Dosyalar için göstergeler oluşturun

Şunlar için geçerlidir:

• Microsoft Defender XDR
• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2
• İş için Microsoft Defender

İpucu

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Kötü amaçlı olabilecek dosyaları veya şüpheli kötü amaçlı yazılımları yasaklayarak kuruluşunuzda bir saldırının daha fazla yayılmasını önleyin. Kötü amaçlı olabilecek bir taşınabilir yürütülebilir dosya (PE) biliyorsanız, dosyayı engelleyebilirsiniz. Bu işlem, kuruluşunuzdaki cihazlarda okunmasını, yazılmasını veya yürütülmesini engeller.

Dosyalar için gösterge oluşturmanın üç yolu vardır:

• Ayarlar sayfasından bir gösterge oluşturarak
• Dosya ayrıntıları sayfasındaki gösterge ekle düğmesini kullanarak bağlamsal bir gösterge oluşturarak
• Gösterge API'sini kullanarak bir gösterge oluşturarak

Not

Bu özelliğin Windows Server 2016 ve Windows Server 2012 R2 üzerinde çalışması için bu cihazların Windows sunucularını ekleme yönergeleri kullanılarak eklenmesi gerekir. İzin Ver, Engelle ve Düzelt eylemlerine sahip özel dosya göstergeleri artık macOS ve Linux için geliştirilmiş kötü amaçlı yazılımdan koruma altyapısı özelliklerinde de kullanılabilir.

Başlamadan önce

Dosyalar için göstergeler oluşturmadan önce aşağıdaki önkoşulları anlayın:

• Kuruluşunuz Microsoft Defender Virüsten Koruma kullanıyorsa (etkin modda) bu özellik kullanılabilir

• Davranış İzleme etkinleştirildi

• Bulut tabanlı koruma açıktır.

• Cloud Protection ağ bağlantısı işlevseldir

• Kötü amaçlı yazılımdan koruma istemcisi sürümü veya üzeri olmalıdır 4.18.1901.x . Bkz. Aylık platform ve altyapı sürümleri

• Bu özellik Windows 10, sürüm 1703 veya üzeri, Windows 11, Windows Server 2012 R2, Windows Server 2016 veya üzeri, Windows Server 2019 veya Windows Server 2022 çalıştıran cihazlarda desteklenir.

• içindeComputer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\, dosya karması hesaplama özelliği Etkin olarak ayarlanmalıdır

• Dosyaları engellemeye başlamak için Ayarlar'da "engelle veya izin ver" özelliğini açın (Microsoft Defender portalındaAyarlar>Uç Noktaları>Genel>Gelişmiş özellikler>dosyaya izin ver veya dosyayı engelle'ye gidin).

Bu özellik, şüpheli kötü amaçlı yazılımların (veya kötü amaçlı olabilecek dosyaların) web'den indirilmesini önlemek için tasarlanmıştır. Şu anda ve .dll dosyaları dahil taşınabilir .exe yürütülebilir (PE) dosyaları destekler. Kapsam zaman içinde uzatılır.

Önemli

Uç Nokta için Defender Plan 1 ve İş için Defender'da, bir dosyayı engellemek veya dosyaya izin vermek için bir gösterge oluşturabilirsiniz. İş için Defender'da göstergeniz ortamınıza uygulanır ve kapsamı belirli cihazlara eklenemez.

Ayarlar sayfasından dosyalar için bir gösterge İçerik Oluşturucu

1. Gezinti bölmesinde Ayarlar>Uç Noktaları>Göstergeleri'ni seçin ( Kurallar'ın altında).

2. Dosya karmaları sekmesini seçin.

3. Öğe ekle'yi seçin.

4. Aşağıdaki ayrıntıları belirtin:

   • Gösterge: Varlık ayrıntılarını belirtin ve göstergenin süre sonunu tanımlayın.
   • Eylem: Gerçekleştirilecek eylemi belirtin ve bir açıklama sağlayın.
   • Kapsam: Cihaz grubunun kapsamını tanımlayın (kapsam belirleme , İş için Defender'da kullanılamaz).

