Skapa indikatorer

Gäller för:

Tips

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Indikator för kompromettering (IoCs) är en viktig funktion i varje slutpunktsskyddslösning. Den här funktionen ger SecOps möjlighet att ange en lista över indikatorer för identifiering och blockering (förebyggande och svar).

Skapa indikatorer som definierar identifiering, förebyggande och exkludering av entiteter. Du kan definiera vilken åtgärd som ska vidtas samt varaktigheten för när åtgärden ska tillämpas samt omfånget för den enhetsgrupp som den ska tillämpas på.

Källor som stöds för närvarande är molnidentifieringsmotorn i Defender för Endpoint, motorn för automatiserad undersökning och reparation samt motorn för slutpunktsskydd (Microsoft Defender Antivirus).

Molnidentifieringsmotor

Molnidentifieringsmotorn i Defender för Endpoint söker regelbundet igenom insamlade data och försöker matcha de indikatorer som du anger. När det finns en matchning vidtas åtgärder enligt de inställningar som du har angett för IoC.

Motor för slutpunktsskydd

Samma lista över indikatorer respekteras av skyddsagenten. Om Microsoft Defender AV är den primära AV-konfigurationen behandlas de matchade indikatorerna enligt inställningarna. Om åtgärden till exempel är "Avisering och blockera" förhindrar Microsoft Defender AV filkörningar (blockera och åtgärda) och en motsvarande avisering aktiveras. Å andra sidan, om åtgärden är inställd på "Tillåt" kommer Microsoft Defender AV inte att identifiera eller blockera filen från att köras.

Automatiserad undersöknings- och reparationsmotor

Den automatiserade undersökningen och reparationen fungerar på samma sätt. Om en indikator är inställd på "Tillåt" ignorerar automatiserad undersökning och reparation en "felaktig" bedömning för den. Om värdet är "Blockera" behandlar automatiserad undersökning och reparation det som "dåligt".

Inställningen EnableFileHashComputation beräknar filhashen för certifikatet och fil-IoC under filgenomsökningar. Den stöder IoC-tillämpning av hashvärden och certifikat som tillhör betrodda program. Den aktiveras samtidigt och inaktiveras med inställningen tillåt eller blockera fil. EnableFileHashComputation aktiveras manuellt via grupprincip och inaktiveras som standard.

När du skapar en ny indikator (IoC) är en eller flera av följande åtgärder tillgängliga:

  • Tillåt – IoC tillåts att köras på dina enheter.
  • Granskning – en avisering utlöses när IoC körs.
  • Varna – IoC uppmanar till en varning om att användaren kan kringgå
  • Blockera körning – IoC får inte köras.
  • Blockera och åtgärda – IoC får inte köras och en reparationsåtgärd tillämpas på IoC.

Anteckning

När du använder läget Varna får användarna en varning om de öppnar en riskfylld app. Uppmaningen blockerar dem inte från att använda appen, men du kan ange ett anpassat meddelande och länkar till en företagssida som beskriver lämplig användning av appen. Användarna kan fortfarande kringgå varningen och fortsätta att använda appen om de behöver det. Mer information finns i Styra appar som identifieras av Microsoft Defender för Endpoint.

Du kan skapa en indikator för:

Tabellen nedan visar exakt vilka åtgärder som är tillgängliga per indikatortyp (IoC):

IoC-typ Tillgängliga åtgärder
Filer Tillåt
Granskning
Blockera och åtgärda
IP-adresser Tillåt
Granskning
Blockera körning
Varna
URL:er och domäner Tillåt
Granskning
Blockera körning
Varna
Certifikat Tillåt
Blockera och åtgärda

Funktionerna i befintliga IoCs kommer inte att ändras. Indikatorerna har dock bytt namn för att matcha de aktuella svarsåtgärder som stöds:

  • Svarsåtgärden "endast avisering" har bytt namn till "granskning" med inställningen generera avisering aktiverad.
  • Svaret "avisering och blockering" har bytt namn till "blockera och åtgärda" med den valfria inställningen generera avisering.

IoC API-schemat och hot-ID:n i förväg har uppdaterats så att de överensstämmer med namnbytet av IoC-svarsåtgärderna. API-schemaändringarna gäller för alla IoC-typer.

Anteckning

Det finns en gräns på 15 000 indikatorer per klientorganisation. Fil- och certifikatindikatorer blockerar inte undantag som definierats för Microsoft Defender Antivirus. Indikatorer stöds inte i Microsoft Defender Antivirus när de är i passivt läge.

Formatet för att importera nya indikatorer (IoCs) har ändrats enligt de nya uppdaterade åtgärderna och aviseringsinställningarna. Vi rekommenderar att du laddar ned det nya CSV-formatet som finns längst ned på importpanelen.