Jelzők létrehozása

Érintett szolgáltatás:

Tipp

Szeretne Végponthoz készült Microsoft Defender tapasztalni? Regisztráció az ingyenes próbaverzióra

A biztonsági rések (IoC-k) egyeztetésének mutatója minden végpontvédelmi megoldás alapvető funkciója. Ez a képesség lehetővé teszi a SecOps számára, hogy listát állítson be az észleléshez és a blokkoláshoz (megelőzéshez és reagáláshoz).

Az entitások észlelését, megelőzését és kizárását meghatározó mutatók létrehozása. Megadhatja a végrehajtandó műveletet, valamint a művelet alkalmazásának időtartamát, valamint annak az eszközcsoportnak a hatókörét, amelyen alkalmazni szeretné.

A jelenleg támogatott források a Defender for Endpoint felhőalapú észlelési motorja, az automatizált vizsgálati és szervizelési motor, valamint a végpontmegelőző motor (Microsoft Defender víruskereső).

Felhőészlelési motor

A Defender for Endpoint felhőészlelési motorja rendszeresen ellenőrzi az összegyűjtött adatokat, és megpróbálja megfeleltetni a beállított mutatókat. Egyezés esetén a rendszer az IoC-hez megadott beállításoknak megfelelően hajtja végre a műveletet.

Végpontmegelőző motor

A megelőzési ügynök ugyanazt a mutatólistát veszi figyelembe. Ez azt jelenti, hogy ha a Microsoft Defender AV az elsődleges konfigurált AV, a rendszer a beállításoknak megfelelően kezeli az egyező mutatókat. Ha például a művelet "Riasztás és letiltás", a Microsoft Defender AV megakadályozza a fájlvégrehajtásokat (letiltás és javítás), és egy megfelelő riasztás jelenik meg. Ha azonban a művelet "Engedélyezés" értékre van állítva, a Microsoft Defender AV nem észleli és nem blokkolja a fájl futtatását.

Automatizált vizsgálati és szervizelési motor

Az automatizált vizsgálat és szervizelés ugyanúgy viselkedik. Ha egy mutató "Engedélyezés" értékre van állítva, az automatizált vizsgálat és szervizelés figyelmen kívül hagyja a "rossz" ítéletet. Ha a "Letiltás" értékre van állítva, az automatizált vizsgálat és szervizelés "rosszként" kezeli azt.

Az EnableFileHashComputation beállítás kiszámítja a tanúsítvány és a fájl IoC kivonatát a fájlvizsgálatok során. Támogatja a kivonatok és tanúsítványok megbízható alkalmazásokhoz való IoC-kikényszerítését. Egyidejűleg engedélyezve és letiltva lesz az engedélyezési vagy tiltó fájlbeállítással. Az EnableFileHashComputation manuálisan engedélyezve van a Csoportházirend keresztül, és alapértelmezés szerint le van tiltva.

Új mutató (IoC) létrehozásakor az alábbi műveletek közül egy vagy több érhető el:

  • Engedélyezés – az IoC futni fog az eszközökön.
  • Naplózás – az IoC futtatásakor riasztás aktiválódik.
  • Figyelmeztetés – az IoC figyelmeztetést küld arról, hogy a felhasználó megkerülheti a
  • Blokkvégrehajtás – az IoC nem futtatható.
  • Blokkolás és szervizelés – az IoC nem futhat, és a rendszer szervizelési műveletet alkalmaz az IoC-re.

Megjegyzés

A Figyelmeztetés mód használata figyelmeztetést küld a felhasználóknak, ha kockázatos alkalmazást nyitnak meg. A parancssor nem blokkolja őket az alkalmazás használatában, de megadhat egy egyéni üzenetet és egy vállalati lapra mutató hivatkozásokat, amelyek az alkalmazás megfelelő használatát írják le. A felhasználók továbbra is megkerülhetik a figyelmeztetést, és szükség esetén továbbra is használhatják az alkalmazást. További információ: A Végponthoz készült Microsoft Defender által felderített alkalmazások szabályozása.

Létrehozhat egy mutatót a következőhöz:

Az alábbi táblázat pontosan mutatja, hogy mely műveletek érhetők el mutatótípusonként (IoC):

IoC-típus Elérhető műveletek
Fájlokat Engedélyezés
Ellenőrzési
Blokkolás és szervizelés
IP-címek Engedélyezés
Ellenőrzési
Végrehajtás letiltása
Figyelmeztet
URL-címek és tartományok Engedélyezés
Ellenőrzési
Végrehajtás letiltása
Figyelmeztet
Tanúsítványok Engedélyezés
Blokkolás és szervizelés

A már meglévő IoC-k működése nem változik. A mutatók azonban át lettek nevezve, hogy megfeleljenek az aktuálisan támogatott válaszműveleteknek:

  • A "csak riasztás" válaszművelet "audit" névre lett átnevezve, és engedélyezve van a riasztás generálása beállítás.
  • A "riasztás és blokkolás" válasz új neve "blokkolás és szervizelés", a nem kötelező riasztáslétrehozási beállítással.

Az IoC API-séma és a veszélyforrás-azonosítók előzetes veszélyforrás-keresés közben frissültek, hogy igazodjanak az IoC-válaszműveletek átnevezéséhez. Az API-séma módosításai az összes IoC-típusra vonatkoznak.

Megjegyzés

Bérlőnként legfeljebb 15 000 mutató használható. A fájl- és tanúsítványjelölők nem tiltják le a Microsoft Defender víruskereső definiált kivételeit. A mutatók nem támogatottak Microsoft Defender víruskereső passzív módban.

Az új mutatók (IoC-k) importálásának formátuma az új frissített műveletek és riasztások beállításainak megfelelően módosult. Javasoljuk, hogy töltse le az importálási panel alján található új CSV-formátumot.