שתף באמצעות


יצירת מחוונים

חל על:

עצה

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

מבט כולל על מחוון לפשרה (IoC)

מחוון לפשרה (IoC) הוא חפץ משפטי, שנצפה ברשת או במארח. IoC מציין - עם רמת מהימנות גבוהה - אירעה הפרעה במחשב או ברשת. ניתן לצפות ב- IoCs, המקשר אותם ישירות לאירועים הניתנים למדידה. חלק מהדוגמאות של IoC כוללות:

  • Hashs של תוכנות זדוניות ידועות
  • חתימות של תעבורת רשת זדונית
  • כתובות URL או תחומים שהם מפיצי תוכנות זדוניות ידועים

כדי לעצור סכנה אחרת או למנוע הפרות של רכיבי IoC ידועים, כלי IoC מוצלחים אמורים להיות מסוגלים לזהות את כל הנתונים הזדון שנכללים בערכת הכללים של הכלי. התאמת IoC היא תכונה חיונית בכל פתרון הגנה של נקודת קצה. יכולת זו מעניקה ל- SecOps את היכולת להגדיר רשימת מחוונים לזיהוי ולחסימה (מניעה ותגובה).

ארגונים יכולים ליצור מחוונים המגדירים את הזיהוי, המניעה והמניעה של ישויות IoC. באפשרותך להגדיר את הפעולה שיש לבצע וכן את משך הזמן להחלת הפעולה ואת הטווח של קבוצת המכשירים שבהם יש להחיל אותה.

סרטון וידאו זה מציג הדרכה של יצירה והוספת מחוונים:

אודות מחוונים של Microsoft

ככלל, עליך ליצור מחוונים רק עבור מחשבי IoC פגומים ידועים, או עבור קבצים/אתרי אינטרנט שיש להתיר באופן מפורש בארגון שלך. לקבלת מידע נוסף על סוגי האתרים ש- Defender for Endpoint יכול לחסום כברירת מחדל, ראה מבט כולל Microsoft Defender SmartScreen.

False Positive (FP) מתייחס ל- SmartScreen חיובי באופן מוטעה, כך שהוא נחשב לתוכנות זדוניות או דיוג, אך למעשה אינו מהווה איום, לכן ברצונך ליצור מדיניות התרה עבורה.

באפשרותך גם לסייע בשיפורים בבינה האבטחה של Microsoft על-ידי שליחת תוצאות חיוביות מוטעות ו- IoCs חשודים או ידועים לצורך ניתוח. אם אזהרה או חסימה מוצגות באופן שגוי עבור קובץ או יישום, או אם אתה חושד שקובץ שאינו ידוע הוא תוכנה זדונית, באפשרותך לשלוח קובץ ל- Microsoft לסקירה. לקבלת מידע נוסף, ראה שליחת קבצים לניתוח.

מחווני IP/כתובת URL

באפשרותך להשתמש במחווני IP/URL כדי לבטל את החסימה של משתמשים מ- SmartScreen כתוצאה חיובית (FP) או כדי לעקוף בלוק של סינון תוכן אינטרנט (WFC).

באפשרותך להשתמש מחווני כתובת URL ו- IP כדי לנהל את הגישה לאתר. באפשרותך ליצור מחווני IP וכתובת URL זמניים כדי לבטל באופן זמני את החסימה של משתמשים מבלוק SmartScreen. ייתכן גם שיש לך מחוונים שאתה שומר לפרק זמן ארוך כדי לעקוף באופן סלקטיבי בלוקים של סינון תוכן אינטרנט.

שקול את המקרה שבו יש לך סיווג לקטגוריות של סינון תוכן אינטרנט עבור אתר מסוים הנכון. בדוגמה זו, הגדרת סינון תוכן אינטרנט לחסימת כל המדיה החברתית, נכונה למטרות הארגוניות הכוללות שלך. עם זאת, לצוות השיווק יש צורך ממשי להשתמש באתר מדיה חברתית ספציפי לצורך פרסום והכרזות. במקרה זה, באפשרותך לבטל את החסימה של אתר המדיה החברתית הספציפי באמצעות מחווני IP או כתובת URL לשימוש של הקבוצה (או הקבוצות) הספציפיות.

ראה הגנה על האינטרנט וסינון תוכן אינטרנט

מחווני IP/URL: הגנת רשת ול לחיצת יד תלת-כיוונית של TCP

עם הגנת רשת, קביעה אם לאפשר או לחסום גישה לאתר נוצרת לאחר השלמת לחיצת היד השלושה-כיוונית באמצעות TCP/IP. לכן, כאשר אתר חסום על-ידי הגנה על רשת, ConnectionSuccessNetworkConnectionEvents ייתכן שתראה סוג פעולה של תחת פורטל Microsoft Defender, למרות שהאתר נחסם. NetworkConnectionEvents מדווחים משכבת ה- TCP, ולא מהגנת רשת. לאחר השלמת לחיצת היד השלושה כיוונית, הגישה לאתר מותרת או חסומה על-ידי הגנת רשת.

