Skapa indikatorerCreate indicators

Gäller för:Applies to:

Tips

Vill du uppleva Microsoft Defender för Slutpunkt?Want to experience Microsoft Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

Indikator på kompromettering (IoCs) är en viktig funktion i varje lösning för slutpunktsskydd.Indicator of compromise (IoCs) matching is an essential feature in every endpoint protection solution. Den här funktionen ger SekOps möjlighet att ange en lista över indikatorer för identifiering och blockering (skydd och svar).This capability gives SecOps the ability to set a list of indicators for detection and for blocking (prevention and response).

Skapa indikatorer som definierar identifiering, skydd och undantag för enheter.Create indicators that define the detection, prevention, and exclusion of entities. Du kan definiera vilken åtgärd som ska vidtas samt varaktigheten för när åtgärden ska tillämpas samt omfattningen av enhetsgruppen som den ska tillämpas på.You can define the action to be taken as well as the duration for when to apply the action as well as the scope of the device group to apply it to.

Källor som stöds för närvarande är molnidentifieringsmotorn i Defender för Endpoint, den automatiska undersöknings- och åtgärdsmotorn och slutpunktsskyddsmotorn (Microsoft Defender Antivirus).Currently supported sources are the cloud detection engine of Defender for Endpoint, the automated investigation and remediation engine, and the endpoint prevention engine (Microsoft Defender Antivirus).

Motor för molnidentifieringCloud detection engine
Molnidentifieringsmotorn i Defender för Endpoint söker regelbundet igenom insamlade data och försöker matcha de indikatorer du anger.The cloud detection engine of Defender for Endpoint regularly scans collected data and tries to match the indicators you set. När det finns en matchning vidtas åtgärden enligt de inställningar du har angett för IoC.When there is a match, action will be taken according to the settings you specified for the IoC.

SlutpunktsskyddsmotorEndpoint prevention engine
Samma lista över indikatorer används av agenten för förebyggande åtgärder.The same list of indicators is honored by the prevention agent. Om Microsoft Defender AV är den primära av-konfigurerade av-appen kommer de matchade indikatorerna att hanteras i enlighet med inställningarna.Meaning, if Microsoft Defender AV is the primary AV configured, the matched indicators will be treated according to the settings. Om åtgärden till exempel är "Avisering och Blockera" förhindras filkörningar (blockering och åtgärd) av Microsoft Defender AV, och en motsvarande avisering höjs.For example, if the action is "Alert and Block", Microsoft Defender AV will prevent file executions (block and remediate) and a corresponding alert will be raised. Å andra sidan, om åtgärden är inställd på "Tillåt" kommer Microsoft Defender AV inte att identifiera eller blockera filen från att köras.On the other hand, if the Action is set to "Allow", Microsoft Defender AV will not detect nor block the file from being run.

Motor för automatisk undersökning och åtgärderAutomated investigation and remediation engine
Automatisk undersökning och åtgärd fungerar på samma sätt.The automated investigation and remediation behave the same. Om en indikator är inställd på "Tillåt" ignorerar automatiserad undersökning och åtgärd en "dålig" bedömning för den.If an indicator is set to "Allow", Automated investigation and remediation will ignore a "bad" verdict for it. Om denna anges till "Block" behandlas automatisk undersökning och åtgärd som "dåligt".If set to "Block", Automated investigation and remediation will treat it as "bad".

Anteckning

Inställningen EnableFileHashComputation beräknar filhash för certifikatet och fil-IoC vid filsökningar.The EnableFileHashComputation setting computes the file hash for the cert and file IoC during file scans. Den stöder IoC-tillämpning av hashtaggar och certifikat tillhör betrodda program.It supports IoC enforcement of hashes and certs belong to trusted applications. Den aktiveras samtidigt som den inaktiveras med inställningen tillåts eller blockeras.It will be concurrently enabled and disabled with the allow or block file setting. EnableFileHashComputation aktiveras manuellt via grupprincip och är inaktiverat som standard.EnableFileHashComputation is enabled manually through Group Policy, and is disabled by default.

De aktuella åtgärderna som stöds är:The current supported actions are:

  • TillåtAllow
  • Endast aviseringAlert only
  • Avisering och blockeringAlert and block

Du kan skapa en indikator för:You can create an indicator for:

Anteckning

Det finns en gräns på 15 000 indikatorer per klientorganisation.There is a limit of 15,000 indicators per tenant. Arkiv- och certifikatindikatorer blockerar inte undantag som definierats för Microsoft Defender Antivirus.File and certificate indicators do not block exclusions defined for Microsoft Defender Antivirus. Indikatorer stöds inte i Microsoft Defender Antivirus när det är i passivt läge.Indicators are not supported in Microsoft Defender Antivirus when it is in passive mode.