Administración de los indicadores
La coincidencia de indicador de riesgo (IOC) es una característica esencial en cada solución de protección de puntos de conexión. Esta capacidad proporciona a SecOps la capacidad de establecer una lista de indicadores de detección y bloqueo (prevención y respuesta). Cree indicadores que definan la detección, la prevención y la exclusión de entidades. Puede definir la acción que se va a realizar, la duración para cuando se aplique y el ámbito del grupo de dispositivos al que se va a aplicar.
Los orígenes admitidos actualmente son el motor de detección en la nube de Defender para punto de conexión, el motor de investigación y corrección automatizadas y el motor de prevención de puntos de conexión (AV de Microsoft Defender).
Motor de detección en la nube
El motor de detección en la nube de Defender para punto de conexión examina regularmente los datos recopilados e intenta hacer coincidir los indicadores establecidos. Cuando haya una coincidencia, la acción se realizará según la configuración de IoC que haya especificado.
Motor de prevención de puntos de conexión
El agente de prevención respeta la misma lista de indicadores. Es decir, si AV de Microsoft Defender es el antivirus primario configurado, los indicadores coincidentes se tratarán según la configuración. Por ejemplo, si la acción es "Alertar y bloquear", AV de Microsoft Defender impedirá las ejecuciones de archivos (bloquear y corregir) y se generará una alerta correspondiente. De lo contrario, si la acción se establece en "Permitir", AV de Microsoft Defender no detectará ni bloqueará la ejecución del archivo.
Motor de investigación y corrección automatizadas
La investigación y la corrección automatizadas se comportan de la misma manera. Si un indicador se establece en "Permitir", la investigación y la corrección automatizadas omitirán un veredicto "incorrecto". Si se establece en "Bloquear", la investigación y la corrección automatizadas lo tratarán como "incorrecto".
Las acciones admitidas actualmente son:
Allow
Solo alertar
Alertar y bloquear
Puede crear un indicador para:
Archivos
Direcciones IP y direcciones URL o dominios
Certificados
Hay un límite de 15 000 indicadores por inquilino.
Administración de los indicadores
Para administrar los indicadores:
En el panel de navegación, seleccione Configuración > Puntos de conexión y luego Indicadores en el área Reglas.
Seleccione la pestaña del tipo de entidad que desea administrar.
Actualice los detalles del indicador y seleccione Guardar o seleccione el botón Eliminar si quiere quitar la entidad de la lista.
Creación de indicadores para archivos
Para evitar una mayor propagación de ataques en la organización, puede prohibir archivos potencialmente maliciosos o malware sospechoso. Si conoce un archivo portable ejecutable (PE) potencialmente malintencionado, puede bloquearlo. Esta operación impedirá que se pueda leer, escribir o ejecutar en las máquinas de la organización.
Hay dos maneras de crear indicadores para los archivos:
Mediante la creación de un indicador a través de la página Configuración
Mediante la creación de un indicador contextual a través del botón Agregar indicador de la página Detalles del archivo
Requisitos previos
A fin de poder crear indicadores para archivos, debe comprender los requisitos previos siguientes:
Esta característica está disponible si la organización usa Antivirus de Windows Defender y la protección basada en la nube está habilitada. Para obtener más información, consulte Administración de la protección basada en la nube.
La versión del cliente antimalware debe ser 4.18.1901.x o posterior.
Se admite en equipos con Windows 10, versión 1703 o posterior, Windows Server 2016 y 2019.
Para empezar a bloquear archivos, antes debe activar la característica Bloquear o permitir en la Configuración.
Esta característica está diseñada para impedir que se descargue de la web malware sospechoso (o archivos potencialmente malintencionados). Actualmente admite archivos portables ejecutables (PE), incluidos los archivos .exe y .dll. La cobertura se ampliará con el tiempo.
Importante
No se puede realizar la función Permitir o bloquear en los archivos si la clasificación del archivo existe en la memoria caché del dispositivo antes de la acción Permitir o bloquear. Los archivos firmados de confianza se tratarán de manera diferente. Defender para punto de conexión está optimizado para controlar archivos malintencionados. Si intenta bloquear archivos firmados de confianza, en algunos casos, puede tener consecuencias en el rendimiento. Normalmente, los bloques de archivos se aplican en un par de minutos, pero pueden tardar hasta 30 minutos.
