Criar indicadores com base em certificados
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Você pode criar indicadores para certificados. Alguns casos de uso comuns incluem:
- Cenários quando você precisa implantar tecnologias de bloqueio, como regras de redução de superfície de ataque e acesso controlado a pastas , mas precisa permitir comportamentos de aplicativos assinados adicionando o certificado na lista de permissões.
- Bloquear o uso de um aplicativo assinado específico em toda a sua organização. Ao criar um indicador para bloquear o certificado do aplicativo, Windows Defender AV impedirá execuções de arquivo (bloquear e corrigir) e a Investigação Automatizada e Correção se comportam da mesma forma.
Antes de começar
É importante entender os seguintes requisitos antes de criar indicadores para certificados:
Esse recurso estará disponível se sua organização usar Microsoft Defender Proteção baseada em Nuvem e Antivírus está habilitada. Para obter mais informações, consulte Gerenciar proteção baseada em nuvem.
A versão do cliente Antimalware deve ser 4.18.1901.x ou posterior.
Com suporte em computadores em Windows 10, versão 1703 ou posterior, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2022.
Observação
Windows Server 2016 e Windows Server 2012 R2 precisarão ser integrados usando as instruções em Servidores Windows integrados para que esse recurso funcione.
As definições de proteção contra vírus e ameaças devem estar atualizadas.
Atualmente, esse recurso dá suporte à inserção . CER ou . Extensões de arquivo PEM.
Importante
- Um certificado folha válido é um certificado de assinatura que tem um caminho de certificação válido e deve ser encadeado à AUTORIDADE de Certificado Raiz (AC) confiável pela Microsoft. Como alternativa, um certificado personalizado (autoassinado) pode ser usado desde que seja confiável pelo cliente (o certificado de AC raiz é instalado sob a Máquina Local 'Autoridades confiáveis de certificação raiz').
- As crianças ou os pais dos IOCs de certificado allow/block não estão incluídos na funcionalidade de IoC de permissão/bloco, apenas certificados de folha são compatíveis.
- Os certificados assinados pela Microsoft não podem ser bloqueados.
Criar um indicador para certificados na página de configurações:
Importante
Pode levar até 3 horas para criar e remover um IoC de certificado.
No painel de navegação, selecione Configurações>Indicadoresde Pontos> de Extremidade (em Regras).
Selecione Adicionar indicador.
Especifique os seguintes detalhes:
- Indicador – especifique os detalhes da entidade e defina a expiração do indicador.
- Ação – especifique a ação a ser tomada e forneça uma descrição.
- Escopo – Defina o escopo do grupo de máquinas.
Examine os detalhes na guia Resumo e clique em Salvar.
Artigos relacionados
- Criar indicadores
- Criar indicadores para arquivos
- Criar indicadores para IPs e URLs/domínios
- Gerenciar indicadores
- Exclusões para antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de