Créer des indicateurs

  • Article

S’applique à :

Conseil

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Vue d’ensemble de l’indicateur de compromission (IoC)

Un indicateur de compromission (IoC) est un artefact d’investigation, observé sur le réseau ou l’hôte. Un IoC indique, avec un niveau de confiance élevé, qu’une intrusion d’ordinateur ou de réseau s’est produite. Les ioC sont observables, ce qui les lie directement à des événements mesurables. Voici quelques exemples d’IoC :

  • hachages de programmes malveillants connus
  • signatures du trafic réseau malveillant
  • URL ou domaines qui sont des distributeurs de programmes malveillants connus

Pour arrêter d’autres compromissions ou empêcher les violations d’IoC connus, les outils IoC réussis doivent être en mesure de détecter toutes les données malveillantes énumérées par l’ensemble de règles de l’outil. La correspondance ioC est une fonctionnalité essentielle dans chaque solution de protection de point de terminaison. Cette fonctionnalité permet à SecOps de définir une liste d’indicateurs de détection et de blocage (prévention et réponse).

Les organisations peuvent créer des indicateurs qui définissent la détection, la prévention et l’exclusion des entités IoC. Vous pouvez définir l’action à entreprendre, ainsi que la durée d’application de l’action et l’étendue du groupe d’appareils auquel l’appliquer.

Cette vidéo montre une procédure pas à pas de création et d’ajout d’indicateurs :

À propos des indicateurs Microsoft

En règle générale, vous devez uniquement créer des indicateurs pour les ioC défectueux connus, ou pour tous les fichiers/sites web qui doivent être explicitement autorisés dans votre organization. Pour plus d’informations sur les types de sites que Defender pour point de terminaison peut bloquer par défaut, consultez Microsoft Defender vue d’ensemble de SmartScreen.

Faux positif (FP) fait référence à un faux positif SmartScreen, de sorte qu’il est considéré comme un programme malveillant ou hameçonnage, mais en réalité n’est pas une menace. Vous souhaitez donc créer une stratégie d’autorisation pour celui-ci.

Vous pouvez également contribuer à améliorer les informations de sécurité de Microsoft en envoyant des faux positifs et des ioC suspects ou connus pour analyse. Si un avertissement ou un blocage est affiché de manière incorrecte pour un fichier ou une application, ou si vous pensez qu’un fichier non détecté est un logiciel malveillant, vous pouvez envoyer un fichier à Microsoft pour révision. Pour plus d’informations, consultez Envoyer des fichiers à des fins d’analyse.

Indicateurs IP/URL

Vous pouvez utiliser des indicateurs IP/URL pour débloquer les utilisateurs d’un faux positif SmartScreen ou pour remplacer un bloc WFC (Web Content Filtering).

Vous pouvez utiliser des indicateurs d’URL et d’ADRESSE IP pour gérer l’accès au site. Vous pouvez créer des indicateurs d’ADRESSE IP et d’URL intermédiaires pour débloquer temporairement les utilisateurs d’un bloc SmartScreen. Vous pouvez également avoir des indicateurs que vous conservez pendant une longue période pour contourner de manière sélective les blocs de filtrage de contenu web.

Considérez le cas où vous avez une catégorisation de filtrage de contenu web pour un site particulier qui est correcte. Dans cet exemple, le filtrage de contenu web est défini pour bloquer tous les réseaux sociaux, ce qui correspond aux objectifs globaux de votre organisation. Toutefois, l’équipe marketing a un réel besoin d’utiliser un site de médias sociaux spécifique pour la publicité et les annonces. Dans ce cas, vous pouvez débloquer le site de médias sociaux spécifique à l’aide d’indicateurs d’ADRESSE IP ou d’URL pour le ou les groupes spécifiques à utiliser.

Consultez Protection web et filtrage de contenu web

Indicateurs IP/URL : protection réseau et établissement d’une liaison TCP triple

Avec la protection réseau, la détermination de l’autorisation ou du blocage de l’accès à un site est effectuée après la fin de l’établissement d’une liaison triple via TCP/IP. Par conséquent, lorsqu’un site est bloqué par la protection réseau, vous pouvez voir un type d’action sous ConnectionSuccessNetworkConnectionEvents dans le portail Microsoft Defender, même si le site a été bloqué. NetworkConnectionEvents sont signalés à partir de la couche TCP, et non à partir de la protection réseau. Une fois la négociation triple terminée, l’accès au site est autorisé ou bloqué par la protection réseau.

