Erstellen von Indikatoren für Dateien

Gilt für:

• Microsoft Defender XDR
• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender für Unternehmen

Tipp

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Wichtig

In Defender für Endpunkt Plan 1 und Defender for Business können Sie einen Indikator erstellen, um eine Datei zu blockieren oder zuzulassen. In Defender for Business wird Ihr Indikator in Ihrer gesamten Umgebung angewendet und kann nicht auf bestimmte Geräte festgelegt werden.

Hinweis

Damit dieses Feature auf Windows Server 2016 und Windows Server 2012 R2 funktioniert, müssen diese Geräte mithilfe der Anweisungen unter Onboarding von Windows-Servern integriert werden. Benutzerdefinierte Dateiindikatoren mit den Aktionen Zulassen, Blockieren und Korrigieren sind jetzt auch in den erweiterten Antischadsoftware-Engine-Funktionen für macOS und Linux verfügbar.

Dateiindikatoren verhindern die weitere Verbreitung eines Angriffs in Ihrem organization, indem potenziell schädliche Dateien oder vermutete Schadsoftware verboten werden. Wenn Sie eine potenziell schädliche PE-Datei (Portable Executable) kennen, können Sie sie blockieren. Dieser Vorgang verhindert, dass er auf Geräten in Ihrem organization gelesen, geschrieben oder ausgeführt wird.

Es gibt drei Möglichkeiten, Indikatoren für Dateien zu erstellen:

• Erstellen eines Indikators über die Einstellungsseite
• Erstellen eines kontextbezogenen Indikators mithilfe der Schaltfläche "Indikator hinzufügen" auf der Dateidetailseite
• Durch Erstellen eines Indikators über die Indikator-API

Bevor Sie beginnen

Machen Sie sich mit den folgenden Voraussetzungen vertraut, bevor Sie Indikatoren für Dateien erstellen:

• Die Verhaltensüberwachung ist aktiviert.

• Der cloudbasierte Schutz ist aktiviert.

• Cloud Protection-Netzwerkkonnektivität ist funktionsfähig

• Um mit dem Blockieren von Dateien zu beginnen, aktivieren Sie das Feature "Blockieren oder Zulassen" in den Einstellungen (wechseln Sie im Microsoft Defender-Portal zu Einstellungen>Endpunkte>Allgemein>Erweiterte Features>Zulassen oder Blockieren von Dateien).

Windows-Voraussetzungen

• Dieses Feature ist verfügbar, wenn Ihr organization Microsoft Defender Antivirus (im aktiven Modus) verwendet.

• Die Antischadsoftware-Clientversion muss oder höher sein 4.18.1901.x . Siehe Monatliche Plattform- und Engine-Versionen

• Dieses Feature wird auf Geräten unterstützt, auf denen Windows 10, Version 1703 oder höher, Windows 11, Windows Server 2012 R2, Windows Server 2016 oder höher, Windows Server 2019 oder Windows Server 2022 ausgeführt wird.

• Die Dateihashberechnung wird aktiviert, indem auf Aktiviert festgelegt Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\ wird.

Hinweis

Dateiindikatoren unterstützen portable ausführbare Dateien (PE), einschließlich .exe und .dll nur Dateien.

macOS-Voraussetzungen

• Die Dateihashberechnung wird durch Ausführen von aktiviert. mdatp config enable-file-hash-computation --value enabled

Linux-Voraussetzungen

• Verfügbar in Defender für Endpunkt Version 101.85.27 oder höher.

• Die Dateihashberechnung ist über das Portal oder im verwalteten JSON-Code aktiviert.

Erstellen eines Indikators für Dateien über die Einstellungsseite

1. Wählen Sie im Navigationsbereich Einstellungen>Endpunktindikatoren>(unterRegeln) aus.

2. Wählen Sie die Registerkarte Dateihashes aus .

3. Wählen Sie Element hinzufügen aus.

4. Geben Sie die folgenden Details an:

   • Indikator: Geben Sie die Entitätsdetails an, und definieren Sie den Ablauf des Indikators.
   • Aktion: Geben Sie die auszuführende Aktion an, und geben Sie eine Beschreibung an.
   • Bereich: Definieren Sie den Bereich der Gerätegruppe (Bereich ist in Defender for Business nicht verfügbar).

