Yleiskatsaus ilmaisimista Microsoft Defender for Endpoint
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vihje
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Kompromissi-ilmaisimen (IoC) yleiskatsaus
Kompromissin ilmaisin (IoC) on rikostekninen esine, joka on havaittu verkossa tai isännässä. IoC ilmaisee – erittäin luotettavasti - tietokoneen tai verkon tunkeutumisen. IOC-yhdisteet ovat havaittavissa, mikä linkittää ne suoraan mitattavissaisiin tapahtumiin. Esimerkkejä IoC:stä:
- tunnetun haittaohjelman hashes
- haitallisen verkkoliikenteen allekirjoitukset
- URL-osoitteet tai verkkotunnukset, jotka ovat tunnettuja haittaohjelmien jakelijoita
Muiden kompromissien pysäyttämiseksi tai tunnettujen IOC-keskusten rikkomisen estämiseksi onnistuneiden IoC-työkalujen pitäisi pystyä havaitsemaan kaikki työkalun sääntöjoukossa luetteloimat haitalliset tiedot. IoC-vastaavuus on olennainen ominaisuus jokaisessa päätepisteen suojausratkaisussa. Tämä ominaisuus antaa SecOpsille mahdollisuuden määrittää luettelo ilmaisimista havaitsemiseksi ja estämiseksi (ennaltaehkäisy ja reagointi).
Organisaatiot voivat luoda ilmaisimia, jotka määrittävät IoC-entiteettien tunnistamisen, estämisen ja poissulkemisen. Voit määrittää suoritettavan toiminnon sekä toiminnon käyttöönoton keston ja sen laiteryhmän laajuuden, jossa sitä käytetään.
Tässä videossa esitellään ilmaisimien luominen ja lisääminen:
Tietoja Microsoftin ilmaisimista
Yleensä sinun tulisi luoda ilmaisimia vain tunnetuille huonoille INTERNET-tietokoneille tai tiedostoille / verkkosivustoille, jotka tulisi nimenomaisesti sallia organisaatiossasi. Lisätietoja sivustotyypeistä, jotka Defender for Endpoint voi oletusarvoisesti estää, on Microsoft Defender SmartScreenin yleiskatsauksessa.
False-positiivinen (FP) viittaa SmartScreen false -positiiviseen, niin että sitä pidetään haittaohjelmistona tai tietojen kalasteluna, mutta se ei itse asiassa ole uhka, joten haluat luoda sille sallimiskäytännön.
Voit myös auttaa parantamaan Microsoftin suojaustietoja lähettämällä vääriä positiivisia ja epäilyttäviä tai tunnettuja huonoja IOC-tiloja analyysia varten. Jos tiedoston tai sovelluksen varoitus tai esto näkyy virheellisesti tai jos epäilet, että havaitsematon tiedosto on haittaohjelma, voit lähettää tiedoston Microsoftille tarkistettavaksi. Lisätietoja on kohdassa Tiedostojen lähettäminen analyysia varten.
IP-osoitin/URL-ilmaisimet
IP-osoite-/URL-ilmaisimien avulla voit poistaa käyttäjien eston SmartScreen false -positiivisesta (FP) tai ohittaa verkkosisällön suodatuksen (WFC) lohkon.
Voit hallita sivuston käyttöä URL- ja IP-ilmaisimien avulla. Voit luoda väliaikaisia IP- ja URL-ilmaisimia poistaaksesi tilapäisesti käyttäjien eston SmartScreen-lohkosta. Sinulla voi myös olla ilmaisimia, joita säilytät pitkään ohittaaksesi valikoivasti verkkosisällön suodatuslohkot.
Harkitse tapausta, jossa sinulla on verkkosisällön suodatuksen luokitus tietylle sivustolle, joka on oikein. Tässä esimerkissä verkkosisällön suodatus on määritetty estämään kaikki sosiaalinen media, mikä vastaa organisaation yleisiä tavoitteita. Markkinointitiimillä on kuitenkin todellinen tarve käyttää tiettyä sosiaalisen median sivustoa mainontaan ja ilmoituksiin. Tässä tapauksessa voit poistaa tietyn sosiaalisen median sivuston eston käyttämällä tietyn ryhmän (tai ryhmien) IP- tai URL-ilmaisimia.
Katso www-suojaus ja verkkosisällön suodatus
IP/URL-ilmaisimet: Verkon suojaus ja TCP-kolmisuuntainen kättely
Verkon suojauksen avulla määritetään, sallitaanko sivustolle pääsy vai estetäänkö se sen jälkeen, kun kolmitiekäsittely on suoritettu TCP/IP:n kautta. Näin ollen, kun verkkosuojaus estää sivuston, saatat nähdä -toimintotyypin ConnectionSuccess
NetworkConnectionEvents
Microsoft Defender portaalissa, vaikka sivusto on estetty.
NetworkConnectionEvents
ilmoitetaan TCP-kerroksesta, ei verkon suojauksesta. Kun kaksisuuntainen kättely on valmis, verkkosuojaus sallii tai estää sivuston käytön.
