Criar indicadores

  • Artigo

Aplica-se a:

Dica

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Visão geral do indicador de comprometimento (IoC)

Um Indicador de comprometimento (IoC) é um artefato forense, observado na rede ou host. Um IoC indica - com alta confiança - que ocorreu uma intrusão de computador ou rede. Os IoCs são observáveis, o que os vincula diretamente a eventos mensuráveis. Alguns exemplos de IoC incluem:

  • hashes de malware conhecido
  • assinaturas do tráfego de rede mal-intencionado
  • URLs ou domínios que são distribuidores de malware conhecidos

Para interromper outro compromisso ou evitar violações de IoCs conhecidos, as ferramentas de IoC bem-sucedidas devem ser capazes de detectar todos os dados mal-intencionados que são enumerados pelo conjunto de regras da ferramenta. A correspondência de IoC é um recurso essencial em cada solução de proteção de ponto de extremidade. Essa funcionalidade fornece ao SecOps a capacidade de definir uma lista de indicadores para detecção e para bloqueio (prevenção e resposta).

As organizações podem criar indicadores que definem a detecção, prevenção e exclusão de entidades IoC. Você pode definir a ação a ser tomada, bem como a duração de quando aplicar a ação e o escopo do grupo de dispositivos para aplicá-la.

Este vídeo mostra um passo a passo de criar e adicionar indicadores:

Sobre os indicadores da Microsoft

Como regra geral, você só deve criar indicadores para IoCs inválidos conhecidos ou para arquivos/sites que devem ser explicitamente permitidos em sua organização. Para obter mais informações sobre os tipos de sites que o Defender para Ponto de Extremidade pode bloquear por padrão, consulte Microsoft Defender visão geral do SmartScreen.

False Positive (FP) refere-se a um falso positivo smartscreen, de modo que é considerado malware ou phish, mas na verdade não é uma ameaça, então você deseja criar uma política de permissão para ele.

Você também pode ajudar a promover melhorias na inteligência de segurança da Microsoft enviando falsos positivos e IoCs suspeitos ou conhecidos para análise. Se um aviso ou bloco for mostrado incorretamente para um arquivo ou aplicativo ou se você suspeitar que um arquivo não detectado é malware, você poderá enviar um arquivo à Microsoft para revisão. Para saber mais, confira Enviar arquivos para análise.

Indicadores DE IP/URL

Você pode usar indicadores de IP/URL para desbloquear usuários de um FP (False Positive) do SmartScreen ou substituir um bloco WFC (Filtragem de Conteúdo Da Web).

Você pode usar indicadores de URL e IP para gerenciar o acesso ao site. Você pode criar indicadores de IP e URL provisórios para desbloquear temporariamente usuários de um bloco SmartScreen. Você também pode ter indicadores que mantém por um longo período de tempo para ignorar seletivamente os blocos de filtragem de conteúdo da Web.

Considere o caso em que você tem uma categorização de filtragem de conteúdo da Web para um determinado site que está correto. Neste exemplo, você tem a filtragem de conteúdo da Web definida para bloquear todas as mídias sociais, o que é correto para suas metas organizacionais gerais. No entanto, a equipe de marketing tem uma necessidade real de usar um site de mídia social específico para publicidade e anúncios. Nesse caso, você pode desbloquear o site de mídia social específico usando indicadores IP ou URL para o grupo específico (ou grupos) a ser usado.

Consulte Proteção da Web e filtragem de conteúdo da Web

Indicadores DE IP/URL: proteção de rede e o aperto de mão de três vias do TCP

Com a proteção de rede, a determinação de permitir ou bloquear o acesso a um site é feita após a conclusão do aperto de mão de três via TCP/IP. Assim, quando um site é bloqueado pela proteção de rede, você pode ver um tipo de ConnectionSuccessNetworkConnectionEvents ação em no portal Microsoft Defender, mesmo que o site tenha sido bloqueado. NetworkConnectionEvents são relatados da camada TCP e não da proteção de rede. Após a conclusão do aperto de mão de três vias, o acesso ao site é permitido ou bloqueado pela proteção de rede.

