Omówienie wskaźników w Ochrona punktu końcowego w usłudze Microsoft Defender
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Porada
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Wskaźnik naruszenia zabezpieczeń (IoC) — omówienie
Wskaźnik naruszenia zabezpieczeń (IoC) jest artefaktem kryminalistycznym zaobserwowanym w sieci lub na hoście. IoC wskazuje — z dużym zaufaniem — że doszło do włamania do komputera lub sieci. IoCs są obserwowane, co łączy je bezpośrednio z mierzalnymi zdarzeniami. Niektóre przykłady IoC obejmują:
- skróty znanego złośliwego oprogramowania
- sygnatury złośliwego ruchu sieciowego
- Adresy URL lub domeny, które są znanymi dystrybutorami złośliwego oprogramowania
Aby zatrzymać inne naruszenia zabezpieczeń lub zapobiec naruszeniom znanych IoCs, pomyślne narzędzia IoC powinny mieć możliwość wykrywania wszystkich złośliwych danych wyliczonych przez zestaw reguł narzędzia. Dopasowywanie IoC jest istotną funkcją w każdym rozwiązaniu ochrony punktu końcowego. Ta funkcja zapewnia usłudze SecOps możliwość ustawiania listy wskaźników wykrywania i blokowania (zapobieganie i reagowanie).
Organizacje mogą tworzyć wskaźniki definiujące wykrywanie, zapobieganie i wykluczanie jednostek IoC. Możesz zdefiniować akcję do wykonania, a także czas trwania, kiedy zastosować akcję, oraz zakres grupy urządzeń, do których ma zostać zastosowana.
W tym filmie wideo przedstawiono przewodnik dotyczący tworzenia i dodawania wskaźników:
Informacje o wskaźnikach firmy Microsoft
Ogólnie rzecz biorąc, należy tworzyć wskaźniki tylko dla znanych złych IoCs lub dla plików/witryn internetowych, które powinny być jawnie dozwolone w organizacji. Aby uzyskać więcej informacji na temat typów witryn, które usługa Defender for Endpoint może domyślnie blokować, zobacz omówienie Microsoft Defender SmartScreen.
Wynik fałszywie dodatni (FP) odnosi się do fałszywie dodatniego filtru SmartScreen, który jest uważany za złośliwe oprogramowanie lub język phish, ale w rzeczywistości nie stanowi zagrożenia, dlatego chcesz utworzyć dla niego zasady zezwalania.
Możesz również pomóc w ulepszeniu analizy zabezpieczeń firmy Microsoft, przesyłając wyniki fałszywie dodatnie i podejrzane lub znane-złe IoCs do analizy. Jeśli ostrzeżenie lub blok są niepoprawnie wyświetlane dla pliku lub aplikacji lub jeśli podejrzewasz, że niewykryty plik jest złośliwym oprogramowaniem, możesz przesłać plik do firmy Microsoft do przeglądu. Aby uzyskać więcej informacji, zobacz Przesyłanie plików do analizy.
Wskaźniki adresów IP/URL
Wskaźniki adresów IP/adresów URL umożliwiają odblokowywanie użytkowników od fałszywie dodatniego filtru SmartScreen (FP) lub zastępowanie bloku filtrowania zawartości sieci Web (WFC).
Do zarządzania dostępem do witryny można użyć wskaźników adresów URL i IP. Możesz utworzyć tymczasowe wskaźniki adresów IP i adresów URL, aby tymczasowo odblokować użytkowników z bloku SmartScreen. Możesz również mieć wskaźniki, które przechowujesz przez długi czas, aby selektywnie pomijać bloki filtrowania zawartości internetowej.
Rozważmy przypadek, w którym masz kategoryzację filtrowania zawartości internetowej dla określonej witryny, która jest poprawna. W tym przykładzie filtrowanie zawartości internetowej jest ustawione tak, aby blokować wszystkie media społecznościowe, co jest poprawne dla ogólnych celów organizacji. Jednak zespół ds. marketingu naprawdę musi używać konkretnej witryny mediów społecznościowych do reklam i ogłoszeń. W takim przypadku można odblokować określoną witrynę mediów społecznościowych przy użyciu wskaźników adresu IP lub adresu URL dla określonej grupy (lub grup) do użycia.
