Criar indicadores

Aplica-se a:

Dica

Quer experimentar o Microsoft Defender para Endpoint? Inscrever-se para uma avaliação gratuita.

A correspondência de IoCs (indicadores de compromisso) é uma funcionalidade essencial em todas as soluções de proteção de pontos finais. Esta capacidade dá ao SecOp a capacidade de definir uma lista de indicadores para deteção e para bloqueio (prevenção e resposta).

Crie indicadores que definam a deteção, prevenção e exclusão de entidades. Pode definir a ação a ser tomada, bem como a duração de quando aplicar a ação, bem como o âmbito do grupo de dispositivos ao qual a vai aplicar.

As fontes atualmente suportadas são o motor de deteção de nuvem do Defender para Endpoint, o motor de investigação e remediação automatizado e o motor de prevenção de pontos finais (Antivírus do Microsoft Defender).

Motor de deteção da nuvem

O motor de deteção na nuvem do Defender para Ponto Final analisa regularmente os dados recolhidos e tenta corresponder aos indicadores que definir. Quando existe uma correspondência, ação será tomada de acordo com as definições que especificou para a IoC.

Motor de prevenção de pontos finais

A mesma lista de indicadores é honrada pelo agente de prevenção. Isto significa que, se o Microsoft Defender AV for o AV principal configurado, os indicadores correspondentes serão tratados de acordo com as definições. Por exemplo, se a ação for "Alerta e Bloquear", o Microsoft Defender AV impedirá as execuções de ficheiros (bloquear e remediar) e será elevado um alerta correspondente. Por outro lado, se a Ação estiver definida para "Permitir", o Microsoft Defender AV não deteta nem bloqueia a respetiva ação.

Motor de investigação e remediação automatizado

A investigação e remediação automática comportam-se da mesma forma. Se um indicador estiver definido como "Permitir", a investigação e remediação automáticas ignorarão o veredito "mau". Se estiver definida como "Bloquear", a investigação e remediação automáticas irão tratá-lo como "mau".

A definição EnableFileHashComputation computa o hash do ficheiro para o IoC de cert e ficheiro durante a análise de ficheiros. Suporta a imposição IoC de hashes e certs a aplicações de confiança. Este será ativado e desativado em simetria com a definição de ficheiro de permitir ou bloquear. EnableFileHashComputation é ativada manualmente através Política de Grupo e está desativada por predefinição.

Ao criar um novo indicador (IoC), está disponível uma ou mais das seguintes ações:

  • Permitir – o IoC terá permissão para ser executado nos seus dispositivos.
  • Auditoria – será ativado um alerta quando o IoC for executado.
  • Avisar – o IoC irá pedir um aviso a indicar que o utilizador pode desacessoiar
  • Bloquear execução – o IoC não terá permissão para ser executado.
  • Bloquear e remediar - a IoC não terá permissão para ser executada e será aplicada uma ação de remediação à IoC.

Nota

Utilizar o modo Avisar irá avisar os seus utilizadores se abrirem uma aplicação de risco. O pedido não os impedirá de utilizar a aplicação, mas pode fornecer uma mensagem personalizada e ligações para uma página da empresa que descreva a utilização adequada da aplicação. Os utilizadores podem continuar a não ouvir o aviso e continuar a utilizar a aplicação, se precisarem. Para obter mais informações, consulte Governar aplicações descobertas pelo Microsoft Defender para Endpoint.

Pode criar um indicador para:

A tabela abaixo mostra exatamente que ações estão disponíveis por tipo de indicador (IoC):

Tipo de IoC Ações disponíveis
Ficheiros Permitir
Auditoria
Bloquear e remediar
Endereços IP Permitir
Auditoria
Bloquear execução
Avisar
URLs e domínios Permitir
Auditoria
Bloquear execução
Avisar
Certificados Permitir
Bloquear e remediar

A funcionalidade de IoCs pré-existentes não será alterada. No entanto, o nome dos indicadores foi renomeado para corresponder às ações de resposta suportadas atuais:

  • O nome da ação de resposta "alerta apenas" foi renomeado para "auditoria" com a definição de gerar alerta ativada.
  • O nome da resposta "alerta e bloqueio" foi renomeado para "bloquear e remediar" com a definição de alerta gerada opcional.

O esquema da API IoC e os IDs de ameaças com antecedência foram atualizados para se alinharem com a nova designação das ações de resposta IoC. As alterações ao esquema de API aplicam-se a todos os Tipos de IoC.

Nota

Existe um limite de 15.000 indicadores por inquilino. Os indicadores de ficheiro e certificado não bloqueiam exclusões definidas para Antivírus do Microsoft Defender. Os indicadores não são suportados Antivírus do Microsoft Defender quando está em modo passivo.

O formato da importação de novos indicadores (IoCs) foi alterado de acordo com as novas definições de alertas e ações atualizadas. Recomendamos que transfira o novo formato CSV que pode ser encontrado na parte inferior do painel de importação.