Skapa indikatorer baserade på certifikat

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Du kan skapa indikatorer för certifikat. Några vanliga användningsfall är:

  • Scenarier när du behöver distribuera blockeringstekniker, till exempel minskningsregler för attackytan och kontrollerad mappåtkomst, men behöver tillåta beteenden från signerade program genom att lägga till certifikatet i listan över tillåtna mappar.
  • Blockera användningen av ett visst signerat program i hela organisationen. Genom att skapa en indikator för att blockera certifikatet för programmet förhindrar Windows Defender AV filkörningar (blockering och åtgärd) och automatisk undersökning och åtgärd fungerar på samma sätt.

Innan du börjar

Det är viktigt att förstå följande krav innan du skapar indikatorer för certifikat:

  • Den här funktionen är tillgänglig om din organisation Windows Defender Antivirus skydd och Molnbaserat skydd är aktiverat. Mer information finns i Hantera molnbaserat skydd.

  • Klientversionen av Antimalware måste vara 4.18.1901.x eller senare.

  • Stöds på datorer med Windows 10, version 1703 eller senare, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 och Windows Server 2022.

    Anteckning

    Windows Server 2016 och Windows Server 2012 R2 måste introduceras med hjälp av anvisningarna i Onboard Windows-servrar för att den här funktionen ska fungera.

  • Definitionerna för skydd mot virus och hot måste vara uppdaterade.

  • Den här funktionen har för närvarande stöd för att ange . CER eller . PEM-filnamnstillägg.

Viktigt

  • Ett giltigt certifikat för blad är ett signeringscertifikat som har en giltig certifieringssökväg och måste vara länkat till den rotcertifikatutfärdare (CA) som Microsoft litar på. Alternativt kan ett anpassat (själv signerat) certifikat användas så länge det är betrott av klienten (Root CA-certifikat har installerats under den lokala datorns betrodda rotcertifikatutfärdare).
  • Underordnade eller överordnade till IOC-certifikaten (tillåt/blockera) ingår inte i IoC-funktionen tillåt/blockera, endast certifikat för löv stöds.
  • Microsoft-signerade certifikat kan inte blockeras.

Skapa en indikator för certifikat från inställningssidan:

Viktigt

Det kan ta upp till 3 timmar att skapa och ta bort ett certifikat-IoC.

  1. Välj Slutpunktsindikatorer (Inställningar > (under > Regler) i navigeringsfönstret.

  2. Välj Lägg till indikator.

  3. Ange följande information:

    • Indikator – Ange enhetens information och definiera indikatorns förfallotid.
    • Åtgärd – Ange vilken åtgärd som ska vidtas och ange en beskrivning.
    • Omfattning – Definiera datorgruppens omfattning.
  4. Granska informationen på fliken Sammanfattning och klicka sedan på Spara.