Criar indicadores

  • Artigo

Aplica-se a:

Sugestão

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Indicador de descrição geral do compromisso (IoC)

Um Indicador de comprometimento (IoC) é um artefacto forense, observado na rede ou anfitrião. Um IoC indica - com elevada confiança - que ocorreu uma intrusão no computador ou na rede. Os IoCs são observáveis, o que os liga diretamente a eventos mensuráveis. Alguns exemplos de IoC incluem:

  • hashes de software maligno conhecido
  • assinaturas de tráfego de rede malicioso
  • URLs ou domínios que são distribuidores conhecidos de software maligno

Para travar outros compromissos ou evitar falhas de IoCs conhecidos, as ferramentas de IoC bem-sucedidas devem conseguir detetar todos os dados maliciosos enumerados pelo conjunto de regras da ferramenta. A correspondência de IoC é uma funcionalidade essencial em todas as soluções de proteção de pontos finais. Esta capacidade dá ao SecOps a capacidade de definir uma lista de indicadores para deteção e para bloqueio (prevenção e resposta).

As organizações podem criar indicadores que definem a deteção, prevenção e exclusão de entidades IoC. Pode definir a ação a ser tomada, bem como a duração para quando aplicar a ação e o âmbito do grupo de dispositivos ao qual a aplicá-la.

Este vídeo mostra instruções sobre como criar e adicionar indicadores:

Acerca dos indicadores da Microsoft

Regra geral, só deve criar indicadores para IoCs incorretos conhecidos ou para quaisquer ficheiros/sites que devem ser explicitamente permitidos na sua organização. Para obter mais informações sobre os tipos de sites que o Defender para Ponto Final pode bloquear por predefinição, consulte Microsoft Defender Descrição geral do SmartScreen.

Falso Positivo (FP) refere-se a um falso positivo SmartScreen, de tal forma que é considerado software maligno ou phish, mas na verdade não é uma ameaça, pelo que pretende criar uma política de permissão para o mesmo.

Também pode ajudar a melhorar as informações de segurança da Microsoft ao submeter falsos positivos e IoCs suspeitos ou conhecidos e inválidos para análise. Se um aviso ou bloco for apresentado incorretamente para um ficheiro ou aplicação ou se suspeitar que um ficheiro não detetado é software maligno, pode submeter um ficheiro à Microsoft para revisão. Para obter mais informações, veja Submeter ficheiros para análise.

Indicadores de IP/URL

Pode utilizar indicadores de IP/URL para desbloquear utilizadores de um falso positivo SmartScreen (FP) ou para substituir um bloco WFC (Web Content Filtering).

Pode utilizar indicadores de URL e IP para gerir o acesso ao site. Pode criar indicadores de IP e URL provisórios para desbloquear temporariamente os utilizadores de um bloco SmartScreen. Também poderá ter indicadores que mantém durante um longo período de tempo para ignorar seletivamente os blocos de filtragem de conteúdo Web.

Considere o caso em que tem uma categorização de filtragem de conteúdo Web para um determinado site que está correto. Neste exemplo, tem a filtragem de conteúdo Web definida para bloquear todas as redes sociais, o que é correto para os seus objetivos organizacionais gerais. No entanto, a equipa de marketing tem uma necessidade real de utilizar um site de redes sociais específico para publicidade e anúncios. Nesse caso, pode desbloquear o site de redes sociais específico com indicadores de IP ou URL para o grupo específico (ou grupos) a utilizar.

Veja Proteção Web e filtragem de conteúdo Web

Indicadores de IP/URL: proteção de rede e handshake tridirecional TCP

Com a proteção de rede, a determinação de permitir ou bloquear o acesso a um site é efetuada após a conclusão do handshake tridirecional através de TCP/IP. Assim, quando um site é bloqueado pela proteção de rede, poderá ver um tipo de ConnectionSuccessNetworkConnectionEvents ação no portal do Microsoft Defender, apesar de o site ter sido bloqueado. NetworkConnectionEvents são comunicados a partir da camada TCP e não da proteção de rede. Após a conclusão do handshake tridirecional, o acesso ao site é permitido ou bloqueado pela proteção de rede.