Creación de un indicador contextual desde la página de detalles del archivo
Una de las opciones para realizar acciones de respuesta en un archivo es agregar un indicador para el archivo. Al agregar un hash de indicador para un archivo, puede elegir generar una alerta y bloquear el archivo cuando una máquina de la organización intente ejecutarlo. Los archivos bloqueados automáticamente por un indicador no se mostrarán en el centro de actividades de los archivos, pero las alertas estarán visibles en la cola Alertas.
Creación de indicadores para direcciones IP y direcciones URL o dominios
Defender para punto de conexión puede bloquear lo que Microsoft considera como direcciones URL o IP malintencionadas a través de SmartScreen de Windows Defender para exploradores de Microsoft y a través de la protección de red para exploradores que no son de Microsoft o llamadas realizadas fuera de un explorador.
Microsoft ha administrado el conjunto de datos de inteligencia de amenazas.
Al crear indicadores para direcciones IP y direcciones URL o dominios, ahora puede permitir o bloquear direcciones IP, direcciones URL o dominios según su propia inteligencia sobre amenazas. Puede hacerlo a través de la página Configuración o mediante grupos de máquinas si considera que algunos grupos tienen más o menos riesgo que otros. No se admite la notación de enrutamiento de interdominios sin clases (CIDR) para direcciones IP.
Requisitos previos
Debe comprender los requisitos previos siguientes antes de crear indicadores para direcciones IP, direcciones URL o dominios:
La acción para permitir o bloquear direcciones URL o IP se basa en la protección de red del componente de Defender para punto de conexión que se va a habilitar en modo de bloqueo. Para obtener más información sobre la protección de red y las instrucciones de configuración, consulte Habilitación de la protección de red.
La versión del cliente antimalware debe ser 4.18.1906.x o posterior.
Se admite en equipos con Windows 10, versión 1709 o posterior.
Asegúrese de que los indicadores de red personalizados estén habilitados en Centro de seguridad de Microsoft Defender > Configuración > Características avanzadas. Para obtener más información, consulte Características avanzadas.
Solo se pueden agregar direcciones IP externas a la lista de indicadores. No se pueden crear indicadores para direcciones IP internas. En escenarios de protección web, se recomienda usar las capacidades integradas en Microsoft Edge. Microsoft Edge usa la protección de red para inspeccionar el tráfico de red y permite bloqueos para TCP, HTTP y HTTPS (TLS). En el resto de los procesos, los escenarios de protección web usan la protección de red para la inspección y el cumplimiento:
Las direcciones IP son compatibles con los tres protocolos.
Solo se admiten direcciones IP únicas (sin bloques CIDR ni intervalos IP).
Las direcciones URL cifradas (ruta de acceso completa) solo se pueden bloquear en exploradores propios.
Las direcciones URL cifradas (solo FQDN) se pueden bloquear fuera de los exploradores propios.
Se pueden aplicar bloqueos de ruta de dirección URL completas en el nivel de dominio y en todas las direcciones URL no cifradas.
Puede haber hasta 2 horas de latencia (normalmente menos) entre el momento en que se realiza la acción y el bloqueo de la dirección URL y la dirección IP.
Creación de un indicador de direcciones IP, direcciones URL o dominios
En el panel de navegación, seleccione Configuración > Indicadores.
Seleccione la pestaña Direcciones IP o Direcciones URL o dominios.
Seleccione Agregar elemento.
Especifique los detalles siguientes:
Indicador: especifique los detalles de la entidad y defina la expiración del indicador.
Acción: especifique la acción que se va a realizar y proporcione una descripción.
Ámbito: defina el ámbito del grupo de máquinas.
Revise los detalles en la pestaña Resumen y, después, seleccione Guardar.
Creación de indicadores basados en certificados
Puede crear indicadores para los certificados. A continuación, se muestran algunos casos de uso comunes:
Escenarios en los que necesita implementar tecnologías de bloqueo, como reglas de reducción de la superficie expuesta a ataques y acceso controlado a carpetas, pero necesita permitir comportamientos de aplicaciones firmadas agregando el certificado en la lista de permitidos.
