Utwórz wskaźniki

Dotyczy:

Porada

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Wskaźnik naruszenia zabezpieczeń (IoC) — omówienie

Wskaźnik naruszenia zabezpieczeń (IoC) jest artefaktem kryminalistycznym zaobserwowanym w sieci lub na hoście. IoC wskazuje — z dużym zaufaniem — że doszło do włamania do komputera lub sieci. IoCs są obserwowane, co łączy je bezpośrednio z mierzalnymi zdarzeniami. Niektóre przykłady IoC obejmują:

  • skróty znanego złośliwego oprogramowania
  • sygnatury złośliwego ruchu sieciowego
  • Adresy URL lub domeny, które są znanymi dystrybutorami złośliwego oprogramowania

Aby zatrzymać inne naruszenia zabezpieczeń lub zapobiec naruszeniom znanych IoCs, pomyślne narzędzia IoC powinny mieć możliwość wykrywania wszystkich złośliwych danych wyliczonych przez zestaw reguł narzędzia. Dopasowywanie IoC jest istotną funkcją w każdym rozwiązaniu ochrony punktu końcowego. Ta funkcja zapewnia usłudze SecOps możliwość ustawiania listy wskaźników wykrywania i blokowania (zapobieganie i reagowanie).

Organizacje mogą tworzyć wskaźniki definiujące wykrywanie, zapobieganie i wykluczanie jednostek IoC. Możesz zdefiniować akcję do wykonania, a także czas trwania, kiedy zastosować akcję, oraz zakres grupy urządzeń, do których ma zostać zastosowana.

W tym filmie wideo przedstawiono przewodnik dotyczący tworzenia i dodawania wskaźników:

Informacje o wskaźnikach firmy Microsoft

Ogólnie rzecz biorąc, należy tworzyć wskaźniki tylko dla znanych złych IoCs lub dla plików/witryn internetowych, które powinny być jawnie dozwolone w organizacji. Aby uzyskać więcej informacji na temat typów witryn, które usługa Defender for Endpoint może domyślnie blokować, zobacz omówienie Microsoft Defender SmartScreen.

Wynik fałszywie dodatni (FP) odnosi się do fałszywie dodatniego filtru SmartScreen, który jest uważany za złośliwe oprogramowanie lub język phish, ale w rzeczywistości nie stanowi zagrożenia, dlatego chcesz utworzyć dla niego zasady zezwalania.

Możesz również pomóc w ulepszeniu analizy zabezpieczeń firmy Microsoft, przesyłając wyniki fałszywie dodatnie i podejrzane lub znane-złe IoCs do analizy. Jeśli ostrzeżenie lub blok są niepoprawnie wyświetlane dla pliku lub aplikacji lub jeśli podejrzewasz, że niewykryty plik jest złośliwym oprogramowaniem, możesz przesłać plik do firmy Microsoft do przeglądu. Aby uzyskać więcej informacji, zobacz Przesyłanie plików do analizy.

Wskaźniki adresów IP/URL

Wskaźniki adresów IP/adresów URL umożliwiają odblokowywanie użytkowników od fałszywie dodatniego filtru SmartScreen (FP) lub zastępowanie bloku filtrowania zawartości sieci Web (WFC).

Do zarządzania dostępem do witryny można użyć wskaźników adresów URL i IP. Możesz utworzyć tymczasowe wskaźniki adresów IP i adresów URL, aby tymczasowo odblokować użytkowników z bloku SmartScreen. Możesz również mieć wskaźniki, które przechowujesz przez długi czas, aby selektywnie pomijać bloki filtrowania zawartości internetowej.

Rozważmy przypadek, w którym masz kategoryzację filtrowania zawartości internetowej dla określonej witryny, która jest poprawna. W tym przykładzie filtrowanie zawartości internetowej jest ustawione tak, aby blokować wszystkie media społecznościowe, co jest poprawne dla ogólnych celów organizacji. Jednak zespół ds. marketingu naprawdę musi używać konkretnej witryny mediów społecznościowych do reklam i ogłoszeń. W takim przypadku można odblokować określoną witrynę mediów społecznościowych przy użyciu wskaźników adresu IP lub adresu URL dla określonej grupy (lub grup) do użycia.

Zobacz Ochrona sieci Web i filtrowanie zawartości sieci Web

Wskaźniki adresu IP/adresu URL: ochrona sieci i uzgadnianie trójstopnienia protokołu TCP

W przypadku ochrony sieci określenie, czy zezwolić na dostęp do lokacji lub zablokować go, jest wykonywane po zakończeniu uzgadniania trójstopnienego za pośrednictwem protokołu TCP/IP. W związku z tym, gdy lokacja jest zablokowana przez ochronę sieci, w portalu Microsoft Defender może zostać wyświetlony typ ConnectionSuccessNetworkConnectionEvents akcji, mimo że witryna została zablokowana. NetworkConnectionEvents są zgłaszane z warstwy TCP, a nie z ochrony sieci. Po zakończeniu uzgadniania trójstopnienia dostęp do witryny jest dozwolony lub blokowany przez ochronę sieci.

