Criar indicadores para ficheiros

  • Artigo

Aplica-se a:

Sugestão

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Impeça a propagação adicional de um ataque na sua organização ao proibir ficheiros potencialmente maliciosos ou software maligno suspeito. Se souber um ficheiro executável portátil (PE) potencialmente malicioso, pode bloqueá-lo. Esta operação impedirá que seja lida, escrita ou executada em dispositivos na sua organização.

Existem três formas de criar indicadores para ficheiros:

  • Ao criar um indicador através da página de definições
  • Ao criar um indicador contextual com o botão adicionar indicador da página de detalhes do ficheiro
  • Ao criar um indicador através da API de Indicador

Nota

Para que esta funcionalidade funcione em Windows Server 2016 e Windows Server 2012 R2, esses dispositivos têm de ser integrados com as instruções em Integrar servidores Windows. Os indicadores de ficheiro personalizados com as ações Permitir, Bloquear e Remediar também estão agora disponíveis nas capacidades avançadas do motor antimalware para macOS e Linux.

Before you begin

Compreenda os seguintes pré-requisitos antes de criar indicadores para ficheiros:

Esta funcionalidade foi concebida para impedir que software maligno suspeito (ou ficheiros potencialmente maliciosos) seja transferido a partir da Web. Atualmente, suporta ficheiros executáveis portáteis (PE), incluindo .exe ficheiros e .dll . A cobertura é prolongada ao longo do tempo.

Importante

No Defender para Endpoint (Plano 1) e no Defender para Empresas, pode criar um indicador para bloquear ou permitir um ficheiro. No Defender para Empresas, o seu indicador é aplicado em todo o seu ambiente e não pode ser confinado a dispositivos específicos.

Create um indicador para ficheiros a partir da página de definições

  1. No painel de navegação, selecione Definições>Indicadores dePontos Finais> (em Regras).

  2. Selecione o separador Hashes de ficheiros .

  3. Selecione Adicionar item.

  4. Especifique os seguintes detalhes:

    • Indicador: especifique os detalhes da entidade e defina a expiração do indicador.
    • Ação: especifique a ação a executar e forneça uma descrição.
    • Âmbito: defina o âmbito do grupo de dispositivos (o âmbito não está disponível no Defender para Empresas).

    Nota

    A criação do Grupo de Dispositivos é suportada no Plano 1 e Plano 2 do Defender para Endpoint

  5. Reveja os detalhes no separador Resumo e, em seguida, selecione Guardar.

Create um indicador contextual na página de detalhes do ficheiro

Uma das opções ao efetuar ações de resposta num ficheiro é adicionar um indicador para o ficheiro. Quando adiciona um hash de indicador para um ficheiro, pode optar por emitir um alerta e bloquear o ficheiro sempre que um dispositivo na sua organização tentar executá-lo.

Os ficheiros automaticamente bloqueados por um indicador não serão apresentados no Centro de ação do ficheiro, mas os alertas continuarão visíveis na fila Alertas.

Alertas sobre ações de bloqueio de ficheiros (pré-visualização)

Importante

As informações nesta secção (Pré-visualização Pública do motor de investigação e remediação automatizado) estão relacionadas com o produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

As ações atuais suportadas para o COI do ficheiro são permitir, auditar e bloquear e remediar. Depois de optar por bloquear um ficheiro, pode escolher se é necessário acionar um alerta. Desta forma, poderá controlar o número de alertas que estão a chegar às suas equipas de operações de segurança e certificar-se de que apenas os alertas necessários são gerados.

No Microsoft Defender XDR, aceda a Definições>Indicadores de Pontos Finais>>Adicionar Novo Hash de Ficheiro.

Selecione Bloquear e remediar o ficheiro.

Escolha se pretende Gerar um alerta no evento de bloqueio de ficheiros e defina as definições de alertas:

  • O título do alerta
  • A gravidade do alerta
  • Categoria
  • Descrição
  • Ações recomendadas