Eis um exemplo de como funciona:

  1. Suponha que um utilizador tenta aceder a um site no respetivo dispositivo. O site está alojado num domínio perigoso e deve ser bloqueado pela proteção de rede.

  2. O handshake tridirecional através de TCP/IP começa. Antes de ser concluída, é registada uma NetworkConnectionEvents ação e ActionType está listada como ConnectionSuccess. No entanto, assim que o processo de handshake tridirecional for concluído, a proteção de rede bloqueia o acesso ao site. Tudo isto acontece rapidamente. Um processo semelhante ocorre com Microsoft Defender SmartScreen; é quando o handshake tridirecional conclui que é feita uma determinação e o acesso a um site é bloqueado ou permitido.

  3. No portal Microsoft Defender, é apresentado um alerta na fila de alertas. Os detalhes desse alerta incluem e NetworkConnectionEventsAlertEvents. Pode ver que o site foi bloqueado, apesar de também ter um NetworkConnectionEvents item com o ActionType de ConnectionSuccess.

Indicadores hash de ficheiros

Em alguns casos, a criação de um novo indicador para um IoC de ficheiro recentemente identificado - como uma medida stop-gap imediata - pode ser adequado para bloquear ficheiros ou até mesmo aplicações. No entanto, a utilização de indicadores para tentar bloquear uma aplicação pode não fornecer os resultados esperados, uma vez que as aplicações são normalmente compostas por muitos ficheiros diferentes. Os métodos preferenciais de bloquear aplicações são utilizar Windows Defender Application Control (WDAC) ou AppLocker.

Uma vez que cada versão de uma aplicação tem um hash de ficheiro diferente, não é recomendado utilizar indicadores para bloquear hashes.

Windows Defender Application Control (WDAC)

Indicadores de certificado

Em alguns casos, um certificado específico que é utilizado para assinar um ficheiro ou aplicação que a sua organização está definida para permitir ou bloquear. Os indicadores de certificado são suportados no Defender para Endpoint, se utilizarem o . CER ou . Formato de ficheiro PEM. Veja Criar indicadores com base em certificados para obter mais detalhes.

Motores de deteção de IoC

Atualmente, as origens suportadas da Microsoft para IoCs são:

Motor de deteção da cloud

O motor de deteção da cloud do Defender para Endpoint analisa regularmente os dados recolhidos e tenta corresponder aos indicadores que definiu. Quando existe uma correspondência, a ação é efetuada de acordo com as definições que especificou para o IoC.

Motor de prevenção de pontos finais

A mesma lista de indicadores é respeitada pelo agente de prevenção. Ou seja, se Microsoft Defender Antivírus for o antivírus primário configurado, os indicadores correspondentes são tratados de acordo com as definições. Por exemplo, se a ação for "Alerta e Bloquear", Microsoft Defender Antivírus impede execuções de ficheiros (bloquear e remediar) e é apresentado um alerta correspondente. Por outro lado, se a Ação estiver definida como "Permitir", Microsoft Defender o Antivírus não detetar ou bloquear o ficheiro.

Motor de investigação e remediação automatizado

A investigação e a remediação automatizadas comportam-se de forma semelhante ao motor de prevenção de pontos finais. Se um indicador estiver definido como "Permitir", a investigação automatizada e a remediação ignorarão um veredicto "incorreto". Se definida como "Bloquear", a investigação e a remediação automatizadas tratam-na como "incorreta".

A EnableFileHashComputation definição calcula o hash do ficheiro para o certificado e o IoC do ficheiro durante as análises de ficheiros. Suporta a imposição IoC de hashes e certificados que pertencem a aplicações fidedignas. Está ativada simultaneamente com a definição permitir ou bloquear ficheiro. EnableFileHashComputationé ativado manualmente através de Política de Grupo e está desativado por predefinição.