Oto przykład tego, jak to działa:

  1. Załóżmy, że użytkownik próbuje uzyskać dostęp do witryny internetowej na swoim urządzeniu. Lokacja jest hostowana w niebezpiecznej domenie i powinna zostać zablokowana przez ochronę sieci.

  2. Rozpoczyna się uzgadnianie trójstopnie za pośrednictwem protokołu TCP/IP. Przed zakończeniem NetworkConnectionEvents jest rejestrowana akcja, a jej ActionType nazwa jest wyświetlana jako ConnectionSuccess. Jednak po zakończeniu trójstopnienego procesu uzgadniania ochrona sieci blokuje dostęp do lokacji. Wszystko to dzieje się szybko. Podobny proces występuje w przypadku Microsoft Defender SmartScreen. Po zakończeniu uzgadniania trójstopnienia jest wykonywane ustalanie, a dostęp do witryny jest zablokowany lub dozwolony.

  3. W portalu Microsoft Defender alert jest wyświetlany w kolejce alertów. Szczegóły tego alertu obejmują zarówno NetworkConnectionEvents i AlertEvents. Widać, że witryna została zablokowana, mimo że masz NetworkConnectionEvents również element o typie ActionType .ConnectionSuccess

Wskaźniki skrótów plików

W niektórych przypadkach utworzenie nowego wskaźnika dla nowo zidentyfikowanego pliku IoC — jako natychmiastowej miary zatrzymania odstępu — może być odpowiednie do blokowania plików, a nawet aplikacji. Jednak użycie wskaźników do próby zablokowania aplikacji może nie dostarczyć oczekiwanych wyników, ponieważ aplikacje zwykle składają się z wielu różnych plików. Preferowane metody blokowania aplikacji to używanie funkcji Windows Defender Application Control (WDAC) lub AppLocker.

Ponieważ każda wersja aplikacji ma inny skrót pliku, używanie wskaźników do blokowania skrótów nie jest zalecane.

Windows Defender Application Control (WDAC)

Wskaźniki certyfikatów

W niektórych przypadkach określony certyfikat, który jest używany do podpisywania pliku lub aplikacji, dla której organizacja ma zezwalać lub blokować. Wskaźniki certyfikatów są obsługiwane w usłudze Defender for Endpoint, jeśli używają elementu . CER lub . Format pliku PEM. Aby uzyskać więcej informacji, zobacz Tworzenie wskaźników na podstawie certyfikatów .

Aparaty wykrywania IoC

Obecnie obsługiwane źródła firmy Microsoft dla IoCs to:

Aparat wykrywania chmury

Aparat wykrywania chmury usługi Defender for Endpoint regularnie skanuje zebrane dane i próbuje dopasować ustawione wskaźniki. W przypadku dopasowania akcja jest wykonywana zgodnie z ustawieniami określonymi dla IoC.

Aparat zapobiegania punktom końcowym

Ta sama lista wskaźników jest honorowana przez agenta zapobiegania. Oznacza to, że jeśli Microsoft Defender program antywirusowy jest podstawowym programem antywirusowym skonfigurowanym, dopasowane wskaźniki są traktowane zgodnie z ustawieniami. Jeśli na przykład akcja to "Alert and Block", program antywirusowy Microsoft Defender zapobiega wykonywaniu plików (blokuj i koryguj) i pojawia się odpowiedni alert. Z drugiej strony, jeśli akcja ma wartość "Zezwalaj", program antywirusowy Microsoft Defender nie wykrywa ani nie blokuje pliku.

Aparat zautomatyzowanego badania i korygowania

Zautomatyzowane badanie i korygowanie działają podobnie do aparatu zapobiegania punktom końcowym. Jeśli wskaźnik ma wartość "Zezwalaj", automatyczne badanie i korygowanie ignoruje "zły" werdykt. Jeśli ustawiono wartość "Blokuj", automatyczne badanie i korygowanie traktuje je jako "złe".

Ustawienie oblicza EnableFileHashComputation skrót pliku dla certyfikatu i pliku IoC podczas skanowania plików. Obsługuje wymuszanie IoC skrótów i certyfikatów należą do zaufanych aplikacji. Jest ona współbieżnie włączona z ustawieniem zezwalania lub blokowania plików. EnableFileHashComputationjest włączona ręcznie za pośrednictwem zasady grupy i jest domyślnie wyłączona.