As definições de Alerta para indicadores de ficheiros

Importante

  • Normalmente, os blocos de ficheiros são impostos e removidos dentro de alguns minutos, mas podem demorar mais de 30 minutos.
  • Se existirem políticas IoC de ficheiros em conflito com o mesmo tipo de imposição e destino, será aplicada a política do hash mais seguro. Uma política de IoC hash de ficheiro SHA-256 irá conquistar uma política de IoC hash de ficheiro SHA-1, que irá conquistar uma política de IoC hash de ficheiro MD5 se os tipos de hash definirem o mesmo ficheiro. Isto é sempre verdade independentemente do grupo de dispositivos.
  • Em todos os outros casos, se forem aplicadas políticas de IoC de ficheiros em conflito com o mesmo destino de imposição a todos os dispositivos e ao grupo do dispositivo, a política no grupo de dispositivos ganhará.
  • Se a política do grupo EnableFileHashComputation estiver desativada, a precisão de bloqueio do IoC do ficheiro será reduzida. No entanto, a ativação EnableFileHashComputation pode afetar o desempenho do dispositivo. Por exemplo, copiar ficheiros grandes de uma partilha de rede para o seu dispositivo local, especialmente através de uma ligação VPN, pode ter um efeito no desempenho do dispositivo.

Para obter mais informações sobre a política de grupo EnableFileHashComputation, veja Defender CSP.

Para obter mais informações sobre como configurar esta funcionalidade no Defender para Endpoint no Linux e macOS, veja Configurar a funcionalidade de computação hash de ficheiros no Linux e Configurar a funcionalidade de computação hash de ficheiros no macOS.

Capacidades avançadas de investigação (pré-visualização)

Importante

As informações nesta secção (Pré-visualização Pública do motor de investigação e remediação automatizado) estão relacionadas com o produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Atualmente em pré-visualização, pode consultar a atividade de ação de resposta na investigação antecipada. Segue-se uma consulta de investigação avançada de exemplo:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Para obter mais informações sobre a investigação avançada, veja Proativamente investigar ameaças com investigação avançada.

Seguem-se outros nomes de threads que podem ser utilizados na consulta de exemplo acima:

Ficheiros:

  • EUS:Win32/CustomEnterpriseBlock!cl
  • EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Certificados:

  • EUS:Win32/CustomCertEnterpriseBlock!cl

A atividade de ação de resposta também pode ser visível na linha cronológica do dispositivo.

Processamento de conflitos de políticas

Os conflitos de processamento de políticas do Cert e do IoC de Ficheiros seguem esta ordem:

  1. Se o ficheiro não for permitido por Windows Defender Políticas de modo de imposição do Controlo de Aplicações e do AppLocker, bloqueie.
  2. Caso contrário, se o ficheiro for permitido pelas exclusões do Antivírus do Microsoft Defender, selecione Permitir.
  3. Caso contrário, se o ficheiro estiver bloqueado ou avisado por um bloqueio ou avisar os IoCs do ficheiro, bloqueie/Avise.
  4. Caso contrário, se o ficheiro estiver bloqueado pelo SmartScreen, bloqueie.
  5. Caso contrário, se o ficheiro for permitido por uma política de IoC de ficheiro de permissão, selecione Permitir.
  6. Caso contrário, se o ficheiro estiver bloqueado por regras de redução da superfície de ataque, acesso controlado a pastas ou proteção antivírus, bloqueie.
  7. Caso contrário, Permitir (transmite Windows Defender Controlo de Aplicações & política appLocker, nenhuma regra de IoC se aplica à mesma).

Nota

Em situações em que Microsoft Defender Antivírus está definido como Bloquear, mas os indicadores do Defender para Ponto Final para hash de ficheiros ou certificados estão definidos como Permitir, a política é predefinida como Permitir.

Se existirem políticas IoC de ficheiros em conflito com o mesmo tipo de imposição e destino, é aplicada a política do hash mais seguro (ou seja, mais longo). Por exemplo, uma política de IoC hash de ficheiro SHA-256 tem precedência sobre uma política de IoC hash de ficheiro MD5 se ambos os tipos de hash definirem o mesmo ficheiro.

Aviso

O processamento de conflitos de políticas para ficheiros e certificados difere do processamento de conflitos de políticas para domínios/URLs/endereços IP.

Gestão de vulnerabilidades do Microsoft Defender funcionalidades de aplicações vulneráveis a bloqueios utiliza os IoCs de ficheiro para imposição e segue a ordem de processamento de conflitos descrita anteriormente nesta secção.

Exemplos

Componente Imposição de componentes Ação indicadora de ficheiro Result
Exclusão do caminho do ficheiro de redução da superfície de ataque Permitir Bloquear Bloquear
Regra de redução da superfície de ataque Bloquear Permitir Permitir
Controlo de Aplicações do Windows Defender Permitir Bloquear Permitir
Controlo de Aplicações do Windows Defender Bloquear Permitir Bloquear
exclusão do Antivírus do Microsoft Defender Permitir Bloquear Permitir

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.