Creación de indicadores basados en certificados

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Puede crear indicadores para los certificados. Algunos casos de uso comunes incluyen:

• Escenarios en los que es necesario implementar tecnologías de bloqueo, como reglas de reducción de superficie expuesta a ataques , pero es necesario permitir comportamientos de aplicaciones firmadas agregando el certificado en la lista de permitidos.
• Bloquear el uso de una aplicación firmada específica en toda la organización. Al crear un indicador para bloquear el certificado de la aplicación, Microsoft Defender Antivirus evita las ejecuciones de archivos (bloquear y corregir), y la investigación y corrección automatizadas se comportan igual.

Antes de empezar

Es importante comprender los siguientes requisitos antes de crear indicadores para certificados:

• Esta característica está disponible si la organización usa Microsoft Defender Antivirus (en modo activo) y la protección basada en la nube está habilitada. Para obtener más información, consulte Administración de la protección basada en la nube.

• La versión de cliente antimalware debe ser 4.18.1901.x o posterior.

• Se admite en máquinas en Windows 10, versión 1703 o posterior, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2022.

  Nota:

  Windows Server 2016 y Windows Server 2012 R2 deben incorporarse mediante las instrucciones de Incorporación de servidores Windows para que esta característica funcione.

• Las definiciones de protección contra virus y amenazas deben estar actualizadas.

• Actualmente, esta característica admite la introducción de . CER o . Extensiones de archivo PEM.

Importante

• Un certificado hoja válido es un certificado de firma que tiene una ruta de certificación válida y se debe encadenar a la entidad de certificación raíz (CA) de confianza de Microsoft. Como alternativa, se puede usar un certificado personalizado (autofirmado) siempre que sea de confianza para el cliente (el certificado de entidad de certificación raíz está instalado en la máquina local "Entidades de certificación raíz de confianza").
• Los elementos secundarios o primarios de los IOC de certificado de bloque o de permiso no se incluyen en la funcionalidad de IoC de permitir o bloquear, solo se admiten certificados hoja.
• Los certificados firmados por Microsoft no se pueden bloquear.

Cree un indicador para los certificados desde la página de configuración:

Importante

La creación y eliminación de un certificado IoC puede tardar hasta 3 horas.

1. En el panel de navegación, seleccione Configuración>Indicadores depuntos> de conexión (en Reglas).

2. Seleccione Agregar indicador.

3. Especifique los detalles siguientes:

   • Indicador: especifique los detalles de la entidad y defina la expiración del indicador.
   • Acción: especifique la acción que se va a realizar y proporcione una descripción.
   • Ámbito: defina el ámbito del grupo de máquinas.

4. Revise los detalles de la pestaña Resumen y, a continuación, seleccione Guardar.

Artículos relacionados

• Crear indicadores
• Crear indicadores para los archivos
• Crear indicadores para direcciones IP y URL/dominios
• Administrar indicadores
• Exclusiones para Microsoft Defender para punto de conexión y antivirus de Microsoft Defender

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.