建立指示器

適用於:

提示

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

(IoCs) 相符的指示器是每個 endpoint protection 解決方案中的基本功能。 這項功能可讓 SecOps 設定標記清單以進行偵測,以及封鎖封鎖 (防護和回應) 。

建立指示器,以定義實體的偵測、預防和排除。 您可以定義要採取的動作,以及要套用動作的時間和裝置群組的範圍,以及要套用的動作。

目前支援的來源是用於 Defender for Endpoint 的雲端偵測引擎、自動調查和修正引擎,以及端點防護引擎 (Microsoft Defender 防毒軟體) 。

雲端偵測引擎
Defender for Endpoint 的雲端偵測引擎會定期掃描收集的資料,並嘗試符合您設定的指示器。 當有相符時,會根據您為 IoC 所指定的設定採取動作。

Endpoint 防護引擎
預防代理程式會接受相同的指示器清單。 也就是說,如果 Microsoft Defender AV 是設定的主要 AV,就會依照設定來處理相符的指示器。 例如,如果動作為 "警示和封鎖",Microsoft Defender AV 會使檔案執行 (區塊和修正) ,且會引發對應的警示。 另一方面,如果動作設定為 "Allow",Microsoft Defender AV 將不會偵測到或封鎖檔案執行。

自動化調查和修正引擎
自動調查和修正行為相同。 如果指示器設定為 "Allow",則自動調查和修正功能將會忽略對它的「不良」判定。 如果設為 "封鎖",自動化調查和修正會將其視為「不良」。

注意

EnableFileHashComputation 設定會在檔掃描期間,計算憑證和檔案 IoC 的檔案雜湊。 它支援對散列和證書的強制執行屬於信任的應用程式。 它會同時使用 allow 或 block file 設定進行啟用與停用。 EnableFileHashComputation 是透過群組原則手動啟用,且預設為停用。

目前支援的動作如下:

  • 允許
  • 僅警示
  • 警示和封鎖

您可以為下列專案建立指示器:

注意

每個租使用者的指示器限制為15000。 檔案和憑證指示器不會封鎖為 Microsoft Defender 防毒軟體定義的排除專案。 Microsoft Defender 防毒軟體在被動模式中時,不支援指示器。