Správa indikátorů
Indikátor párování ohrožení zabezpečení (IoCS) je základní funkcí v každém řešení ochrany koncových bodů. Tato funkce poskytuje SecOps možnost nastavit seznam indikátorů detekce a blokování (prevence a reakce). Vytvořte indikátory, které definují detekci, prevenci a vyloučení entit. Můžete definovat akci, na kterou se má provést, dobu trvání použití akce a rozsah skupiny zařízení, na kterou se má použít.
Aktuálně podporované zdroje jsou modul detekce cloudu defenderu for Endpoint, automatizovaný modul pro šetření a nápravu a modul ochrany před koncovými body (AV v programu Microsoft Defender).
Modul pro detekci cloudu
Modul pro detekci cloudu v Defenderu for Endpoint pravidelně kontroluje shromážděná data a snaží se shodovat s nastavenými indikátory. Pokud dojde ke shodě, provede se akce podle vámi zadaných nastavení IoC.
Modul ochrany koncových bodů
Stejný seznam ukazatelů je dodržen agentem prevence. To znamená, že pokud je av v programu Microsoft Defender primárním av nakonfigurovaným, budou se shodovanými indikátory zpracovávat podle nastavení. Pokud je například akce Výstraha a blokování, av programu Microsoft Defender zabrání spuštění souborů (blokování a nápravě) a vyvolá se odpovídající výstraha. V opačném případě, pokud je akce nastavená na Povolit, av v programu Microsoft Defender nerozpozná ani nezablokuje spuštění souboru.
Automatizovaný modul pro šetření a nápravu
Automatizované šetření a náprava se chovají stejně. Pokud je indikátor nastavený na Povolit, automatizované šetření a náprava pro něj ignorují chybný verdikt. Pokud je nastavená hodnota "Blokovat", automatizované šetření a náprava se s ním budou považovat za "špatné".
Aktuální podporované akce:
Povolit
Pouze výstraha
Upozornění a blokování
Můžete vytvořit indikátor pro:
Soubory
IP adresy, adresy URL/domény
Certifikáty
Pro tenanta platí limit 15 000 ukazatelů.
Správa indikátorů
Správa indikátorů:
V navigačním podokně vyberte Koncové body nastavení > a pak v oblasti Pravidla vyberte Indikátory.
Vyberte kartu typu entity, který chcete spravovat.
Aktualizujte podrobnosti o indikátoru a vyberte tlačítko Uložit nebo vyberte tlačítko Odstranit, pokud chcete entitu ze seznamu odebrat.
Vytváření indikátorů pro soubory
Můžete zabránit dalšímu šíření útoků ve vaší organizaci tím, že zakážete potenciálně škodlivé soubory nebo podezřelý malware. Pokud znáte potenciálně škodlivý přenosný spustitelný soubor (PE), můžete ho zablokovat. Tato operace zabrání čtení, zápisu nebo spouštění na počítačích ve vaší organizaci.
Existují dva způsoby, jak vytvořit indikátory pro soubory:
Vytvořením ukazatele na stránce nastavení
Vytvořením kontextového indikátoru pomocí tlačítka přidat indikátor ze stránky s podrobnostmi souboru
Požadavky
Než vytvoříte indikátory pro soubory, měli byste porozumět následujícím požadavkem:
Tato funkce je dostupná, pokud vaše organizace používá antivirovou ochranu v programu Windows Defender a je povolená cloudová ochrana. Další informace najdete v tématu Správa cloudové ochrany.
Antimalwarová verze klienta musí být 4.18.1901.x nebo novější.
Podporuje se na počítačích s Windows 10 verze 1703 nebo novějším, Windows Serverem 2016 a 2019.
Pokud chcete začít blokovat soubory, musíte nejdřív zapnout funkci Blokovat nebo povolit v Nastavení.
Tato funkce je navržená tak, aby zabránila stažení podezřelého malwaru (nebo potenciálně škodlivých souborů) z webu. V současné době podporuje přenosné spustitelné soubory (PE), včetně .exe a .dll souborů. Pokrytí bude prodlouženo v průběhu času.
Důležité
Funkci povolení nebo blokování nelze provést u souborů, pokud klasifikace souboru existuje v mezipaměti zařízení před akcí povolit nebo blokovat. Důvěryhodné podepsané soubory se budou zacházet odlišně. Defender for Endpoint je optimalizovaný pro zpracování škodlivých souborů. Pokus o blokování důvěryhodných podepsaných souborů může v některých případech mít vliv na výkon. Bloky souborů se obvykle vynucují během několika minut, ale můžou trvat až 30 minut.
