Tworzenie wskaźników na podstawie certyfikatów

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Możesz tworzyć wskaźniki dla certyfikatów. Niektóre typowe przypadki użycia obejmują:

• Scenariusze, w których trzeba wdrożyć technologie blokowania, takie jak reguły zmniejszania obszaru ataków , ale muszą zezwalać na zachowania podpisanych aplikacji przez dodanie certyfikatu na liście dozwolonych.
• Blokowanie korzystania z określonej podpisanej aplikacji w całej organizacji. Tworząc wskaźnik blokujący certyfikat aplikacji, program antywirusowy Microsoft Defender zapobiega wykonywaniu plików (blokuj i koryguj), a automatyczne badanie i korygowanie zachowuje się tak samo.

Przed rozpoczęciem

Przed utworzeniem wskaźników dla certyfikatów należy zrozumieć następujące wymagania:

• Ta funkcja jest dostępna, jeśli organizacja korzysta z programu antywirusowego Microsoft Defender (w trybie aktywnym) i włączono ochronę opartą na chmurze. Aby uzyskać więcej informacji, zobacz Zarządzanie ochroną opartą na chmurze.

• Wersja klienta chroniąca przed złośliwym oprogramowaniem musi być 4.18.1901.x lub nowsza.

• Obsługiwane na maszynach Windows 10 w wersji 1703 lub nowszej, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 i Windows Server 2022.

  Uwaga

  Windows Server 2016 i Windows Server 2012 R2 muszą zostać dołączone przy użyciu instrukcji w temacie Dołączanie serwerów z systemem Windows, aby ta funkcja działała.

• Definicje ochrony przed wirusami i zagrożeniami muszą być aktualne.

• Ta funkcja obecnie obsługuje wprowadzanie elementu . CER lub . Rozszerzenia plików PEM.

Ważna

• Prawidłowy certyfikat liścia to certyfikat podpisywania, który ma prawidłową ścieżkę certyfikacji i musi być połączony z urzędem certyfikacji (CA) zaufanym przez firmę Microsoft. Alternatywnie certyfikat niestandardowy (z podpisem własnym) może być używany tak długo, jak jest zaufany przez klienta (certyfikat głównego urzędu certyfikacji jest zainstalowany na maszynie lokalnej "Zaufane główne urzędy certyfikacji").
• Elementy podrzędne lub nadrzędne we/wy certyfikatu zezwalania/blokowania nie są uwzględniane w funkcji IoC zezwalania/blokowania, obsługiwane są tylko certyfikaty liści.
• Certyfikatów podpisanych przez firmę Microsoft nie można zablokować.

Utwórz wskaźnik dla certyfikatów na stronie ustawień:

Ważna

Utworzenie i usunięcie certyfikatu IoC może potrwać do 3 godzin.

1. W okienku nawigacji wybierz pozycję Ustawienia>Wskaźniki punktów końcowych> (w obszarze Reguły).

2. Wybierz pozycję Dodaj wskaźnik.

3. Określ następujące szczegóły:

   • Wskaźnik: określ szczegóły jednostki i zdefiniuj wygaśnięcie wskaźnika.
   • Akcja: określ akcję do wykonania i podaj opis.
   • Zakres: zdefiniuj zakres grupy maszyn.

4. Przejrzyj szczegóły na karcie Podsumowanie , a następnie wybierz pozycję Zapisz.

Artykuły pokrewne

• Utwórz wskaźniki
• Utwórz wskaźniki dla plików
• Utwórz wskaźniki adresów IP i adresów URL/domen
• Zarządzaj wskaźnikami
• Wykluczenia dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.