Voici un exemple de fonctionnement :

  1. Supposons qu’un utilisateur tente d’accéder à un site web sur son appareil. Le site est hébergé sur un domaine dangereux et doit être bloqué par la protection réseau.

  2. L’établissement d’une liaison triple via TCP/IP commence. Avant qu’elle ne se termine, une NetworkConnectionEvents action est journalisée et son ActionType est répertorié en tant que ConnectionSuccess. Toutefois, dès que le processus de négociation triple est terminé, la protection réseau bloque l’accès au site. Tout cela se produit rapidement. Un processus similaire se produit avec Microsoft Defender SmartScreen ; c’est lorsque la négociation tridirectionnel se termine qu’une détermination est effectuée et que l’accès à un site est bloqué ou autorisé.

  3. Dans le portail Microsoft Defender, une alerte est répertoriée dans la file d’attente des alertes. Les détails de cette alerte incluent à la fois NetworkConnectionEvents et AlertEvents. Vous pouvez voir que le site a été bloqué, même si vous avez également un NetworkConnectionEvents élément avec l’ActionType de ConnectionSuccess.

Indicateurs de hachage de fichier

Dans certains cas, la création d’un nouvel indicateur pour un ioC de fichier nouvellement identifié , en tant que mesure d’intervalle d’arrêt immédiat, peut être appropriée pour bloquer des fichiers ou même des applications. Toutefois, l’utilisation d’indicateurs pour tenter de bloquer une application peut ne pas fournir les résultats attendus, car les applications sont généralement composées de nombreux fichiers différents. Les méthodes recommandées pour bloquer des applications sont d’utiliser Windows Defender Contrôle d’application (WDAC) ou AppLocker.

Étant donné que chaque version d’une application a un hachage de fichier différent, l’utilisation d’indicateurs pour bloquer les hachages n’est pas recommandée.

Windows Defender Application Control (WDAC)

Indicateurs de certificat

Dans certains cas, un certificat spécifique utilisé pour signer un fichier ou une application que votre organization est défini pour autoriser ou bloquer. Les indicateurs de certificat sont pris en charge dans Defender pour point de terminaison, s’ils utilisent . CER ou . Format de fichier PEM. Pour plus d’informations, consultez indicateurs Create basés sur les certificats.

Moteurs de détection ioC

Actuellement, les sources Microsoft prises en charge pour les ioC sont les suivantes :

Moteur de détection cloud

Le moteur de détection cloud de Defender pour point de terminaison analyse régulièrement les données collectées et tente de faire correspondre les indicateurs que vous définissez. En cas de correspondance, l’action est effectuée en fonction des paramètres que vous avez spécifiés pour l’IoC.

Moteur de prévention des points de terminaison

La même liste d’indicateurs est respectée par l’agent de prévention. En d’autres termes, si Microsoft Defender Antivirus est l’antivirus principal configuré, les indicateurs correspondants sont traités en fonction des paramètres. Par exemple, si l’action est « Alerte et bloquer », Microsoft Defender Antivirus empêche les exécutions de fichiers (bloquer et corriger) et une alerte correspondante s’affiche. En revanche, si l’action est définie sur « Autoriser », Microsoft Defender Antivirus ne détecte pas ou ne bloque pas le fichier.

Moteur automatisé d’investigation et de correction

L’examen et la correction automatisés se comportent de la même façon que le moteur de prévention des points de terminaison. Si un indicateur est défini sur « Autoriser », l’investigation et la correction automatisées ignorent un verdict « incorrect » pour celui-ci. S’il est défini sur « Bloquer », l’examen et la correction automatisés le traitent comme « incorrect ».

Le EnableFileHashComputation paramètre calcule le hachage de fichier pour le certificat et l’IoC de fichier pendant les analyses de fichiers. Il prend en charge l’application ioC des hachages et des certificats appartenant aux applications approuvées. Il est activé simultanément avec le paramètre autoriser ou bloquer le fichier. EnableFileHashComputationest activé manuellement via stratégie de groupe et est désactivé par défaut.