Vytvoření kontextového indikátoru ze stránky podrobností souboru
Jednou z možností při provádění akcí odpovědí na soubor je přidání indikátoru souboru. Když přidáte hodnotu hash indikátoru souboru, můžete zvolit, že chcete vytvořit upozornění a zablokovat soubor při každém pokusu o spuštění počítače ve vaší organizaci. Soubory automaticky blokované indikátorem se v Centru akcí souboru nezobrazí, ale výstrahy se budou dál zobrazovat ve frontě Upozornění.
Vytváření indikátorů pro IP adresy a adresy URL/domény
Program Defender for Endpoint může blokovat to, co Microsoft považuje za škodlivé IP adresy a adresy URL prostřednictvím filtru SmartScreen v programu Windows Defender pro prohlížeče Microsoft a prostřednictvím ochrany sítě pro prohlížeče, které nejsou microsoftem nebo voláním mimo prohlížeč.
Sadu dat analýzy hrozeb pro tuto službu spravuje Microsoft.
Vytvořením indikátorů pro IP adresy a adresy URL nebo domény teď můžete na základě vlastní analýzy hrozeb povolit nebo blokovat IP adresy, adresy URL nebo domény. Můžete to udělat na stránce nastavení nebo podle skupin počítačů, pokud považujete určité skupiny za ohrožené více nebo méně než ostatní. Zápis CIDR (Classless Inter-Domain Routing) pro IP adresy není podporovaný.
Požadavky
Před vytvořením indikátorů pro IPS, adresy URL nebo domény byste měli rozumět následujícím požadavkem:
Povolení adresy URL/IP adresy a blokování závisí na tom, že služba Network Protection komponenty Defender for Endpoint bude povolená v režimu blokování. Další informace o službě Network Protection a pokyny ke konfiguraci naleznete v tématu Povolení ochrany sítě.
Antimalwarová verze klienta musí být 4.18.1906.x nebo novější.
Podporováno na počítačích s Windows 10 verze 1709 nebo novějším.
Ujistěte se, že jsou v rozšířených funkcích nastavení Centrum zabezpečení v programu Microsoft Defender > > povoleny vlastní indikátory sítě. Další informace naleznete v tématu Pokročilé funkce.
Do seznamu ukazatelů je možné přidat pouze externí IP adresy. Indikátory nelze vytvořit pro interní IP adresy. Pro scénáře webové ochrany doporučujeme používat integrované funkce v Microsoft Edgi. Microsoft Edge používá k kontrole síťového provozu síťovou ochranu a umožňuje blokování protokolů TCP, HTTP a HTTPS (HTTPS). U všech ostatních procesů používají scénáře ochrany webu k kontrole a vynucování ochranu sítě:
Ip adresa se podporuje pro všechny tři protokoly.
Podporují se jenom jednotlivé IP adresy (žádné bloky CIDR ani rozsahy IP adres).
Šifrované adresy URL (úplná cesta) je možné blokovat jenom v prohlížečích první strany.
Šifrované adresy URL (jenom plně kvalifikovaný název domény) je možné blokovat mimo prohlížeče první strany.
Bloky úplné cesty URL lze použít na úrovni domény a všechny nešifrované adresy URL.
Mezi dobou, kdy se akce provede, a zablokovanou adresou URL a zablokovanou IP adresou může být až 2 hodiny latence (obvykle méně).
Vytvoření indikátoru pro IP adresy, adresy URL nebo domény
V navigačním podokně vyberte Indikátory nastavení>.
Vyberte IP adresy nebo adresy URL nebo kartu Domény.
Vyberte Přidat položku.
Zadejte následující podrobnosti:
Ukazatel – Zadejte podrobnosti entity a definujte vypršení platnosti ukazatele.
Akce – Zadejte akci, která se má provést, a zadejte popis.
Rozsah – Definujte obor skupiny počítačů.
Zkontrolujte podrobnosti na kartě Souhrn a pak vyberte Uložit.
Vytváření indikátorů na základě certifikátů
Můžete vytvořit indikátory pro certifikáty. Mezi běžné případy použití patří:
Scénáře, kdy potřebujete nasadit blokující technologie, jako jsou pravidla redukce prostoru útoku a řízený přístup ke složce, ale potřebujete povolit chování podepsaných aplikací přidáním certifikátu do seznamu povolených.