   Not

   Cihaz Grubu oluşturma hem Uç Nokta için Defender Plan 1 hem de Plan 2'de desteklenir

5. Özet sekmesinde ayrıntıları gözden geçirin ve Kaydet'i seçin.

Dosya ayrıntıları sayfasından bağlamsal bir gösterge İçerik Oluşturucu

Bir dosyada yanıt eylemleri gerçekleştirirken seçeneklerden biri, dosya için bir gösterge eklemektir. Bir dosya için gösterge karması eklediğinizde, kuruluşunuzdaki bir cihaz çalıştırmayı denediğinde uyarı oluşturmayı ve dosyayı engellemeyi seçebilirsiniz.

Bir gösterge tarafından otomatik olarak engellenen dosyalar dosyanın İşlem merkezinde gösterilmez, ancak uyarılar Uyarılar kuyruğunda görünmeye devam eder.

Dosya engelleme eylemleriyle ilgili uyarı (önizleme)

Önemli

Bu bölümdeki bilgiler (Otomatik araştırma ve düzeltme altyapısı için Genel Önizleme), ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen yayın öncesi ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Dosya IOC için desteklenen geçerli eylemler izin verme, denetleme ve engelleme ve düzeltmedir. Bir dosyayı engellemeyi seçtikten sonra uyarı tetiklemenin gerekip gerekmediğini seçebilirsiniz. Bu şekilde, güvenlik operasyonları ekiplerinize gelen uyarı sayısını denetleyebilecek ve yalnızca gerekli uyarıların tetiklenmiş olduğundan emin olabilirsiniz.

Microsoft Defender XDR AyarlarUç Noktaları>Göstergeleri>Yeni Dosya Karması Ekle'ye> gidin.

Engelle'yi seçin ve dosyayı düzeltin.

Dosya bloğu olayında uyarı oluştur seçeneğini belirleyin ve uyarı ayarlarını tanımlayın:

• Uyarı başlığı
• Uyarı önem derecesi
• Kategori
• Açıklama
• Önerilen eylemler

Önemli

• Genellikle, dosya blokları birkaç dakika içinde zorlanır ve kaldırılır, ancak 30 dakika kadar sürebilir.
• Aynı zorlama türüne ve hedefe sahip çakışan dosya IoC ilkeleri varsa, daha güvenli karma ilkesi uygulanır. SHA-256 dosya karması IoC ilkesi SHA-1 dosya karması IoC ilkesine sahip olur ve karma türleri aynı dosyayı tanımlarsa MD5 dosya karma IoC ilkesini kazanır. Cihaz grubundan bağımsız olarak bu her zaman geçerlidir.
• Diğer tüm durumlarda, aynı zorlama hedefine sahip çakışan dosya IoC ilkeleri tüm cihazlara ve cihazın grubuna uygulanırsa, cihaz için cihaz grubundaki ilke kazanır.
• EnableFileHashComputation grup ilkesi devre dışı bırakılırsa, IoC dosyasının engelleme doğruluğu azalır. Ancak etkinleştirme EnableFileHashComputation işlemi cihaz performansını etkileyebilir. Örneğin, büyük dosyaları bir ağ paylaşımından yerel cihazınıza, özellikle de bir VPN bağlantısı üzerinden kopyalamanın cihaz performansı üzerinde bir etkisi olabilir.

EnableFileHashComputation grup ilkesi hakkında daha fazla bilgi için bkz. Defender CSP.

Bu özelliği Linux ve macOS üzerinde Uç Nokta için Defender'da yapılandırma hakkında daha fazla bilgi için bkz. Linux'ta dosya karması hesaplama özelliğini yapılandırma ve macOS'ta dosya karması hesaplama özelliğini yapılandırma.

