Creare indicatori in base ai certificati

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

È possibile creare indicatori per i certificati. Alcuni casi d'uso comuni includono:

• Scenari in cui è necessario distribuire tecnologie di blocco, ad esempio le regole di riduzione della superficie di attacco , ma è necessario consentire comportamenti da applicazioni firmate aggiungendo il certificato nell'elenco consentiti.
• Blocco dell'uso di un'applicazione firmata specifica nell'organizzazione. Creando un indicatore per bloccare il certificato dell'applicazione, Microsoft Defender Antivirus impedisce le esecuzioni di file (blocco e correzione) e l'analisi e la correzione automatizzate si comportano allo stesso modo.

Prima di iniziare

Prima di creare indicatori per i certificati, è importante comprendere i requisiti seguenti:

• Questa funzionalità è disponibile se l'organizzazione usa Microsoft Defender Antivirus (in modalità attiva) e la protezione basata sul cloud è abilitata. Per altre informazioni, vedere Gestire la protezione basata sul cloud.

• La versione client antimalware deve essere 4.18.1901.x o successiva.

• Supportato nei computer in Windows 10 versione 1703 o successiva, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2022.

  Nota

  Windows Server 2016 e Windows Server 2012 R2 devono essere caricati usando le istruzioni in Eseguire l'onboarding dei server Windows per consentire il funzionamento di questa funzionalità.

• Le definizioni di protezione da virus e minacce devono essere aggiornate.

• Questa funzionalità supporta attualmente l'immissione di . CER o . Estensioni di file PEM.

Importante

• Un certificato foglia valido è un certificato di firma che ha un percorso di certificazione valido e deve essere concatenato all'autorità di certificazione radice (CA) considerata attendibile da Microsoft. In alternativa, è possibile usare un certificato personalizzato (autofirmato) purché sia considerato attendibile dal client (il certificato CA radice viene installato nel computer locale "Autorità di certificazione radice attendibili").
• Gli elementi figlio o padre dei certificati consentiti/bloccati non sono inclusi nella funzionalità Consenti/Blocca IoC. Sono supportati solo i certificati foglia.
• I certificati firmati Microsoft non possono essere bloccati.

Creare un indicatore per i certificati dalla pagina delle impostazioni:

Importante

La creazione e la rimozione di un certificato IoC possono richiedere fino a 3 ore.

1. Nel riquadro di spostamento selezionare Impostazioni>Indicatori endpoint> (in Regole).

2. Selezionare Aggiungi indicatore.

3. Specificare i dettagli seguenti:

   • Indicatore: specificare i dettagli dell'entità e definire la scadenza dell'indicatore.
   • Azione: specificare l'azione da intraprendere e specificare una descrizione.
   • Ambito: definire l'ambito del gruppo di computer.

4. Esaminare i dettagli nella scheda Riepilogo e quindi selezionare Salva.

Articoli correlati

• Creare indicatori
• Creare indicatori per file
• Creare indicatori per IP e URL/domini
• Gestire indicatori
• Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.