Zobacz Ochrona sieci Web i filtrowanie zawartości sieci Web
Wskaźniki adresu IP/adresu URL: ochrona sieci i uzgadnianie trójstopnienia protokołu TCP
W przypadku ochrony sieci określenie, czy zezwolić na dostęp do lokacji lub zablokować go, jest wykonywane po zakończeniu uzgadniania trójstopnienego za pośrednictwem protokołu TCP/IP. W związku z tym, gdy lokacja jest zablokowana przez ochronę sieci, w portalu Microsoft Defender może zostać wyświetlony typ ConnectionSuccess
NetworkConnectionEvents
akcji, mimo że witryna została zablokowana.
NetworkConnectionEvents
są zgłaszane z warstwy TCP, a nie z ochrony sieci. Po zakończeniu uzgadniania trójstopnienia dostęp do witryny jest dozwolony lub blokowany przez ochronę sieci.
Oto przykład tego, jak to działa:
Załóżmy, że użytkownik próbuje uzyskać dostęp do witryny internetowej na swoim urządzeniu. Lokacja jest hostowana w niebezpiecznej domenie i powinna zostać zablokowana przez ochronę sieci.
Rozpoczyna się uzgadnianie trójstopnie za pośrednictwem protokołu TCP/IP. Przed zakończeniem
NetworkConnectionEvents
jest rejestrowana akcja, a jejActionType
nazwa jest wyświetlana jakoConnectionSuccess
. Jednak po zakończeniu trójstopnienego procesu uzgadniania ochrona sieci blokuje dostęp do lokacji. Wszystko to dzieje się szybko. Podobny proces występuje w przypadku Microsoft Defender SmartScreen. Po zakończeniu uzgadniania trójstopnienia jest wykonywane ustalanie, a dostęp do witryny jest zablokowany lub dozwolony.W portalu Microsoft Defender alert jest wyświetlany w kolejce alertów. Szczegóły tego alertu obejmują zarówno
NetworkConnectionEvents
iAlertEvents
. Widać, że witryna została zablokowana, mimo że maszNetworkConnectionEvents
również element o typie ActionType .ConnectionSuccess
Wskaźniki skrótów plików
W niektórych przypadkach utworzenie nowego wskaźnika dla nowo zidentyfikowanego pliku IoC — jako natychmiastowej miary zatrzymania odstępu — może być odpowiednie do blokowania plików, a nawet aplikacji. Jednak użycie wskaźników do próby zablokowania aplikacji może nie dostarczyć oczekiwanych wyników, ponieważ aplikacje zwykle składają się z wielu różnych plików. Preferowane metody blokowania aplikacji to używanie funkcji Windows Defender Application Control (WDAC) lub AppLocker.
Ponieważ każda wersja aplikacji ma inny skrót pliku, używanie wskaźników do blokowania skrótów nie jest zalecane.
Windows Defender Application Control (WDAC)
Wskaźniki certyfikatów
W niektórych przypadkach określony certyfikat, który jest używany do podpisywania pliku lub aplikacji, dla której organizacja ma zezwalać lub blokować. Wskaźniki certyfikatów są obsługiwane w usłudze Defender for Endpoint, jeśli używają elementu . CER lub . Format pliku PEM. Aby uzyskać więcej informacji, zobacz Tworzenie wskaźników na podstawie certyfikatów .
Aparaty wykrywania IoC
Obecnie obsługiwane źródła firmy Microsoft dla IoCs to:
- Aparat wykrywania chmury usługi Defender dla punktu końcowego
- Aparat zautomatyzowanego badania i korygowania (AIR) w Ochrona punktu końcowego w usłudze Microsoft Defender
- Aparat zapobiegania punktom końcowym (program antywirusowy Microsoft Defender)
Aparat wykrywania chmury
Aparat wykrywania chmury usługi Defender for Endpoint regularnie skanuje zebrane dane i próbuje dopasować ustawione wskaźniki. W przypadku dopasowania akcja jest wykonywana zgodnie z ustawieniami określonymi dla IoC.
Aparat zapobiegania punktom końcowym
Ta sama lista wskaźników jest honorowana przez agenta zapobiegania. Oznacza to, że jeśli Microsoft Defender program antywirusowy jest podstawowym programem antywirusowym skonfigurowanym, dopasowane wskaźniki są traktowane zgodnie z ustawieniami. Jeśli na przykład akcja to "Alert and Block", program antywirusowy Microsoft Defender zapobiega wykonywaniu plików (blokuj i koryguj) i pojawia się odpowiedni alert. Z drugiej strony, jeśli akcja ma wartość "Zezwalaj", program antywirusowy Microsoft Defender nie wykrywa ani nie blokuje pliku.