   Hinweis

   Die Erstellung von Gerätegruppen wird sowohl in Defender für Endpunkt Plan 1 als auch in Plan 2 unterstützt.

5. Überprüfen Sie die Details auf der Registerkarte Zusammenfassung, und wählen Sie dann Speichern aus.

Erstellen eines kontextbezogenen Indikators auf der Seite mit den Dateidetails

Eine der Optionen beim Ausführen von Antwortaktionen für eine Datei ist das Hinzufügen eines Indikators für die Datei. Wenn Sie einen Indikatorhash für eine Datei hinzufügen, können Sie eine Warnung auslösen und die Datei blockieren, wenn ein Gerät in Ihrem organization versucht, sie auszuführen.

Dateien, die automatisch durch einen Indikator blockiert werden, werden nicht im Info-Center der Datei angezeigt, aber die Warnungen sind weiterhin in der Warnungswarteschlange sichtbar.

Warnungen bei Dateiblockierungsaktionen (Vorschau)

Wichtig

Die Informationen in diesem Abschnitt (Public Preview for Automated Investigation and Remediation Engine) beziehen sich auf das Vorabrelease-Produkt, das vor der kommerziellen Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Die derzeit unterstützten Aktionen für Datei-IOC sind Zulassen, Überwachen und Blockieren sowie Korrigieren. Nachdem Sie eine Datei blockiert haben, können Sie auswählen, ob das Auslösen einer Warnung erforderlich ist. Auf diese Weise können Sie die Anzahl der Warnungen steuern, die an Ihre Sicherheitsteams ausgegeben werden, und sicherstellen, dass nur erforderliche Warnungen ausgelöst werden.

1. Wechseln Sie im Microsoft Defender-Portal zu Einstellungen>Endpunkte>Indikatoren>Neuen Dateihash hinzufügen.

2. Wählen Sie aus, ob die Datei blockiert und wiederhergestellt werden soll.

3. Geben Sie an, ob eine Warnung für das Dateiblockereignis generiert werden soll, und definieren Sie die Warnungseinstellungen:

   • Der Warnungstitel
   • Der Schweregrad der Warnung
   • Kategorie
   • Beschreibung
   • Empfohlene Aktionen

   

   Wichtig

   • In der Regel werden Dateiblöcke innerhalb von 15 Minuten erzwungen und entfernt, durchschnittlich 30 Minuten, aber es kann mehr als 2 Stunden dauern.
   • Wenn es in Konflikt stehende Datei-IoC-Richtlinien mit demselben Erzwingungstyp und Ziel gibt, wird die Richtlinie des sichereren Hashs angewendet. Eine SHA-256-Dateihash-IoC-Richtlinie gewinnt eine SHA-1-Dateihash-IoC-Richtlinie, die eine MD5-Dateihash-IoC-Richtlinie gewinnt, wenn die Hashtypen dieselbe Datei definieren. Dies gilt immer unabhängig von der Gerätegruppe.
   • Wenn in allen anderen Fällen in Konflikt stehende Datei-IoC-Richtlinien mit demselben Erzwingungsziel auf alle Geräte und die Gerätegruppe angewendet werden, gewinnt die Richtlinie in der Gerätegruppe für ein Gerät.
   • Wenn die Gruppenrichtlinie EnableFileHashComputation deaktiviert ist, wird die Blockiergenauigkeit des Datei-IoC verringert. Die Aktivierung EnableFileHashComputation kann sich jedoch auf die Geräteleistung auswirken. Das Kopieren großer Dateien aus einer Netzwerkfreigabe auf Ihr lokales Gerät, insbesondere über eine VPN-Verbindung, kann sich beispielsweise auf die Geräteleistung auswirken. Weitere Informationen zur Gruppenrichtlinie EnableFileHashComputation finden Sie unter Defender CSP. Weitere Informationen zum Konfigurieren dieses Features in Defender für Endpunkt unter Linux und macOS finden Sie unter Konfigurieren der Dateihashberechnungsfunktion unter Linux und Konfigurieren der Dateihashberechnungsfunktion unter macOS.