Tipos de imposição para Indicadores

Quando a equipa de segurança cria um novo indicador (IoC), estão disponíveis as seguintes ações:

  • Permitir – o IoC tem permissão para ser executado nos seus dispositivos.
  • Auditoria – é acionado um alerta quando o IoC é executado.
  • Avisar – o IoC pede um aviso a indicar que o utilizador pode ignorar
  • Bloquear a execução – o IoC não poderá ser executado.
  • Bloquear e remediar – o IoC não terá permissão para ser executado e será aplicada uma ação de remediação ao IoC.

Nota

A utilização do modo Aviso irá pedir aos seus utilizadores um aviso se abrirem uma aplicação ou site de risco. O pedido não os impede de permitir a execução da aplicação ou site, mas pode fornecer uma mensagem personalizada e ligações para uma página da empresa que descreve a utilização adequada da aplicação. Os utilizadores ainda podem ignorar o aviso e continuar a utilizar a aplicação se precisarem. Para obter mais informações, veja Governar aplicações detetadas por Microsoft Defender para Endpoint.

Pode criar um indicador para:

A tabela abaixo mostra exatamente que ações estão disponíveis por tipo de indicador (IoC):

Tipo de IoC Ações disponíveis
Ficheiros Permitir
Auditoria
Avisar
Bloquear execução
Bloquear e remediar
Endereços IP Permitir
Auditoria
Avisar
Bloquear execução
URLs e domínios Permitir
Auditoria
Avisar
Bloquear execução
Certificados Permitir
Bloquear e remediar

A funcionalidade dos IoCs pré-existentes não será alterada. No entanto, o nome dos indicadores foi mudado para corresponder às ações de resposta suportadas atuais:

  • O nome da ação de resposta "apenas alerta" foi alterado para "auditoria" com a definição de alerta gerada ativada.
  • O nome da resposta "alerta e bloqueio" foi mudado para "bloquear e remediar" com a definição opcional gerar alerta.

O esquema da API IoC e os IDs de ameaça em investigação antecipada são atualizados para alinhar com o nome das ações de resposta do IoC. As alterações ao esquema de API aplicam-se a todos os Tipos de IoC.

Nota

Existe um limite de 15 000 indicadores por inquilino. Os indicadores de ficheiros e certificados não bloqueiam as exclusões definidas para o Antivírus Microsoft Defender. Os indicadores não são suportados no Antivírus Microsoft Defender quando está no modo passivo.

O formato para importar novos indicadores (IoCs) foi alterado de acordo com as novas definições de ações e alertas atualizadas. Recomendamos que transfira o novo formato CSV que pode ser encontrado na parte inferior do painel de importação.

Problemas conhecidos e limitações

Os clientes podem ter problemas com alertas para Indicadores de Compromisso. Os cenários seguintes são situações em que os alertas não são criados ou são criados com informações imprecisas. Cada problema é investigado pela nossa equipa de engenharia.

  • Indicadores de bloco – os alertas genéricos com gravidade informativa só serão acionados. Os alertas personalizados (ou seja, o título personalizado e a gravidade) não são acionados nestes casos.
  • Indicadores de aviso – neste cenário, são possíveis alertas genéricos e alertas personalizados. No entanto, os resultados não são deterministas devido a um problema com a lógica de deteção de alertas. Em alguns casos, os clientes podem ver um alerta genérico, enquanto um alerta personalizado pode ser apresentado noutros casos.
  • Permitir – não são gerados alertas (por predefinição).
  • Auditoria – os alertas são gerados com base na gravidade fornecida pelo cliente.
  • Em alguns casos, os alertas provenientes de deteções EDR podem ter precedência sobre alertas decorrentes de blocos antivírus, caso em que será gerado um alerta de informações.

As aplicações da Microsoft Store não podem ser bloqueadas pelo Defender porque são assinadas pela Microsoft.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.