Tässä on esimerkki siitä, miten tämä toimii:
Oletetaan, että käyttäjä yrittää käyttää verkkosivustoa laitteessaan. Sivustoa isännöidä todennäköisesti vaarallisella toimialueella, ja verkkosuojaus tulisi estää.
Kolmisuuntainen kättely TCP/IP:n kautta alkaa. Ennen kuin se on valmis,
NetworkConnectionEvents
toiminto kirjataan lokiin, ja senActionType
luettelonaConnectionSuccess
on . Kuitenkin heti, kun kaksisuuntainen kättelyprosessi on valmis, verkon suojaus estää pääsyn sivustoon. Kaikki tämä tapahtuu nopeasti. Samanlainen prosessi tapahtuu smartscreen-Microsoft Defender: kun kolmisuuntainen kädenpuristus valmistuu, määritys tehdään ja sivuston käyttö on joko estetty tai sallittu.Microsoft Defender portaalissa ilmoitus näkyy ilmoitusjonossa. Tämän ilmoituksen tiedot ovat sekä että
NetworkConnectionEvents
AlertEvents
. Näet, että sivusto on estetty, vaikka sinulla on myös kohde, jonkaNetworkConnectionEvents
ActionType onConnectionSuccess
.
Tiedoston hajautusarvoilmaisimet
Joissakin tapauksissa uuden ilmaisimen luominen juuri tunnistetulle tiedostolle IoC - välittömänä väliaikamittarina - voi olla tarkoituksenmukaista tiedostojen tai jopa sovellusten estämiseksi. Sovelluksen estäminen ilmaisimien avulla ei kuitenkaan välttämättä anna odotettuja tuloksia, koska sovellukset koostuvat yleensä monista eri tiedostoista. Sovellusten estämisen ensisijaisia menetelmiä ovat Windows Defenderin sovellusohjausobjektin (WDAC) tai AppLockerin käyttäminen.
Koska jokaisella sovelluksen versiolla on erilainen hajautusarvo, hajautusarvojen estoilmaisimien käyttämistä ei suositella.
Windows Defender -sovellusohjausobjekti (WDAC)
Varmenneilmaisimet
Joissakin tapauksissa tietty varmenne, jota käytetään allekirjoittamaan tiedosto tai sovellus, jonka organisaatiosi on määrittänyt sallimaan tai estämään. Defender for Endpoint tukee varmenne-ilmaisimia, jos ne käyttävät -sovellusta. CER tai . PEM-tiedostomuoto. Lisätietoja on artikkelissa Varmenteisiin perustuvien ilmaisimien luominen .
IoC-tunnistusmoottorit
Tällä hetkellä tuettuja Microsoftin IOC-lähteitä ovat seuraavat:
- Defender for Endpointin pilvitunnistusmoduuli
- Microsoft Defender for Endpoint automatisoitu tutkimus- ja korjausmoduuli (AIR)
- Päätepisteiden estomoduuli (Microsoft Defender virustentorjunta)
Pilvitunnistusmoduuli
Defender for Endpointin pilvitunnistusmoduuli tarkistaa kerätyt tiedot säännöllisesti ja yrittää vastata määrittämiäsi ilmaisimia. Kun vastaavuus on olemassa, toiminto suoritetaan IoC:lle määritettyjen asetusten mukaisesti.
Päätepisteiden estomoduuli
Ehkäisyn välittäjä noudattaa samaa indikaattoriluetteloa. Tämä tarkoittaa sitä, että jos Microsoft Defender virustentorjunta on määritetty ensisijaiseksi virustentorjuntaohjelmaksi, vastaavat ilmaisimet käsitellään asetusten mukaisesti. Jos toiminto on esimerkiksi "Ilmoitus ja estä", Microsoft Defender virustentorjunta estää tiedostojen suorittamisen (estä ja korjaa) ja vastaava ilmoitus tulee näkyviin. Jos taas toiminnoksi on määritetty "Salli", Microsoft Defender virustentorjunta ei tunnista tai estä tiedostoa.
Automatisoitu tutkimus- ja korjausmoduuli
Automaattinen tutkimus ja korjaus toimivat samalla tavalla kuin päätepisteiden estomoduuli. Jos ilmaisimen asetuksena on "Salli", automaattinen tutkimus ja korjaus ohittavat "huonon" tuomion. Jos asetuksena on "Block", automaattinen tutkimus ja korjaus käsittelevät sitä "huonona".
Asetus EnableFileHashComputation
laskee tiedoston hajautusarvon varmenteelle ja tiedostolle IoC tiedostojen tarkistuksen aikana. Se tukee hajautusten ja varmenteiden IoC-täytäntöönpanoa, joka kuuluu luotettaviin sovelluksiin. Se on käytössä samanaikaisesti Salli tai estä tiedosto -asetuksen kanssa.
EnableFileHashComputation
on käytössä manuaalisesti ryhmäkäytäntö kautta, ja se on oletusarvoisesti poissa käytöstä.
Ilmaisimien pakotustyypit
Kun suojaustiimisi luo uuden ilmaisimen (IoC), käytettävissä ovat seuraavat toiminnot:
- Salli: IoC voi toimia laitteissasi.