להלן דוגמה לאופן הפעולה:

  1. נניח שמשתמש מנסה לגשת לאתר אינטרנט במכשיר שלו. האתר מתארח במקרה בתחום מסוכן, והוא אמור להיחסם על-ידי הגנה על הרשת.

  2. לחיצת היד השלושה כיוונית באמצעות TCP/IP מצוינת. לפני השלמתה, NetworkConnectionEvents תירשם פעולה והיא ActionType תופיע כ- ConnectionSuccess. עם זאת, ברגע שתהליך לחיצת היד השלושה כיוונית מסתיים, הגנת הרשת חוסמת את הגישה לאתר. כל זה קורה במהירות. תהליך דומה מתרחש באמצעות Microsoft Defender SmartScreen; כאשר לחיצת היד השלושה-כיוונית מסתיימת, מתבצעת קביעה, והגישה לאתר חסומה או מותרת.

  3. בפורטל Microsoft Defender, מופיעה התראה בתור ההתראות. פרטי התראה זו כוללים הן את והן NetworkConnectionEventsAlertEventsאת . תוכל לראות שהאתר נחסם, למרות שיש לך גם פריט NetworkConnectionEvents עם ה- ActionType של ConnectionSuccess.

מחווני Hash של קובץ

במקרים מסוימים, יצירת מחוון חדש עבור קובץ חדש שזוהה IoC - כמדידת עצירה מיידית - עשויה להיות מתאימה לחסימת קבצים או אפילו ליישומים. עם זאת, ייתכן שהשימוש במחוונים כדי לנסות לחסום יישום לא יספק את התוצאות הצפויות, מאחר שהיישומים מורכבים בדרך כלל מקבצים רבים ושונים. השיטות המועדפות לחסימת אפליקציות הן להשתמש ב Windows Defender Application Control (WDAC) או AppLocker.

מאחר של כל גירסה של יישום יש קוד Hash אחר של קובץ, לא מומלץ להשתמש במחוונים לחסימת Hash.

Windows Defender יישום (WDAC)

מחווני אישור

במקרים מסוימים, אישור ספציפי המשמש להחתימה על קובץ או יישום שהארגון שלך מוגדר להתיר או לחסום. מחווני אישורים נתמכים ב- Defender for Endpoint, אם הם משתמשים ב- . CER או . תבנית קובץ PEM. ראה Create מבוססי אישורים לקבלת פרטים נוספים.

מנועי זיהוי IoC

בשלב זה, המקורות הנתמכים של Microsoft עבור IoCs הם:

מנגנון זיהוי ענן

מנגנון זיהוי הענן של Defender for Endpoint סורק באופן קבוע נתונים שנאספו ומנסה להתאים את המחוונים שאתה מגדיר. כאשר קיימת התאמה, הפעולה ננקטת בהתאם להגדרות שציינת עבור ה- IoC.

מנגנון מניעת נקודות קצה

סוכן המניעה מכבד את אותה רשימת מחוונים. כלומר, אם Microsoft Defender-וירוס הוא האנטי-וירוס הראשי שתצורתו נקבעה, המחוונים התואמים מטופלים בהתאם להגדרות. לדוגמה, אם הפעולה היא 'התראה וחסימה', Microsoft Defender Antivirus מונע ביצועי קבצים (חסימה ותיקון) ומופיעה התראה תואמת. עם זאת, אם הפעולה מוגדרת כ"אפשר", Microsoft Defender האנטי-וירוס אינו מזהה או חוסם את הקובץ.

מנגנון חקירה ותיקון אוטומטי

החקירה והתיקון האוטומטיים דומים למנגנון מניעת נקודות הקצה. אם מחוון מוגדר כ"אפשר", חקירה ותיקון אוטומטיים מתעלמים מהפסקת דין "שגויה" עבורה. אם ההגדרה היא "חסום", חקירה ותיקון אוטומטיים מתייחסים אליה כאל "פגומה".

ההגדרה EnableFileHashComputation מחשבת את קוד ה- Hash של הקובץ עבור אישור וקובץ IoC במהלך סריקות קבצים. הוא תומך באכיפת IoC של קוד Hash ואישורים השייכים ליישומים מהימנים. היא מופעלת בו-זמנית עם הגדרת אפשר או חסימת קובץ. EnableFileHashComputationזמינה באופן ידני באמצעות מדיניות קבוצתית, והיא אינה זמינה כברירת מחדל.

