Créer des indicateursCreate indicators

S’applique à :Applies to:

Conseil

Vous souhaitez découvrir Microsoft Defender pour le point de terminaison ?Want to experience Microsoft Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

L’indicateur de compromission (IoCs) est une fonctionnalité essentielle dans chaque solution de protection des points de terminaison.Indicator of compromise (IoCs) matching is an essential feature in every endpoint protection solution. Cette fonctionnalité permet à SecOps de définir une liste d’indicateurs pour la détection et le blocage (prévention et réponse).This capability gives SecOps the ability to set a list of indicators for detection and for blocking (prevention and response).

Créez des indicateurs qui définissent la détection, la prévention et l’exclusion des entités.Create indicators that define the detection, prevention, and exclusion of entities. Vous pouvez définir l’action à prendre, ainsi que la durée de l’application de l’action, ainsi que l’étendue du groupe d’appareils à appliquer.You can define the action to be taken as well as the duration for when to apply the action as well as the scope of the device group to apply it to.

Les sources actuellement pris en charge sont le moteur de détection cloud de Defender pour Endpoint, le moteur automatisé d’investigation et de correction et le moteur de prévention des points de terminaison (Antivirus Microsoft Defender).Currently supported sources are the cloud detection engine of Defender for Endpoint, the automated investigation and remediation engine, and the endpoint prevention engine (Microsoft Defender Antivirus).

Moteur de détection cloudCloud detection engine
Le moteur de détection cloud de Defender for Endpoint analyse régulièrement les données collectées et tente de correspondre aux indicateurs que vous avez définies.The cloud detection engine of Defender for Endpoint regularly scans collected data and tries to match the indicators you set. En cas de correspondance, une action est prise en fonction des paramètres que vous avez spécifiés pour l’IoC.When there is a match, action will be taken according to the settings you specified for the IoC.

Moteur de prévention des points de terminaisonEndpoint prevention engine
La même liste d’indicateurs est honorée par l’agent de prévention.The same list of indicators is honored by the prevention agent. Autrement dit, si Microsoft Defender AV est le principal antivirus configuré, les indicateurs de correspondance seront traités en fonction des paramètres.Meaning, if Microsoft Defender AV is the primary AV configured, the matched indicators will be treated according to the settings. Par exemple, si l’action est « Alerte et bloquer », l’Antivirus Microsoft Defender empêche les exécutions de fichiers (bloquer et corriger) et une alerte correspondante est élevée.For example, if the action is "Alert and Block", Microsoft Defender AV will prevent file executions (block and remediate) and a corresponding alert will be raised. En revanche, si l’action est définie sur « Autoriser », l’Antivirus Microsoft Defender ne détecte pas et ne bloque pas l’exécuter.On the other hand, if the Action is set to "Allow", Microsoft Defender AV will not detect nor block the file from being run.

Moteur d’examen et de correction automatiséAutomated investigation and remediation engine
L’examen et la correction automatisés se comportent de la même manière.The automated investigation and remediation behave the same. Si un indicateur est définie sur « Autoriser », l’examen et la correction automatisés ignorent un verdict « mauvais » pour lui.If an indicator is set to "Allow", Automated investigation and remediation will ignore a "bad" verdict for it. S’il est définie sur « Bloquer », les examens et corrections automatisés le traitent comme « mauvais ».If set to "Block", Automated investigation and remediation will treat it as "bad".

Notes

Le paramètre EnableFileHashComputation calcule le hachage de fichier pour le cert et l’IoC de fichier pendant les analyses de fichiers.The EnableFileHashComputation setting computes the file hash for the cert and file IoC during file scans. Il prend en charge l’application IoC des haps et des certs appartenant à des applications fiables.It supports IoC enforcement of hashes and certs belong to trusted applications. Elle sera activée et désactivée simultanément avec le paramètre autoriser ou bloquer le fichier.It will be concurrently enabled and disabled with the allow or block file setting. EnableFileHashComputation est activé manuellement par le biais de la stratégie de groupe et est désactivé par défaut.EnableFileHashComputation is enabled manually through Group Policy, and is disabled by default.

Les actions actuellement prises en charge sont :The current supported actions are:

  • AutoriserAllow
  • Alerte uniquementAlert only
  • Alerte et blocageAlert and block

Vous pouvez créer un indicateur pour :You can create an indicator for:

Notes

Il existe une limite de 15 000 indicateurs par client.There is a limit of 15,000 indicators per tenant. Les indicateurs de fichier et de certificat ne bloquent pas les exclusions définies pour Antivirus Microsoft Defender.File and certificate indicators do not block exclusions defined for Microsoft Defender Antivirus. Les indicateurs ne sont pas pris en charge Antivirus Microsoft Defender lorsqu’il est en mode passif.Indicators are not supported in Microsoft Defender Antivirus when it is in passive mode.