- Valvonta: IoC:n suorittamisen yhteydessä käynnistyy ilmoitus.
- Varoita: IoC antaa varoituksen, jonka käyttäjä voi ohittaa
- Lohkon suorittaminen: IoC:n suorittaminen ei ole sallittua.
- Estä ja korjaa: IoC:n suorittaminen ei ole sallittua ja korjaustoiminto otetaan käyttöön IoC:ssä.
Huomautus
Varoita-tilan käyttäminen antaa käyttäjille varoituksen, jos he avaavat riskialttiin sovelluksen tai verkkosivuston. Kehote ei estä sovellusta tai sivustoa toimimasta, mutta voit antaa mukautetun viestin ja linkkejä yrityksen sivulle, joka kuvaa sovelluksen asianmukaista käyttöä. Käyttäjät voivat edelleen ohittaa varoituksen ja jatkaa sovelluksen käyttöä tarvittaessa. Lisätietoja on artikkelissa Microsoft Defender for Endpoint löytämien sovellusten hallitseminen.
Voit luoda ilmaisimen:
Alla olevassa taulukossa näytetään tarkasti, mitkä toiminnot ovat käytettävissä ilmaisintyyppiä (IoC) kohden:
IoC-tyyppi | Käytettävissä olevat toiminnot |
---|---|
Tiedostot | Salli Valvonta Varoittaa Lohkon suorittaminen Lohko ja korjaa |
IP-osoitteet | Salli Valvonta Varoittaa Lohkon suorittaminen |
URL-osoitteet ja toimialueet | Salli Valvonta Varoittaa Lohkon suorittaminen |
Todistukset | Salli Lohko ja korjaa |
Aiemmin luotujen IOC-kutsujen toiminnot eivät muutu. Ilmaisimet on kuitenkin nimetty uudelleen vastaamaan nykyisiä tuettuja vastaustoimintoja:
- Vain hälytys -vastaustoiminto nimettiin uudelleen nimellä "audit", kun luotu ilmoitusasetus oli käytössä.
- "Ilmoitus ja esto" -vastaus nimettiin uudelleen nimellä "estä ja korjaa" valinnaisella Luo ilmoitus -asetuksella.
IoC-ohjelmointirajapinnan rakenne ja uhkatunnukset ennen metsästystä päivitetään IoC-vastaustoimien uudelleennimeämiseksi. Ohjelmointirajapintamallin muutokset koskevat kaikkia IoC-tyyppejä.
Huomautus
Vuokraajaa kohden on raja 15 000 ilmaisinta. Tämän rajan korotuksia ei tueta.
Tiedoston ja varmenteen ilmaisimet eivät estä Microsoft Defender virustentorjuntaa varten määritettyjä poissulkemisia. Ilmaisimia ei tueta Microsoft Defender virustentorjuntaohjelmassa, kun virus on passiivitilassa.
Uusien ilmaisimien (IOC) tuontimuoto on muuttunut uusien päivitettyjen toimintojen ja ilmoitusten asetusten mukaisesti. Suosittelemme lataamaan uuden CSV-muodon, joka löytyy tuontipaneelin alareunasta.
Tunnetut ongelmat ja rajoitukset
Asiakkailla saattaa ilmetä ongelmia kompromissi-ilmaisimien hälytyksissä. Seuraavissa tilanteissa ilmoituksia ei luoda tai luoda virheellisillä tiedoilla. Suunnittelutiimimme tutkii jokaisen ongelman.
- Lohkoilmaisimet: Vain tiedot huomioon ottava yleishälytykset käynnistetään. Mukautetut ilmoitukset (eli mukautettu otsikko ja vakavuus) eivät käynnisty näissä tapauksissa.
- Varoitusilmaisimet: Yleiset hälytykset ja mukautetut hälytykset ovat mahdollisia tässä skenaariossa, mutta tulokset eivät ole deterministisiä hälytyksen tunnistuslogiikan ongelman vuoksi. Joissakin tapauksissa asiakkaat saattavat nähdä yleisen ilmoituksen, kun taas muissa tapauksissa saattaa näkyä mukautettu hälytys.
- Salli: Ilmoituksia ei luoda (rakenteen mukaan).
- Valvonta: Ilmoitukset luodaan asiakkaan antaman vakavuuden perusteella.
- Joissakin tapauksissa EDR-tunnistyksistä tulevat hälytykset saattavat olla etusijalla virustentorjuntalohkoista johtuviin hälytyksiin nähden, jolloin luodaan tietoilmoitus.
Defender ei voi estää Microsoft Store -sovelluksia, koska Microsoft on allekirjoittanut ne.
Aiheeseen liittyviä artikkeleita
- Microsoft Defender for Endpoint ja Microsoft Defender virustentorjuntaa koskevat poikkeukset
- Luo konteksti-IoC
- Microsoft Defender for Endpoint ilmaisimien ohjelmointirajapinnan käyttäminen
- Kumppanien integroitujen ratkaisujen käyttäminen
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.