Types d’application pour les indicateurs

Lorsque votre équipe de sécurité crée un indicateur (IoC), les actions suivantes sont disponibles :

  • Autoriser : l’IoC est autorisé à s’exécuter sur vos appareils.
  • Audit : une alerte est déclenchée lorsque l’IoC s’exécute.
  • Avertir : l’IoC affiche un avertissement que l’utilisateur peut contourner
  • Bloquer l’exécution : l’IoC ne sera pas autorisé à s’exécuter.
  • Bloquer et corriger : l’IoC ne sera pas autorisé à s’exécuter et une action de correction sera appliquée à l’IoC.

Remarque

L’utilisation du mode Avertissement invite vos utilisateurs à afficher un avertissement s’ils ouvrent une application ou un site web à risque. L’invite ne les empêche pas d’autoriser l’exécution de l’application ou du site web, mais vous pouvez fournir un message personnalisé et des liens vers une page d’entreprise qui décrit l’utilisation appropriée de l’application. Les utilisateurs peuvent toujours ignorer l’avertissement et continuer à utiliser l’application s’ils en ont besoin. Pour plus d’informations, consultez Gouverner les applications découvertes par Microsoft Defender pour point de terminaison.

Vous pouvez créer un indicateur pour :

Le tableau ci-dessous montre exactement quelles actions sont disponibles par type d’indicateur (IoC) :

Type d’IoC Actions disponibles
Files Autoriser
Audit
Avertir
Bloquer l’exécution
Bloquer et corriger
Adresses IP Autoriser
Audit
Avertir
Bloquer l’exécution
URL et domaines Autoriser
Audit
Avertir
Bloquer l’exécution
Certificats Autoriser
Bloquer et corriger

Les fonctionnalités des ioC préexistantes ne changent pas. Toutefois, les indicateurs ont été renommés pour correspondre aux actions de réponse prises en charge actuelles :

  • L’action de réponse « alerte uniquement » a été renommée « audit » avec le paramètre d’alerte généré activé.
  • La réponse « alerte et blocage » a été renommée « bloquer et corriger » avec le paramètre facultatif générer une alerte.

Le schéma de l’API IoC et les ID de menace de repérage à l’avance sont mis à jour pour s’aligner sur le changement de nom des actions de réponse IoC. Les modifications apportées au schéma d’API s’appliquent à tous les types IoC.

Remarque

Il existe une limite de 15 000 indicateurs par locataire. Les indicateurs de fichier et de certificat ne bloquent pas les exclusions définies pour Microsoft Defender Antivirus. Les indicateurs ne sont pas pris en charge dans Microsoft Defender Antivirus lorsqu’il est en mode passif.

Le format d’importation des nouveaux indicateurs (IoC) a changé en fonction des nouveaux paramètres d’actions et d’alertes mis à jour. Nous vous recommandons de télécharger le nouveau format CSV qui se trouve en bas du panneau d’importation.

Problèmes connus et conseils

Les clients peuvent rencontrer des problèmes avec les alertes pour les indicateurs de compromission. Les scénarios suivants sont des situations où les alertes ne sont pas créées ou sont créées avec des informations inexactes. Chaque problème est examiné par notre équipe d’ingénierie.

  • Indicateurs de blocage : les alertes génériques avec une gravité d’information uniquement sont déclenchées. Les alertes personnalisées (c’est-à-dire le titre et la gravité personnalisés) ne sont pas déclenchées dans ces cas.
  • Indicateurs d’avertissement : les alertes génériques et les alertes personnalisées sont possibles dans ce scénario. Toutefois, les résultats ne sont pas déterministes en raison d’un problème avec la logique de détection d’alerte. Dans certains cas, les clients peuvent voir une alerte générique, tandis qu’une alerte personnalisée peut s’afficher dans d’autres cas.
  • Autoriser : aucune alerte n’est générée (par conception).
  • Audit : les alertes sont générées en fonction de la gravité fournie par le client.
  • Dans certains cas, les alertes provenant des détections EDR peuvent être prioritaires sur les alertes provenant de blocs antivirus, auquel cas une alerte d’informations est générée.

Les applications du Microsoft Store ne peuvent pas être bloquées par Defender, car elles sont signées par Microsoft.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.