä on ohjeartikkelissa Tiedostojen hajautusarvon laskentaominaisuuden määrittäminen Linuxissa ja Tiedoston hajautusarvon laskentaominaisuuden määrittäminen macOS:ssä.

Kehittyneet metsästysominaisuudet (esikatselu)

Tärkeää

Tämän osion tiedot (julkinen esikatselu automatisoidulle tutkimukselle ja korjausmoduulille) liittyvät esiversiotuotteeseen, jota voidaan muuttaa huomattavasti ennen sen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Tällä hetkellä esikatselussa voit kysellä vastaustoimintoa ennen metsästystä. Alla on esimerkki ennakkometsästyskyselystä:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Lisätietoja kehittyneestä metsästyksestä on kohdassa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä.

Alla on muita säikeiden nimiä, joita voidaan käyttää mallikyselyssä ylhäältä:

Tiedostot:

• EUS:Win32/CustomEnterpriseBlock!cl
• EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Todistukset:

• EUS:Win32/CustomCertEnterpriseBlock!cl

Vastaustoiminnon toimintaa voidaan tarkastella myös laitteen aikajanalla.

Käytäntöristiriitojen käsittely

Varmenteiden ja tiedostojen IoC-käytäntöjen käsittelyristiriidat noudattavat tätä järjestystä:

1. Jos Windows Defender Application Control- ja AppLocker-pakotustilakäytännöt eivät salli tiedostoa, estä.
2. Muuten, jos Microsoft Defender virustentorjuntapoikkeukset sallivat tiedoston, valitse Salli.
3. Jos tiedosto on estetty tai estetty tai varoita tiedoston IOC-tiedostoja, estä/varoita.
4. Muuten, jos SmartScreen on estänyt tiedoston, valitse Estä.
5. Jos tiedoston salliva IoC-käytäntö sallii tiedoston, valitse Salli.
6. Muuten, jos hyökkäyspinnan vähentämissäännöt, valvotun kansion käyttö tai virustentorjunta estävät tiedoston käytön, valitse Estä.
7. Muuten Salli (ohittaa Windows Defender sovellusohjausobjektin & AppLocker-käytännön, siihen ei sovelleta IoC-sääntöjä).

Huomautus

Jos Microsoft Defender virustentorjuntaohjelman asetuksena on Estä, mutta Tiedostojen hajautusarvojen tai varmenteiden Defender for Endpoint -ilmaisimien asetuksena on Salli, käytännön oletusarvona on Salli.

Jos tiedostossa on ristiriitaisia IoC-käytäntöjä, joilla on sama pakotustyyppi ja kohde, käytetään turvallisemman (eli pidemmän) hajautusarvon käytäntöä. Esimerkiksi SHA-256-tiedoston hajautuskoodin IoC-käytäntö on tärkeämpi kuin MD5-tiedoston hajautuskoodin IoC-käytäntö, jos molemmat hajautusarvotyypit määrittävät saman tiedoston.

Varoitus

Tiedostojen ja varmenteiden käytäntöjen ristiriitojen käsittely eroaa toimialueiden, URL-osoitteiden tai IP-osoitteiden käytäntöjen ristiriitojen käsittelystä.

Microsoft Defenderin haavoittuvuuksien hallinta estää haavoittuvassa asemassa olevat sovellusominaisuudet käyttävät tiedoston IOC-tiedostoja pakottamiseen, ja se noudattaa aiemmin tässä osiossa kuvattua ristiriitojen käsittelyjärjestystä.

Esimerkkejä

Osa	Osien pakottaminen	Tiedostoilmaisimen toiminto	Tulos
Hyökkäysalueen pienentämistiedoston polkupoikkeus	Salli	Estä	Estä
Hyökkäyspinnan pienentämissääntö	Estä	Salli	Salli
Windows Defender sovellusohjausobjekti	Salli	Estä	Salli
Windows Defender sovellusohjausobjekti	Estä	Salli	Estä
Microsoft Defender virustentorjuntaohjelman poissulkeminen	Salli	Estä	Salli

Tutustu myös seuraaviin ohjeartikkeleihin:

• Ilmaisimien luominen

• Luo ilmaisimia IP-osoitteille ja URL-osoitteille/toimialueille

• Create varmenteisiin perustuvat ilmaisimet

• Ilmaisimien hallinta

• Microsoft Defender for Endpoint ja Microsoft Defender virustentorjuntaa koskevat poikkeukset

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.