Aqui está um exemplo de como isso funciona:

  1. Suponha que um usuário tente acessar um site em seu dispositivo. O site é hospedado em um domínio perigoso e deve ser bloqueado pela proteção de rede.

  2. O aperto de mão de três via TCP/IP começa. Antes de ser concluída, uma NetworkConnectionEvents ação é registrada e ActionType ela é listada como ConnectionSuccess. No entanto, assim que o processo de aperto de mão de três vias for concluído, a proteção de rede bloqueará o acesso ao site. Tudo isso acontece rapidamente. Um processo semelhante ocorre com Microsoft Defender SmartScreen; é quando o aperto de mão de três vias conclui que uma determinação é feita e o acesso a um site é bloqueado ou permitido.

  3. No portal Microsoft Defender, um alerta é listado na fila de alertas. Os detalhes desse alerta incluem tanto quanto NetworkConnectionEventsAlertEvents. Você pode ver que o site foi bloqueado, embora você também tenha um NetworkConnectionEvents item com o ActionType de ConnectionSuccess.

Indicadores de hash de arquivo

Em alguns casos, criar um novo indicador para um IoC de arquivo recém-identificado - como uma medida imediata de stop-gap - pode ser apropriado para bloquear arquivos ou até mesmo aplicativos. No entanto, o uso de indicadores para tentar bloquear um aplicativo pode não fornecer os resultados esperados, pois os aplicativos normalmente são compostos por muitos arquivos diferentes. Os métodos preferidos de bloquear aplicativos são usar Windows Defender WDAC (Controle de Aplicativo) ou AppLocker.

Como cada versão de um aplicativo tem um hash de arquivo diferente, não é recomendável usar indicadores para bloquear hashes.

Windows Defender Controle de Aplicativo (WDAC)

Indicadores de certificado

Em alguns casos, um certificado específico que é usado para assinar um arquivo ou aplicativo que sua organização está definido para permitir ou bloquear. Há suporte para indicadores de certificado no Defender para Ponto de Extremidade, se eles usarem o . CER ou . Formato de arquivo PEM. Consulte Criar indicadores com base em certificados para obter mais detalhes.

Mecanismos de detecção de IoC

Atualmente, as fontes da Microsoft com suporte para IoCs são:

Mecanismo de detecção de nuvem

O mecanismo de detecção de nuvem do Defender para Ponto de Extremidade examina regularmente os dados coletados e tenta corresponder aos indicadores definidos. Quando há uma correspondência, a ação é tomada de acordo com as configurações especificadas para o IoC.

Mecanismo de prevenção de ponto de extremidade

A mesma lista de indicadores é respeitada pelo agente de prevenção. Ou seja, se Microsoft Defender Antivírus for o antivírus primário configurado, os indicadores correspondentes serão tratados de acordo com as configurações. Por exemplo, se a ação for "Alerta e Bloquear", Microsoft Defender Antivírus impedirá execuções de arquivo (bloquear e corrigir) e um alerta correspondente será exibido. Por outro lado, se a Ação estiver definida como "Permitir", Microsoft Defender Antivírus não detectar ou bloquear o arquivo.

Mecanismo automatizado de investigação e correção

A investigação automatizada e a correção se comportam de forma semelhante ao mecanismo de prevenção do ponto de extremidade. Se um indicador for definido como "Permitir", a investigação e a correção automatizadas ignorarão um veredicto "ruim" para ele. Se definido como "Bloquear", a investigação e a correção automatizadas a tratarão como "ruim".

A EnableFileHashComputation configuração calcula o hash do arquivo para o certificado e o IoC de arquivo durante as verificações de arquivo. Ele dá suporte à ioC de hashes e certificações pertencem a aplicativos confiáveis. Ele está habilitado simultaneamente com a configuração permitir ou bloquear o arquivo. EnableFileHashComputationé habilitado manualmente por meio de Política de Grupo e é desabilitado por padrão.