Gelişmiş tehdit avcılığı özellikleri (önizleme)

Önemli

Bu bölümdeki bilgiler (Otomatik araştırma ve düzeltme altyapısı için Genel Önizleme), ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen yayın öncesi ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Şu anda önizleme aşamasında olan yanıt eylemi etkinliğini önceden avcılık için sorgulayabilirsiniz. Aşağıda örnek bir gelişmiş avcılık sorgusu verilmiştir:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Gelişmiş avcılık hakkında daha fazla bilgi için bkz. Gelişmiş avcılık ile tehditleri proaktif olarak avlama.

Aşağıda, yukarıdan örnek sorguda kullanılabilecek diğer iş parçacığı adları verilmişti:

Dosyaları:

• EUS:Win32/CustomEnterpriseBlock!cl
• EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Sertifika:

• EUS:Win32/CustomCertEnterpriseBlock!cl

Yanıt eylemi etkinliği cihaz zaman çizelgesinde de görüntülenebilir.

İlke çakışması işleme

Sertifika ve Dosya IoC ilke işleme çakışmaları şu sırayı izler:

1. Dosyaya Uygulama Denetimi ve AppLocker zorlama modu ilkeleri Windows Defender izin verilmiyorsa Engelle'yi seçin.
2. Aksi takdirde, dosyaya virüsten koruma dışlamaları Microsoft Defender izin veriliyorsa İzin Ver'i seçin.
3. Aksi takdirde, dosya bir blok tarafından engellenirse veya uyarılırsa ya da dosya ICS'lerini uyarırsa Engelle/Uyar'ı seçin.
4. Aksi takdirde, dosya SmartScreen tarafından engellenmişse Engelle'yi seçin.
5. Aksi takdirde, dosyaya izin verilen bir dosya IoC ilkesi tarafından izin veriliyorsa İzin Ver'i seçin.
6. Aksi takdirde, dosya saldırı yüzeyi azaltma kuralları, denetimli klasör erişimi veya virüsten koruma tarafından engellenirse Engelle'yi seçin.
7. Değilse, İzin Ver (Uygulama Denetimi & AppLocker ilkesini Windows Defender geçirir; buna ioC kuralı uygulanmaz).

Not

Microsoft Defender Virüsten Koruma'nın Engelle olarak ayarlandığı, ancak dosya karması veya sertifikaları için Uç Nokta için Defender göstergelerinin İzin Ver olarak ayarlandığı durumlarda, ilke varsayılan olarak İzin Ver olarak ayarlanır.

Aynı zorlama türüne ve hedefe sahip çakışan dosya IoC ilkeleri varsa, daha güvenli (daha uzun anlamına gelir) karması ilkesi uygulanır. Örneğin, her iki karma türü de aynı dosyayı tanımlıyorsa SHA-256 dosya karması IoC ilkesi MD5 dosya karması IoC ilkesinden önceliklidir.

Uyarı

Dosyalar ve sertifikalar için ilke çakışması işleme, etki alanları/URL'ler/IP adresleri için ilke çakışması işlemesinden farklıdır.

Microsoft Defender Güvenlik Açığı Yönetimi'ın engellenen uygulama özellikleri zorlama için dosya ICS'lerini kullanır ve bu bölümün başlarında açıklanan çakışma işleme sırasını izler.

Örnekler

Bileşen	Bileşen zorlama	Dosya göstergesi Eylemi	Sonuç
Saldırı yüzeyi azaltma dosyası yolu dışlaması	İzin ver	Engelle	Engelle
Saldırı yüzeyi azaltma kuralı	Engelle	İzin ver	İzin ver
Uygulama Denetimini Windows Defender	İzin ver	Engelle	İzin ver
Uygulama Denetimini Windows Defender	Engelle	İzin ver	Engelle
Microsoft Defender Virüsten Koruma hariç tutma	İzin ver	Engelle	İzin ver

Ayrıca bkz.

• Göstergeleri oluşturun

• URL/etki alanı ve IP’ler için göstergeler oluşturun

• Sertifikaları temel alan İçerik Oluşturucu göstergeleri

• Göstergeleri yönetin

• Uç Nokta için Microsoft Defender ve Microsoft Defender Virüsten Koruma için Dışlamalar

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.