Создание индикаторов на основе сертификатовCreate indicators based on certificates

Область применения:Applies to:

Хотите испытать Defender для конечной точки?Want to experience Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

Можно создавать индикаторы для сертификатов.You can create indicators for certificates. К числу распространенных случаев использования относятся следующие:Some common use cases include:

  • Сценарии, когда необходимо развернуть технологии блокировки, такие как правила уменьшения поверхности атаки и управляемый доступ к папкам, но необходимо разрешить поведение подписанных приложений, добавив сертификат в список допустимых. Scenarios when you need to deploy blocking technologies, such as attack surface reduction rules and controlled folder access but need to allow behaviors from signed applications by adding the certificate in the allow list.
  • Блокировка использования определенного подписанного приложения в организации.Blocking the use of a specific signed application across your organization. Создав индикатор для блокировки сертификата приложения, Защитник Windows av предотвратит выполнение файлов (блок и исправление), а автоматическое расследование и исправление ведут себя так же.By creating an indicator to block the certificate of the application, Windows Defender AV will prevent file executions (block and remediate) and the Automated Investigation and Remediation behave the same.

Прежде чем начатьBefore you begin

Важно понимать следующие требования перед созданием индикаторов для сертификатов:It's important to understand the following requirements prior to creating indicators for certificates:

  • Эта функция доступна, если в организации используется антивирусная программа и включена облачная защита.This feature is available if your organization uses Windows Defender Antivirus and Cloud-based protection is enabled. Дополнительные сведения см. в сведениях Управление облачной защитой.For more information, see Manage cloud-based protection.
  • Клиентская версия antimalware должна быть 4.18.1901.x или более поздней версии.The Antimalware client version must be 4.18.1901.x or later.
  • Поддерживается на компьютерах Windows 10 версии 1703 или более поздней версии Windows 2016 и 2019 годов.Supported on machines on Windows 10, version 1703 or later, Windows server 2016 and 2019.
  • Определения защиты от вирусов и угроз должны быть в курсе.The virus and threat protection definitions must be up to date.
  • Эта функция в настоящее время поддерживает ввод . CER или . Расширения файлов PEM.This feature currently supports entering .CER or .PEM file extensions.

Важно!

  • Действительный сертификат листа — это сертификат подписи, который имеет допустимый путь сертификации и должен быть прикован к Службе корневого сертификата (CA), доверяемой Корпорацией Майкрософт.A valid leaf certificate is a signing certificate that has a valid certification path and must be chained to the Root Certificate Authority (CA) trusted by Microsoft. Кроме того, пользовательский (самозаверяемый) сертификат можно использовать до тех пор, пока ему доверяет клиент (сертификат Root CA устанавливается в соответствии с локальным механизмом "Доверенные корневые органы сертификации").Alternatively, a custom (self-signed) certificate can be used as long as it's trusted by the client (Root CA certificate is installed under the Local Machine 'Trusted Root Certification Authorities').
  • Дети или родители IOCs разрешаемого или блокового сертификата не включаются в функцию allow/block IoC, поддерживаются только сертификаты листа.The children or parent of the allow/block certificate IOCs are not included in the allow/block IoC functionality, only leaf certificates are supported.
  • Сертификаты, подписанные Корпорацией Майкрософт, не могут быть заблокированы.Microsoft signed certificates cannot be blocked.

Создание индикатора для сертификатов на странице параметры:Create an indicator for certificates from the settings page:

Важно!

Создание и удаление IoC сертификата может занять до 3 часов.It can take up to 3 hours to create and remove a certificate IoC.

  1. В области навигации выберите Параметры > Индикаторы.In the navigation pane, select Settings > Indicators.

  2. Выберите вкладку Сертификат.Select the Certificate tab.

  3. Выберите индикатор Добавить.Select Add indicator.

  4. Укажите следующие сведения:Specify the following details:

    • Индикатор . Укажите сведения об объекте и определите срок действия индикатора.Indicator - Specify the entity details and define the expiration of the indicator.
    • Действие . Укажите действия, которые необходимо принять, и укажите описание.Action - Specify the action to be taken and provide a description.
    • Область — определите область действия группы машин.Scope - Define the scope of the machine group.
  5. Просмотрите сведения в вкладке Сводка, а затем нажмите кнопку Сохранить.Review the details in the Summary tab, then click Save.