Blokování používání konkrétní podepsané aplikace ve vaší organizaci Vytvořením indikátoru, který zablokuje certifikát aplikace, zabrání av programu Windows Defender spuštění souborů (blokování a nápravě) a automatizované šetření a náprava se budou chovat stejně.
Požadavky
Před vytvořením indikátorů pro certifikáty byste měli rozumět následujícím požadavkům:
Tato funkce je dostupná, pokud vaše organizace používá antivirovou ochranu v programu Windows Defender a je povolená cloudová ochrana. Další informace najdete v tématu Správa cloudové ochrany.
Antimalwarová verze klienta musí být 4.18.1901.x nebo novější.
Podporováno na počítačích s Windows 10 verze 1703 nebo novějším, Windows Serverem 2016 a 2019.
Definice ochrany před viry a hrozbami musí být aktuální.
Tato funkce aktuálně podporuje zadávání . CER nebo . PEM přípony souborů.
Platný listový certifikát je podpisový certifikát s platnou certifikační cestou a musí být zřetězený s kořenovou certifikační autoritou (CA) důvěryhodnou společností Microsoft. Případně je možné použít vlastní certifikát podepsaný svým držitelem (self-signed), pokud je klient důvěryhodný (kořenový certifikát certifikační autority je nainstalován v rámci místního počítače Důvěryhodné kořenové certifikační autority). Podřízené objekty nebo rodiče vstupně-výstupních operací s povoleným nebo blokem certifikátů nejsou zahrnuté do funkcí allow/block IoC; Podporují se pouze listové certifikáty. Certifikáty podepsané společností Microsoft nelze blokovat.
Vytvoření a odebrání certifikátu IoC může trvat až 3 hodiny.
Vytvoření indikátoru pro certifikáty:
Na portálu Microsoft Defender vyberte Indikátory >koncových bodů nastavení>.
Vyberte kartu Certifikát.
Vyberte + Přidat položku.
Zadejte následující podrobnosti:
Ukazatel – Zadejte podrobnosti entity a definujte vypršení platnosti ukazatele.
Akce – Zadejte akci, která se má provést, a zadejte popis.
Rozsah – Definujte obor skupiny počítačů.
Zkontrolujte podrobnosti na kartě Souhrn a pak vyberte Uložit.
Import seznamu ioC
Můžete také nahrát soubor CSV, který definuje atributy indikátorů, akci, kterou chcete provést, a další podrobnosti.
Stáhněte si ukázkový sdílený svazek clusteru a seznamte se s podporovanými atributy sloupců.
Na portálu Microsoft Defender vyberte Indikátory >koncových bodů nastavení>.
Vyberte kartu typu entity, pro kterou chcete importovat indikátory.
Vyberte importovat > soubor.
Vyberte Importovat. Udělejte to pro všechny soubory, které chcete importovat.
Vyberte Hotovo.
Následující tabulka uvádí podporované parametry.
| Parametr | Typ | Popis |
|---|---|---|
| indicatorType | Výčet | Typ ukazatele Možné hodnoty jsou: "FileSha1", "FileSha256", "IpAddress", "DomainName" a "Url". Požaduje se |
| indicatorValue | String | Identita entity indikátoru Požaduje se |
| action | Výčet | Akce, která se provede, pokud bude indikátor zjištěn v organizaci. Možné hodnoty jsou: "Alert", "AlertAndBlock" a "Allowed". Požaduje se |
| title | String | Název upozornění ukazatele Požadováno |
| description | String | Popis ukazatele Požaduje se |
| expirationTime | DateTimeOffset | Doba vypršení platnosti ukazatele v následujícím formátu RRRR-MM-DDTHH:MM:SS.0Z. Volitelné |
| závažnost | Výčet | Závažnost ukazatele. Možné hodnoty jsou: "Informational", "Low", "Medium" a "High". Volitelné |
| recommendedActions | String | Doporučené akce upozornění na indikátor TI Volitelné |
| rbacGroupNames | String | Čárkami oddělený seznam názvů skupin RBAC, na který se ukazatel použije. Volitelné |
| category | String | Kategorie výstrahy Mezi příklady patří: Spuštění a přístup k přihlašovacím údajům. Volitelné |
| Techniky MITRE | String | KÓD/ID technik MITRE (oddělené čárkami). Další informace najdete v tématu Taktika Enterprise. Volitelné Je doporučeno přidat hodnotu v kategorii, pokud technika MITRE. |