Tipos de imposição para indicadores

Quando sua equipe de segurança cria um novo indicador (IoC), as seguintes ações estão disponíveis:

  • Permitir – o IoC tem permissão para ser executado em seus dispositivos.
  • Auditoria – um alerta é disparado quando o IoC é executado.
  • Avisar – o IoC solicita um aviso de que o usuário pode ignorar
  • Bloquear a execução – o IoC não poderá ser executado.
  • Bloquear e corrigir - o IoC não poderá ser executado e uma ação de correção será aplicada ao IoC.

Observação

O uso do modo Avisar solicitará aos usuários um aviso se eles abrirem um aplicativo ou site arriscado. O prompt não os impedirá de permitir que o aplicativo ou o site sejam executados, mas você pode fornecer uma mensagem personalizada e links para uma página da empresa que descreve o uso apropriado do aplicativo. Os usuários ainda podem ignorar o aviso e continuar a usar o aplicativo se precisarem. Para obter mais informações, confira Governe aplicativos descobertos por Microsoft Defender para Ponto de Extremidade.

Você pode criar um indicador para:

A tabela abaixo mostra exatamente quais ações estão disponíveis por tipo de IoC (indicador):

Tipo IoC Ações disponíveis
Files Permitir
Auditoria
Avisar
Bloquear a execução
Bloquear e corrigir
Endereços IP Permitir
Auditoria
Avisar
Bloquear a execução
URLs e domínios Permitir
Auditoria
Avisar
Bloquear a execução
Certificados Permitir
Bloquear e corrigir

A funcionalidade de IoCs pré-existentes não será alterada. No entanto, os indicadores foram renomeados para corresponder às ações atuais de resposta com suporte:

  • A ação de resposta "somente alerta" foi renomeada para "auditoria" com a configuração de alerta gerada habilitada.
  • A resposta "alerta e bloqueio" foi renomeada para "bloquear e corrigir" com a configuração de alerta de geração opcional.

O esquema de API de IoC e as IDs de ameaças na caça antecipada são atualizados para alinhar com a renomeação das ações de resposta de IoC. As alterações do esquema de API se aplicam a todos os tipos de IoC.

Observação

Há um limite de 15.000 indicadores por locatário. Os indicadores de arquivo e certificado não bloqueiam exclusões definidas para Microsoft Defender Antivírus. Não há suporte para indicadores no Microsoft Defender Antivírus quando ele está no modo passivo.

O formato de importação de novos indicadores (IoCs) foi alterado de acordo com as novas configurações de ações e alertas atualizados. Recomendamos baixar o novo formato CSV que pode ser encontrado na parte inferior do painel de importação.

Limitações e problemas conhecidos

Os clientes podem ter problemas com alertas para indicadores de comprometimento. Os cenários a seguir são situações em que os alertas não são criados ou são criados com informações imprecisas. Cada problema é investigado por nossa equipe de engenharia.

  • Indicadores de bloco – alertas genéricos com gravidade informativa serão disparados apenas. Os alertas personalizados (ou seja, título personalizado e gravidade) não são disparados nesses casos.
  • Indicadores de alerta – Alertas genéricos e alertas personalizados são possíveis nesse cenário, no entanto, os resultados não são determinísticos devido a um problema com a lógica de detecção de alertas. Em alguns casos, os clientes podem ver um alerta genérico, enquanto um alerta personalizado pode aparecer em outros casos.
  • Permitir – nenhum alerta é gerado (por design).
  • Auditoria – Os alertas são gerados com base na gravidade fornecida pelo cliente.
  • Em alguns casos, alertas provenientes de detecções de EDR podem ter precedência sobre alertas decorrentes de blocos antivírus, nesse caso, um alerta de informações será gerado.

Os aplicativos da Microsoft Store não podem ser bloqueados pelo Defender porque são assinados pela Microsoft.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.