Créer des indicateurs basés sur des certificats

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Vous pouvez créer des indicateurs pour les certificats. Voici quelques cas d’usage courants :

• Scénarios dans lesquels vous devez déployer des technologies bloquantes, telles que des règles de réduction de la surface d’attaque , mais que vous devez autoriser les comportements des applications signées en ajoutant le certificat dans la liste d’autorisation.
• Blocage de l’utilisation d’une application signée spécifique dans votre organization. En créant un indicateur pour bloquer le certificat de l’application, Microsoft Defender Antivirus empêche les exécutions de fichiers (bloquer et corriger), et l’investigation et la correction automatisées se comportent de la même façon.

Avant de commencer

Il est important de comprendre les exigences suivantes avant de créer des indicateurs pour les certificats :

• Cette fonctionnalité est disponible si votre organization utilise Microsoft Defender Antivirus (en mode actif) et si la protection basée sur le cloud est activée. Pour plus d’informations, consultez Gérer la protection basée sur le cloud.

• La version du client anti-programme malveillant doit être 4.18.1901.x ou ultérieure.

• Pris en charge sur les ordinateurs sur Windows 10, version 1703 ou ultérieure, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 et Windows Server 2022.

  Remarque

  Windows Server 2016 et Windows Server 2012 R2 doivent être intégrés à l’aide des instructions fournies dans Intégrer des serveurs Windows pour que cette fonctionnalité fonctionne.

• Les définitions de protection contre les virus et les menaces doivent être à jour.

• Cette fonctionnalité prend actuellement en charge l’entrée de . CER ou . Extensions de fichier PEM.

Importante

• Un certificat feuille valide est un certificat de signature qui a un chemin de certification valide et doit être chaîné à l’autorité de certification racine approuvée par Microsoft. Vous pouvez également utiliser un certificat personnalisé (auto-signé) tant qu’il est approuvé par le client (le certificat d’autorité de certification racine est installé sous l’ordinateur local « Autorités de certification racines approuvées »).
• Les enfants ou les parents des ICS de certificat d’autorisation/de blocage ne sont pas inclus dans la fonctionnalité Autoriser/bloquer l’IoC, seuls les certificats feuille sont pris en charge.
• Les certificats signés Microsoft ne peuvent pas être bloqués.

Créez un indicateur pour les certificats à partir de la page paramètres :

Importante

La création et la suppression d’un certificat IoC peuvent prendre jusqu’à 3 heures.

1. Dans le volet de navigation, sélectionnez Paramètres Indicateurs>de >points de terminaison(sous Règles).

2. Sélectionnez Ajouter un indicateur.

3. Spécifiez les détails suivants :

   • Indicateur : spécifiez les détails de l’entité et définissez l’expiration de l’indicateur.
   • Action : spécifiez l’action à entreprendre et fournissez une description.
   • Étendue : définissez l’étendue du groupe d’ordinateurs.

4. Passez en revue les détails sous l’onglet Résumé , puis sélectionnez Enregistrer.

Articles connexes

• Créer des indicateurs
• Créer des indicateurs pour les fichiers
• Créer des indicateurs pour les IP et URL/domaines
• Gérer des indicateurs
• Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.