Skapa indikatorer för filer
Gäller för:
Tips
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Förhindra ytterligare spridning av en attack i organisationen genom att förbjuda potentiellt skadliga filer eller misstänkt skadlig kod. Om du vet en potentiellt skadlig körbar fil (PE) kan du blockera den. Den här åtgärden gör att den inte kan läsas, skrivas eller köras på enheter i organisationen.
Du kan skapa indikatorer för filer på tre olika sätt:
- Genom att skapa en indikator via inställningssidan
- Genom att skapa en sammanhangsberoende indikator med knappen lägg till indikator från filinformationssidan
- Genom att skapa en indikator via indikator-API:t
Innan du börjar
Det är viktigt att förstå följande förutsättningar innan du skapar indikatorer för filer:
Den här funktionen är tillgänglig om din organisation använder Microsoft Defender Antivirus (i aktivt läge) och Molnbaserat skydd är aktiverat. Mer information finns i Hantera molnbaserat skydd.
Klientversionen av Antimalware måste vara 4.18.1901.x eller senare. Se Månadsplattform och motorversioner
Stöds på enheter med Windows 10, version 1703 eller senare, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 och Windows Server 2022.
Anteckning
Windows Server 2016 och Windows Server 2012 R2 måste onboarded med hjälp av anvisningarna i Onboard Windows-servrar för att den här funktionen ska fungera.
För att börja blockera filer måste du först aktivera funktionen "blockera eller tillåt" i Inställningar.
Den här funktionen är utformad för att förhindra att misstänkt skadlig programvara (eller potentiellt skadliga filer) laddas ned från webben. Det har för närvarande stöd för bärbara körbara (PE) filer, .exe och .dll filer. Täckningen utökas med tiden.
Skapa en indikator för filer från inställningssidan
Välj Slutpunktsindikatorer Inställningar > > (under Regler) i navigeringsfönstret.
Välj fliken Filshashar.
Välj Lägg till indikator.
Ange följande information:
- Indikator – Ange enhetens information och definiera indikatorns förfallotid.
- Åtgärd – Ange vilken åtgärd som ska vidtas och ange en beskrivning.
- Omfattning – Definiera enhetens omfattning.
Granska informationen på fliken Sammanfattning och välj sedan Spara.
Skapa en sammanhangsberoende indikator från filinformationssidan
Ett av alternativen när du vidtar svarsåtgärder för en fil är att lägga till en indikator för filen. När du lägger till en indikatorhash för en fil kan du välja att avisering ska visas och blockera filen när en enhet i organisationen försöker köra den.
Filer som blockeras automatiskt av en indikator visas inte i filens Åtgärdscenter, men aviseringarna visas fortfarande i kön Aviseringar.
Offentlig förhandsgranskning: Avisering om filblockeringsåtgärder
Viktigt
Informationen i det här avsnittet (Public Preview for Automated investigation and remediation engine) avser en förhandsversionsprodukt som kan komma att ändras väsentligt innan den släpps till allmänheten. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
De aktuella åtgärderna som stöds för fil IOC tillåts, granska och blockera och åtgärda. När du har valt att blockera en fil kan du välja om en avisering ska utlösas. På så sätt kan du styra antalet aviseringar som visas för dina säkerhetsoperationer och se till att endast obligatoriska aviseringar höjs.
I Microsoft 365 Defender du till Se hur Inställningar indikatorer lägger > > till > ny filhash.
Välj att Blockera och åtgärda filen.
Välj om du vill Generera en avisering för filblockeringshändelsen och definiera aviseringsinställningarna:
- Aviseringsrubriken
- Aviserings allvarlighetsgrad
- Kategori
- Beskrivning
- Rekommenderade åtgärder

Viktigt
- Vanligtvis används filblock och tas bort inom några minuter, men det kan ta upp till 30 minuter.
- Om det finns IoC-principer i konflikt med samma tillämpningstyp och mål tillämpas principen för den säkrare hashtaggen. En SHA-256-IoC-princip för filshashar vinner över en SHA-1-IoC-princip för filshashar, som vinner över en MD5-IoC-princip för filshashar om hash-typerna definierar samma fil. Det gäller alltid oavsett enhetsgrupp.
- I alla andra fall, om IoC-principer i konflikt med samma tillämpningsmål tillämpas på alla enheter och på enhetens grupp, kommer principen i enhetsgruppen att vinna för en enhet.
- Om grupprincipen EnableFileHashComputation är inaktiverad minskar blockeringsprecisionen för filens IoC. Aktivering kan dock
EnableFileHashComputationpåverka enhetens prestanda. Till exempel kan kopiering av stora filer från en nätverksresurs till din lokala enhet, särskilt via en VPN-anslutning, påverka enhetens prestanda.
Mer information om grupprincipen EnableFileHashComputation finns i Defender CSP.
Offentlig förhandsversion: Avancerade sökfunktioner
Viktigt
Informationen i det här avsnittet (Public Preview for Automated investigation and remediation engine) avser förhandsversionsprodukt som kan komma att ändras väsentligt innan den släpps till allmänheten. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Du kan köra frågor mot svarsaktiviteten i förväg efter sökåtgärden. Nedan finns ett exempel på en förhandsfråga för sökning:
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"
Mer information om avancerad sökning finns i Proaktivt sök efter hot med avancerad sökning.
Nedan hittar du ytterligare trådnamn som kan användas i exempelfrågan ovan:
Filer:
- EUS:Win32/CustomEnterpriseBlock!cl
- EUS:Win32/CustomEnterpriseNoAlertBlock!cl
Certifikat:
- EUS:Win32/CustomCertEnterpriseBlock!cl
Åtgärdsaktiviteten kan också visas på enhetens tidslinje.
Hantering av policykonflikter
Konflikter i hanteringen av certifikat- och fil-IoC-policyer följer nedanstående ordning:
- Om filen inte tillåts av Windows Defender programkontrollen och AppLocker-framtvinga-principen/-principerna blockerar du
- Annars om filen tillåts av Microsoft Defender Antivirus och sedan Tillåt
- Annars om filen blockeras eller varnas av ett block eller varnar fil-IoC, blockera/varna
- Annars om filen tillåts av en IoC-princip för filen klickar du på Tillåt
- Annars om filen blockeras av ASR-regler, CFA, AV, SmartScreen och sedan Blockera
- Else Allow (skickar Windows Defender till & AppLocker-principen, inga IoC-regler gäller för den)
Om det finns IoC-principer i konflikt med samma tillämpningstyp och mål tillämpas principen för den säkrare hashen (vilket innebär längre). En SHA-256-IoC-princip med hash-hash i SHA-256 får till exempel över en MD5-IoC-princip för filshashar om båda hashtyperna definierar samma fil.
Varning
Hantering av policykonflikter för filer och certifikat skiljer sig från hantering av policykonflikter för domäner/URL:er/IP-adresser.
Hot och hantering av säkerhetsrisker blockera sårbara program använder fil-IoCs för tillämpning och följer den ordning som beskrivs ovan för hantering av konflikter.
Exempel
| Komponent | Tillämpning av komponenter | Filindikatoråtgärd | Resultat |
|---|---|---|---|
| Undantag för filsökväg för att minska attackytan | Tillåt | Blockera | Blockera |
| Minskningsregel för attackytan | Blockera | Tillåt | Tillåt |
| Windows Defender-programreglering | Tillåt | Blockera | Tillåt |
| Windows Defender-programreglering | Blockera | Tillåt | Blockera |
| Microsoft Defender Antivirus undantag | Tillåt | Blockera | Tillåt |