Bloqueo del uso de una aplicación firmada específica en toda la organización. Al crear un indicador para bloquear el certificado de la aplicación, AV de Windows Defender impedirá que las ejecuciones de archivos (bloquear y corregir) y la investigación y corrección automatizadas se comporten igual.
Requisitos previos
Debe comprender los requisitos siguientes antes de crear indicadores para certificados:
Esta característica está disponible si la organización usa Antivirus de Windows Defender y la protección basada en la nube está habilitada. Para obtener más información, consulte Administración de la protección basada en la nube.
La versión del cliente antimalware debe ser 4.18.1901.x o posterior.
Se admite en equipos con Windows 10, versión 1703 o posterior, Windows Server 2016 y 2019.
Las definiciones de protección contra virus y amenazas deben estar actualizadas.
Actualmente, esta característica admite la entrada de extensiones de archivo .CER o .PEM.
Un certificado de hoja válido es un certificado de firma con una ruta de certificación válida y debe encadenarse a la entidad de certificación (CA) raíz de confianza de Microsoft. Como alternativa, se puede usar un certificado personalizado (autofirmado) siempre que sea de confianza para el cliente (el certificado de entidad de certificación raíz se instala en la máquina local "Entidades de certificación raíz de confianza"). Los elementos secundarios o primarios de la opción Permitir o bloquear certificados IOC no se incluyen en la funcionalidad de la opción Permitir o bloquear IoC; solo se admiten certificados de hoja. Los certificados firmados de Microsoft no se pueden bloquear.
La creación y eliminación de un certificado IoC puede tardar hasta 3 horas.
Creación de un indicador para los certificados
En el portal de Microsoft Defender, seleccione Configuración > Puntos de conexión > Indicadores.
Seleccione la pestaña Certificado.
Seleccione + Agregar elemento.
Especifique los detalles siguientes:
Indicador: especifique los detalles de la entidad y defina la expiración del indicador.
Acción: especifique la acción que se va a realizar y proporcione una descripción.
Ámbito: defina el ámbito del grupo de máquinas.
Revise los detalles en la pestaña Resumen y, después, seleccione Guardar.
Importación de una lista de IOC
También puede optar por cargar un archivo .csv que define los atributos de los indicadores, la acción que se va a realizar y otros detalles.
Descargue el CSV de ejemplo para conocer los atributos de columna admitidos.
En el portal de Microsoft Defender, seleccione Configuración > Puntos de conexión > Indicadores.
Seleccione la pestaña del tipo de entidad para el que desea importar los indicadores.
Seleccione Importar > Elegir archivo.
Seleccione Import (Importar). Haga esto para todos los archivos que quiere importar.
Seleccione Listo.
En la tabla siguiente se muestran los parámetros admitidos.
| Parámetro | Tipo | Descripción |
|---|---|---|
| indicatorType | Enum | Tipo de indicador. Los valores posibles son: "FileSha1", "FileSha256", "IpAddress", "DomainName" y "Url". Obligatorio |
| indicatorValue | String | Identidad de la entidad del indicador. Obligatorio |
| action | Enum | Acción que se realizará si el indicador se detecta en la organización. Los valores posibles son: "Alert", "AlertAndBlock" y "Allowed". Obligatorio |
| title | String | Título de la alerta del indicador. Obligatorio |
| description | String | Descripción del indicador. Obligatorio |
| expirationTime | DateTimeOffset | La hora de expiración del indicador en el siguiente formato: AAAA-MM-DDTHH:MM:SS.0Z. Opcional |
| severity | Enum | Gravedad del indicador. Los valores posibles son: "Informativa", "Baja", "Media" y "Alta". Opcional |
| recommendedActions | String | Acciones recomendadas de alerta de indicador de TI. Opcional |
| rbacGroupNames | String | Lista separada por comas de nombres de grupos de RBAC a los que se aplicaría el indicador. Opcional |
| category | String | Categoría de la alerta. Algunos ejemplos son: la ejecución y el acceso a las credenciales. Opcional |
| Técnicas MITRE | String | Código o id. de la técnicas MITRE (separados por comas). Para más información, consulte Tácticas empresariales. (Opcional) se recomienda agregar un valor en la categoría cuando se trata de una técnica MITRE. |