Erweiterte Suchfunktionen (Vorschau)

Wichtig

Die Informationen in diesem Abschnitt (Public Preview for Automated Investigation and Remediation Engine) beziehen sich auf das Vorabversionsprodukt, das vor der kommerziellen Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Derzeit in der Vorschauphase können Sie die Reaktionsaktionsaktivität im Voraus abfragen. Im Folgenden finden Sie eine Beispielabfrage für die erweiterte Suche:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

Weitere Informationen zur erweiterten Suche finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche.

Im Folgenden finden Sie weitere Threadnamen, die in der obigen Beispielabfrage verwendet werden können:

Dateien:

• EUS:Win32/CustomEnterpriseBlock!cl
• EUS:Win32/CustomEnterpriseNoAlertBlock!cl

Atteste:

• EUS:Win32/CustomCertEnterpriseBlock!cl

Die Reaktionsaktionsaktivität kann auch auf dem Gerät Zeitleiste angezeigt werden.

Behandlung von Richtlinienkonflikten

Zertifikat- und Datei-IoC-Richtlinien, die Konflikte behandeln, folgen der folgenden Reihenfolge:

1. Wenn die Datei von der Windows Defender-Anwendungssteuerung und AppLocker nicht zulässig ist, erzwingen Sie Modusrichtlinien, dann Blockieren.

2. Andernfalls, wenn die Datei durch die Microsoft Defender Antivirusausschlüsse zulässig ist, dann Zulassen.

3. Andernfalls, wenn die Datei durch einen Block oder warn Datei-IoCs blockiert oder gewarnt wird, dann Blockieren/Warnen.

4. Andernfalls, wenn die Datei von SmartScreen blockiert wird, dann Blockieren.

5. Andernfalls, wenn die Datei durch eine IoC-Richtlinie für zulässige Dateien zulässig ist, dann Zulassen.

6. Andernfalls, wenn die Datei durch Regeln zur Verringerung der Angriffsfläche, kontrollierten Ordnerzugriff oder Antivirenschutz blockiert wird, dann Blockieren.

7. Andernfalls Zulassen (übergibt die Windows Defender-Anwendungssteuerung & AppLocker-Richtlinie, für die keine IoC-Regeln gelten).

Hinweis

In Situationen, in denen Microsoft Defender Antivirus auf Blockieren festgelegt ist, Defender für Endpunkt-Indikatoren für Dateihash oder Zertifikate jedoch auf Zulassen festgelegt sind, wird die Richtlinie standardmäßig auf Zulassen festgelegt.

Wenn es in Konflikt stehende Datei-IoC-Richtlinien mit demselben Erzwingungstyp und -ziel gibt, wird die Richtlinie des sichereren (d. h. längeren) Hashes angewendet. Beispielsweise hat eine SHA-256-Dateihash-IoC-Richtlinie Vorrang vor einer MD5-Dateihash-IoC-Richtlinie, wenn beide Hashtypen dieselbe Datei definieren.

Warnung

Die Behandlung von Richtlinienkonflikten für Dateien und Zertifikate unterscheidet sich von der Behandlung von Richtlinienkonflikten für Domänen/URLs/IP-Adressen.

Microsoft Defender Vulnerability Management blockiert anfällige Anwendungsfeatures verwendet die Datei-IoCs für die Erzwingung und folgt der weiter oben in diesem Abschnitt beschriebenen Reihenfolge zur Konfliktbehandlung.

Beispiele

Komponente	Komponentenerzwingung	Dateiindikatoraktion	Ergebnis
Dateipfadausschluss zur Verringerung der Angriffsfläche	Zulassen	Blockieren	Blockieren
Regel zur Verringerung der Angriffsfläche	Blockieren	Zulassen	Zulassen
Windows Defender Application Control	Zulassen	Blockieren	Zulassen
Windows Defender Application Control	Blockieren	Zulassen	Blockieren
Microsoft Defender Antivirusausschluss	Zulassen	Blockieren	Zulassen

Siehe auch

• Indikatoren erstellen
• Erstellen von Indikatoren für IPs und URLs/Domänen
• Erstellen von Indikatoren basierend auf Zertifikaten
• Indikatoren verwalten
• Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.