Skapa indikatorer
Gäller för:
Tips
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Indikator på komprometteringsmatchning (IOCS) är en viktig funktion i varje lösning för slutpunktsskydd. Den här funktionen ger SekOps möjlighet att ange en lista över indikatorer för identifiering och blockering (skydd och svar).
Skapa indikatorer som definierar identifiering, skydd och undantag för enheter. Du kan definiera vilken åtgärd som ska vidtas samt varaktigheten för när åtgärden ska tillämpas samt omfattningen av enhetsgruppen som den ska tillämpas på.
Källor som stöds för närvarande är molnidentifieringsmotorn i Defender för Endpoint, den automatiska undersöknings- och åtgärdsmotorn och slutpunktsskyddsmotorn (Microsoft Defender Antivirus).
Motor för molnidentifiering
Molnidentifieringsmotorn i Defender för Endpoint söker regelbundet igenom insamlade data och försöker matcha de indikatorer du anger. När det finns en matchning vidtas åtgärden enligt de inställningar du har angett för IoC.
Slutpunktsskyddsmotor
Samma lista över indikatorer används av agenten för förebyggande åtgärder. Om Microsoft Defender AV är den primära av-konfigurerade av-appen kommer de matchade indikatorerna att hanteras i enlighet med inställningarna. Om åtgärden till exempel är "Avisering och Blockera" förhindras filkörningar (blockering och åtgärd) av Microsoft Defender AV, och en motsvarande avisering höjs. Å andra sidan, om åtgärden är inställd på "Tillåt" kommer Microsoft Defender AV inte att identifiera eller blockera filen från att köras.
Automatiska undersöknings- och åtgärdsmotorn
Automatisk undersökning och åtgärd fungerar på samma sätt. Om en indikator är inställd på "Tillåt" ignorerar automatiserad undersökning och åtgärd en "dålig" bedömning för den. Om denna anges till "Block" behandlas automatisk undersökning och åtgärd som "dåligt".
Inställningen EnableFileHashComputation beräknar filhash för certifikatet och fil-IoC vid filsökningar. Det stöder IoC-tillämpning av hashtaggar och certifikat tillhör betrodda program. Den är samtidigt aktiverad och inaktiverad med inställningen tillåt eller blockera fil. EnableFileHashComputation aktiveras manuellt via grupprincip och är inaktiverat som standard.
När du skapar en ny indikator (IoC) är en eller flera av följande åtgärder tillgängliga:
- Tillåt – IoC-enheten kan köras på dina enheter.
- Granskning – en avisering utlöses när IoC körs.
- Varna – IoC visar en varning om att användaren kan kringgå (endast Defender för molnappar)
- Blockera körning – IoC kan inte köras.
- Blockera och åtgärda – IoC kan inte köras och en åtgärdsåtgärd kommer att tillämpas på IoC.
Anteckning
Om du använder varningsläge får användarna en varning om de öppnar en riskabel app. Uppmaningen blockerar dem inte från att använda appen, men du kan ange ett anpassat meddelande och länkar till en företagssida som beskriver rätt användning av programmet. Användare kan fortfarande kringgå varningen och fortsätta använda appen om de behöver det. Mer information finns i Styra appar som upptäcks av Microsoft Defender för Endpoint.
Du kan skapa en indikator för:
I tabellen nedan visas exakt vilka åtgärder som är tillgängliga per indikatortyp (IoC):
| IoC-typ | Tillgängliga åtgärder |
|---|---|
| Filer | Tillåt Granskning Blockera och åtgärda |
| IP-adresser | Tillåt Granskning Blockera körning |
| URL:er och domäner | Tillåt Granskning Blockera körning |
| Certifikat | Tillåt Blockera och åtgärda |
Funktionerna i befintliga IOCs ändras inte. Indikatorerna har dock bytt namn för att matcha de aktuella svarsåtgärderna som stöds:
- Svarsåtgärden "avisering endast" bytte namn till "granska" med inställningen Generera avisering aktiverad.
- "aviserings- och blockeringssvaret" bytte namn till "blockera och åtgärda" med den valfria aviseringsinställningen generera.
IoC API-schemat och hot-ID:n i förväg har uppdaterats för att passa namnet på IoC-svarsåtgärderna. API-schemat ändras för alla IoC-typer.
Anteckning
Det finns en gräns på 15 000 indikatorer per klientorganisation. Arkiv- och certifikatindikatorer blockerar inte undantag som definierats för Microsoft Defender Antivirus. Indikatorer stöds inte i Microsoft Defender Antivirus när det är i passivt läge.
Formatet för import av nya indikatorer (IOCS) har ändrats i enlighet med de nya uppdaterade inställningarna för åtgärder och aviseringar. Vi rekommenderar att du laddar ned det nya CSV-formatet som finns längst ned i importpanelen.