Typy wymuszania dla wskaźników

Gdy zespół ds. zabezpieczeń tworzy nowy wskaźnik (IoC), dostępne są następujące akcje:

  • Zezwalaj — usługa IoC może działać na urządzeniach.
  • Inspekcja — alert jest wyzwalany po uruchomieniu IoC.
  • Ostrzeżenie — usługa IoC monituje o ostrzeżenie, które użytkownik może pominąć
  • Blokuj wykonywanie — nie można uruchomić usługi IoC.
  • Blokuj i koryguj — usługa IoC nie będzie mogła działać, a akcja korygowania zostanie zastosowana do IoC.

Uwaga

Użycie trybu ostrzeżenia spowoduje wyświetlenie monitu dla użytkowników z ostrzeżeniem, jeśli otworzą ryzykowną aplikację lub witrynę internetową. Monit nie zablokuje im możliwości uruchamiania aplikacji lub witryny internetowej, ale możesz podać niestandardowy komunikat i linki do strony firmowej opisującej odpowiednie użycie aplikacji. Użytkownicy nadal mogą pominąć ostrzeżenie i nadal korzystać z aplikacji, jeśli zajdzie taka potrzeba. Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami odnalezionych przez Ochrona punktu końcowego w usłudze Microsoft Defender.

Możesz utworzyć wskaźnik dla:

W poniższej tabeli przedstawiono dokładnie, które akcje są dostępne dla każdego typu wskaźnika (IoC):

Typ IoC Dostępne akcje
Pliki Zezwalaj
Inspekcji
Ostrzec
Blokuj wykonywanie
Blokuj i koryguj
Adresy IP Zezwalaj
Inspekcji
Ostrzec
Blokuj wykonywanie
Adresy URL i domeny Zezwalaj
Inspekcji
Ostrzec
Blokuj wykonywanie
Certyfikaty Zezwalaj
Blokuj i koryguj

Funkcjonalność istniejących wcześniej operacji We/Wy nie ulegnie zmianie. Zmieniono jednak nazwę wskaźników tak, aby odpowiadały bieżącym obsługiwanym akcjom odpowiedzi:

  • Nazwa akcji odpowiedzi "tylko alert" została zmieniona na "inspekcja" z włączonym wygenerowanym ustawieniem alertu.
  • Nazwa odpowiedzi "alert i blok" została zmieniona na "blokuj i koryguj" przy użyciu opcjonalnego ustawienia alertu generowania.

Schemat interfejsu API IoC i identyfikatory zagrożeń z wyprzedzeniem są aktualizowane w celu dopasowania do zmiany nazwy akcji reagowania IoC. Zmiany schematu interfejsu API mają zastosowanie do wszystkich typów IoC.

Uwaga

Istnieje limit 15 000 wskaźników na dzierżawę. Wskaźniki plików i certyfikatów nie blokują wykluczeń zdefiniowanych dla programu antywirusowego Microsoft Defender. Wskaźniki nie są obsługiwane w programie antywirusowym Microsoft Defender, gdy jest w trybie pasywnym.

Format importowania nowych wskaźników (IoCs) zmienił się zgodnie z nowymi zaktualizowanymi ustawieniami akcji i alertów. Zalecamy pobranie nowego formatu CSV, który można znaleźć w dolnej części panelu importu.

Znane problemy i ograniczenia

Klienci mogą napotkać problemy z alertami dotyczącymi wskaźników kompromisu. Poniższe scenariusze to sytuacje, w których alerty nie są tworzone lub są tworzone z niedokładnymi informacjami. Każdy problem jest badany przez nasz zespół inżynierów.

  • Wskaźniki blokowe — alerty ogólne o ważności informacyjnej zostaną wyzwolone. W takich przypadkach alerty niestandardowe (czyli tytuł niestandardowy i ważność) nie są wyzwalane.
  • Wskaźniki ostrzeżeń — alerty ogólne i alerty niestandardowe są możliwe w tym scenariuszu, jednak wyniki nie są deterministyczne z powodu problemu z logiką wykrywania alertów. W niektórych przypadkach klienci mogą zobaczyć alert ogólny, natomiast alert niestandardowy może być wyświetlany w innych przypadkach.
  • Zezwalaj — żadne alerty nie są generowane (zgodnie z projektem).
  • Inspekcja — alerty są generowane na podstawie ważności dostarczonej przez klienta.
  • W niektórych przypadkach alerty pochodzące z wykrywania EDR mogą mieć pierwszeństwo przed alertami wynikającymi z bloków programu antywirusowego, w którym to przypadku zostanie wygenerowany alert informacyjny.

Usługa Defender nie może zablokować aplikacji ze Sklepu Microsoft, ponieważ są one podpisane przez firmę Microsoft.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.