סוגי אכיפה עבור מחוונים

כאשר צוות האבטחה שלך יוצר מחוון חדש (IoC), הפעולות הבאות זמינות:

  • Allow – ה- IoC מורשה לפעול במכשירים שלך.
  • Audit – מופעלת התראה בעת הפעלת ה- IoC.
  • אזהרה – ה- IoC מבקש אזהרה שהמשתמש יכול לעקוף
  • ביצוע בלוק - ה- IoC לא יורשו לפעול.
  • חסימה ותיקון - IoC לא יורשו לפעול, ותחול פעולת תיקון על ה- IoC.

הערה

שימוש במצב אזהרה יבקש מהמשתמשים שלך אזהרה אם הם יפתחו יישום או אתר אינטרנט מסוכן. הבקשה לא תחסום את הפעלת היישום או אתר האינטרנט, אך באפשרותך לספק הודעה מותאמת אישית וקישורים לדף חברה המתאר את השימוש המתאים ביישום. המשתמשים עדיין יכולים לעקוף את האזהרה ולהמשיך להשתמש ביישום במידת הצורך. לקבלת מידע נוסף, ראה פיקוח על אפליקציות שהתגלו על-ידי Microsoft Defender עבור נקודת קצה.

באפשרותך ליצור מחוון עבור:

הטבלה שלהלן מציגה בדיוק אילו פעולות זמינות לכל סוג מחוון (IoC):

סוג IoC פעולות זמינות
קבצים אפשר
ביקורת
להזהיר
ביצוע בלוק
חסימה ותיקון
כתובות IP אפשר
ביקורת
להזהיר
ביצוע בלוק
כתובות URL ותחום אפשר
ביקורת
להזהיר
ביצוע בלוק
אישורים אפשר
חסימה ותיקון

הפונקציונליות של רכיבי IoC קיימים מראש לא תהשתנות. עם זאת, שמם של המחוונים השתנה כך שיתאים לפעולות התגובה הנתמכות הנוכחיות:

  • שם פעולת התגובה "התראה בלבד" השתנה ל"ביקורת" כאשר הגדרת ההתראה שנוצרה זמינה.
  • השם של תגובת "התראה וחסום" השתנה ל"חסום ובצע תיקון" בהגדרת ההתראה האופציונלית 'צור'.

סכימת ה- API של IoC ומעודכנים מראש את זהות האיומים כדי להתיישר עם שינוי השם של פעולות התגובה של IoC. השינויים בערכת ה- API חלים על כל סוגי IoC.

הערה

קיימת מגבלה של 15,000 מחוונים לכל דייר. מחווני קבצים ואישורים אינם חוסמים אי-הכללות שהוגדרו עבור Microsoft Defender אנטי-וירוס. מחוונים אינם נתמכים Microsoft Defender אנטי-וירוס כאשר הוא במצב פאסיבי.

התבנית לייבוא מחוונים חדשים (IoCs) השתנתה בהתאם להגדרות החדשות של הפעולות המעודכנת וההתראות. אנו ממליצים להוריד את תבנית ה- CSV החדשה שניתן למצוא בחלק התחתון של לוח הייבוא.

בעיות ומגבלות ידועות

הלקוחות עשויים להיתקל בבעיות עם התראות לגבי מחווני פשרה. התרחישים הבאים הם מצבים שבהם התראות אינן נוצרות או נוצרות עם מידע לא מדויק. כל בעיה נחקרת על-ידי צוות ההנדסה שלנו.

  • מחווני בלוק – התראות כלליות עם חומרת מידע בלבד יופעלו. התראות מותאמות אישית (לדוגמה, כותרת וחומרה מותאמות אישית) אינן מופעלות במקרים אלה.
  • אזהרה מחוונים – התראות כלליות והתראות מותאמות אישית אפשריות בתרחיש זה, עם זאת, התוצאות אינן דטרמיניסטיות עקב בעיה עם לוגיקת זיהוי ההתראות. במקרים מסוימים, לקוחות עשויים לראות התראה כללית, בעוד שהתראה מותאמת אישית עשויה להופיע במקרים אחרים.
  • Allow ( No alerts are generated (by design).
  • Audit - התראות נוצרות בהתבסס על החומרה שסופקה על-ידי הלקוח.
  • במקרים מסוימים, התראות שמגיעות מזיהוי EDR עשויות לקבל קדימות על פני התראות הנובעות מבלוקי אנטי-וירוס, במקרה זה תפיק התראת מידע.

Defender לא יכול לחסום אפליקציות של Microsoft Store מאחר שהן חתומות על-ידי Microsoft.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.