Créer des indicateurs

S’applique à :

Conseil

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

L’indicateur de compromission est une fonctionnalité essentielle dans chaque solution de protection des points de terminaison. Cette fonctionnalité permet à SecOps de définir une liste d’indicateurs pour la détection et le blocage (prévention et réponse).

Créez des indicateurs qui définissent la détection, la prévention et l’exclusion des entités. Vous pouvez définir l’action à entreprendre, ainsi que la durée d’application de l’action, ainsi que l’étendue du groupe d’appareils auquel l’appliquer.

Les sources actuellement prises en charge sont le moteur de détection cloud de Defender pour point de terminaison, le moteur d’investigation et de correction automatisé et le moteur de prévention des points de terminaison (Antivirus Microsoft Defender).

Moteur de détection cloud

Le moteur de détection cloud de Defender pour point de terminaison analyse régulièrement les données collectées et tente de faire correspondre les indicateurs que vous définissez. En cas de correspondance, une action est effectuée en fonction des paramètres que vous avez spécifiés pour l’IoC.

Moteur de prévention des points de terminaison

La même liste d’indicateurs est honorée par l’agent de prévention. Autrement dit, si Microsoft Defender AV est l’av principal configuré, les indicateurs correspondants sont traités en fonction des paramètres. Par exemple, si l’action est « Alerte et blocage », Microsoft Defender AV empêche les exécutions de fichiers (bloquer et corriger) et une alerte correspondante est déclenchée. En revanche, si l’action est définie sur « Autoriser », Microsoft Defender AV ne détecte pas ni ne bloque l’exécution du fichier.

Moteur d’investigation et de correction automatisé

L’investigation et la correction automatisées se comportent de la même façon. Si un indicateur est défini sur « Autoriser », l’examen et la correction automatisés ignorent un « mauvais » verdict pour celui-ci. S’il est défini sur « Bloquer », l’examen et la correction automatisés le traitent comme « mauvais ».

Le paramètre EnableFileHashComputation calcule le hachage de fichier pour le certificat et l’IoC de fichier pendant les analyses de fichiers. Il prend en charge l’application IoC des hachages et des certificats appartenant à des applications approuvées. Il sera activé et désactivé simultanément avec le paramètre autoriser ou bloquer le fichier. EnableFileHashComputation est activé manuellement via stratégie de groupe et est désactivé par défaut.

Lors de la création d’un indicateur (IoC), une ou plusieurs des actions suivantes sont disponibles :

  • Autoriser : l’IoC sera autorisé à s’exécuter sur vos appareils.
  • Audit : une alerte est déclenchée lors de l’exécution de l’IoC.
  • Avertir : l’IoC invite un avertissement indiquant que l’utilisateur peut contourner
  • Bloquer l’exécution : l’IoC ne sera pas autorisé à s’exécuter.
  • Bloquer et corriger : l’IoC ne sera pas autorisé à s’exécuter et une action de correction sera appliquée à l’IoC.

Notes

L’utilisation du mode Avertir invite les utilisateurs à recourir à un avertissement s’ils ouvrent une application risquée. L’invite ne les empêchera pas d’utiliser l’application, mais vous pouvez fournir un message personnalisé et des liens vers une page d’entreprise qui décrit l’utilisation appropriée de l’application. Les utilisateurs peuvent toujours contourner l’avertissement et continuer à utiliser l’application s’ils en ont besoin. Pour plus d’informations, consultez Régir les applications découvertes par Microsoft Defender pour point de terminaison.

Vous pouvez créer un indicateur pour :

Le tableau ci-dessous indique exactement quelles actions sont disponibles par type d’indicateur (IoC) :

Type IoC Actions disponibles
Files Autoriser
Audit
Bloquer et corriger
Adresses IP Autoriser
Audit
Bloquer l’exécution
Avertir
URL et domaines Autoriser
Audit
Bloquer l’exécution
Avertir
Certificats Autoriser
Bloquer et corriger

Les fonctionnalités des IOC préexistantes ne changeront pas. Toutefois, les indicateurs ont été renommés pour correspondre aux actions de réponse prises en charge actuelles :

  • L’action de réponse « alerte uniquement » a été renommée « audit » avec le paramètre générer l’alerte activé.
  • La réponse « alerte et bloc » a été renommée « bloquer et corriger » avec le paramètre d’alerte de génération facultatif.

Le schéma de l’API IoC et les ID de menace à l’avance ont été mis à jour pour s’aligner sur le changement de nom des actions de réponse IoC. Les modifications apportées au schéma d’API s’appliquent à tous les types IoC.

Notes

Il existe une limite de 15 000 indicateurs par locataire. Les indicateurs de fichier et de certificat ne bloquent pas les exclusions définies pour Antivirus Microsoft Defender. Les indicateurs ne sont pas pris en charge dans Antivirus Microsoft Defender lorsqu’il est en mode passif.

Le format d’importation de nouveaux indicateurs a changé en fonction des nouvelles actions mises à jour et des paramètres d’alerte. Nous vous recommandons de télécharger le nouveau format CSV qui se trouve en bas du panneau d’importation.