Creare indicatori
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft 365 Defender
Suggerimento
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
L'indicatore della corrispondenza di compromissione (IoC) è una funzionalità essenziale in ogni soluzione di endpoint protection. Questa funzionalità consente a SecOps di impostare un elenco di indicatori per il rilevamento e il blocco (prevenzione e risposta).
Creare indicatori che definiscono il rilevamento, la prevenzione e l'esclusione delle entità. È possibile definire l'azione da intraprendere, nonché la durata per l'applicazione dell'azione, nonché l'ambito del gruppo di dispositivi a cui applicarla.
Le origini attualmente supportate sono il motore di rilevamento cloud di Defender per endpoint, il motore di analisi e correzione automatizzato e il motore di prevenzione degli endpoint (Antivirus Microsoft Defender).
Motore di rilevamento cloud
Il motore di rilevamento cloud di Defender per endpoint analizza regolarmente i dati raccolti e tenta di corrispondere agli indicatori impostati. In caso di corrispondenza, verrà eseguita un'azione in base alle impostazioni specificate per l'IoC.
Motore di prevenzione degli endpoint
Lo stesso elenco di indicatori viene rispettato dall'agente di prevenzione. In altre parole, se Microsoft Defender AV è l'av primario configurato, gli indicatori corrispondenti verranno trattati in base alle impostazioni. Ad esempio, se l'azione è "Avviso e blocca", Microsoft Defender AV impedirà l'esecuzione di file (blocco e correzione) e verrà generato un avviso corrispondente. D'altra parte, se l'azione è impostata su "Consenti", Microsoft Defender AV non rileverà né impedirà l'esecuzione del file.
Motore di indagine e correzione automatizzato
L'analisi e la correzione automatizzate si comportano allo stesso modo. Se un indicatore è impostato su "Consenti", l'analisi automatizzata e la correzione ignoreranno un verdetto "non valido". Se impostato su "Blocca", l'analisi automatizzata e la correzione la considereranno "non valida".
L'impostazione EnableFileHashComputation calcola l'hash del file per il certificato e il file IoC durante le analisi dei file. Supporta l'imposizione ioC di hash e certificati appartenenti ad applicazioni attendibili. Verrà abilitato e disabilitato contemporaneamente con l'impostazione consenti o blocca file. EnableFileHashComputation è abilitato manualmente tramite Criteri di gruppo ed è disabilitato per impostazione predefinita.
Quando si crea un nuovo indicatore (IoC), sono disponibili una o più delle azioni seguenti:
- Consenti: l'IoC sarà autorizzato a essere eseguito nei dispositivi.
- Audit: verrà attivato un avviso quando viene eseguito l'IoC.
- Avvisa: l'IoC richiederà un avviso che indica che l'utente può ignorare
- Blocca l'esecuzione: l'ioc non sarà consentito l'esecuzione.
- Blocca e correggi: l'IoC non potrà essere eseguito e verrà applicata un'azione di correzione all'IoC.
Nota
L'uso della modalità Di avviso richiederà agli utenti un avviso se aprono un'app rischiosa. La richiesta non impedisce loro di usare l'app, ma è possibile fornire un messaggio personalizzato e collegamenti a una pagina aziendale che descrive l'utilizzo appropriato dell'app. Gli utenti possono comunque ignorare l'avviso e continuare a usare l'app, se necessario. Per altre informazioni, vedere Gestire le app individuate da Microsoft Defender per endpoint.
È possibile creare un indicatore per:
La tabella seguente mostra esattamente quali azioni sono disponibili per tipo di indicatore (IoC):
| Tipo IoC | Azioni disponibili |
|---|---|
| File | Consenti Audit Bloccare e correggere |
| Indirizzi IP | Consenti Audit Blocca l'esecuzione Avvertire |
| URL e domini | Consenti Audit Blocca l'esecuzione Avvertire |
| Certificati | Consenti Bloccare e correggere |
La funzionalità degli IoC preesistenti non cambierà. Tuttavia, gli indicatori sono stati rinominati in modo che corrispondano alle azioni di risposta supportate correnti:
- L'azione di risposta "solo avviso" è stata rinominata in "audit" con l'impostazione genera avviso abilitata.
- La risposta "avviso e blocco" è stata rinominata in "blocco e correzione" con l'impostazione di avviso di generazione facoltativa.
Lo schema dell'API IoC e gli ID minaccia sono stati aggiornati per allinearsi alla ridenominazione delle azioni di risposta IoC. Le modifiche dello schema API si applicano a tutti i tipi di IoC.
Nota
È previsto un limite di 15.000 indicatori per tenant. Gli indicatori di file e certificati non bloccano le esclusioni definite per Antivirus Microsoft Defender. Gli indicatori non sono supportati in Antivirus Microsoft Defender quando è in modalità passiva.
Il formato per l'importazione di nuovi indicatori (IoC) è cambiato in base alle nuove impostazioni di avvisi e azioni aggiornate. È consigliabile scaricare il nuovo formato CSV disponibile nella parte inferiore del pannello di importazione.