Aparat zautomatyzowanego badania i korygowania
Zautomatyzowane badanie i korygowanie działają podobnie do aparatu zapobiegania punktom końcowym. Jeśli wskaźnik ma wartość "Zezwalaj", automatyczne badanie i korygowanie ignoruje "zły" werdykt. Jeśli ustawiono wartość "Blokuj", automatyczne badanie i korygowanie traktuje je jako "złe".
Ustawienie oblicza EnableFileHashComputation
skrót pliku dla certyfikatu i pliku IoC podczas skanowania plików. Obsługuje wymuszanie IoC skrótów i certyfikatów należą do zaufanych aplikacji. Jest ona współbieżnie włączona z ustawieniem zezwalania lub blokowania plików.
EnableFileHashComputation
jest włączona ręcznie za pośrednictwem zasady grupy i jest domyślnie wyłączona.
Typy wymuszania dla wskaźników
Gdy zespół ds. zabezpieczeń tworzy nowy wskaźnik (IoC), dostępne są następujące akcje:
- Zezwalaj: usługa IoC może działać na urządzeniach.
- Inspekcja: alert jest wyzwalany po uruchomieniu IoC.
- Ostrzegaj: usługa IoC monituje o ostrzeżenie, które użytkownik może pominąć
- Blokuj wykonywanie: nie będzie można uruchomić usługi IoC.
- Blokuj i koryguj: usługa IoC nie będzie mogła działać, a akcja korygowania zostanie zastosowana do IoC.
Uwaga
Użycie trybu ostrzeżenia spowoduje wyświetlenie monitu dla użytkowników z ostrzeżeniem, jeśli otworzą ryzykowną aplikację lub witrynę internetową. Monit nie zablokuje im możliwości uruchamiania aplikacji lub witryny internetowej, ale możesz podać niestandardowy komunikat i linki do strony firmowej opisującej odpowiednie użycie aplikacji. Użytkownicy nadal mogą pominąć ostrzeżenie i nadal korzystać z aplikacji, jeśli zajdzie taka potrzeba. Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami odnalezionych przez Ochrona punktu końcowego w usłudze Microsoft Defender.
Możesz utworzyć wskaźnik dla:
W poniższej tabeli przedstawiono dokładnie, które akcje są dostępne dla każdego typu wskaźnika (IoC):
Typ IoC | Dostępne akcje |
---|---|
Pliki | Zezwalaj Inspekcja Ostrzegać Blokuj wykonywanie Blokuj i koryguj |
Adresy IP | Zezwalaj Inspekcja Ostrzegać Blokuj wykonywanie |
Adresy URL i domeny | Zezwalaj Inspekcja Ostrzegać Blokuj wykonywanie |
Certyfikaty | Zezwalaj Blokuj i koryguj |
Funkcjonalność istniejących wcześniej operacji We/Wy nie ulegnie zmianie. Zmieniono jednak nazwę wskaźników tak, aby odpowiadały bieżącym obsługiwanym akcjom odpowiedzi:
- Nazwa akcji odpowiedzi "tylko alert" została zmieniona na "inspekcja" z włączonym wygenerowanym ustawieniem alertu.
- Nazwa odpowiedzi "alert i blok" została zmieniona na "blokuj i koryguj" przy użyciu opcjonalnego ustawienia alertu generowania.
Schemat interfejsu API IoC i identyfikatory zagrożeń z wyprzedzeniem są aktualizowane w celu dopasowania do zmiany nazwy akcji reagowania IoC. Zmiany schematu interfejsu API mają zastosowanie do wszystkich typów IoC.
Uwaga
Istnieje limit 15 000 wskaźników na dzierżawę. Wzrosty do tego limitu nie są obsługiwane.
Wskaźniki plików i certyfikatów nie blokują wykluczeń zdefiniowanych dla programu antywirusowego Microsoft Defender. Wskaźniki nie są obsługiwane w programie antywirusowym Microsoft Defender, gdy jest w trybie pasywnym.
Format importowania nowych wskaźników (IoCs) zmienił się zgodnie z nowymi zaktualizowanymi ustawieniami akcji i alertów. Zalecamy pobranie nowego formatu CSV, który można znaleźć w dolnej części panelu importu.
Jeśli wskaźniki są synchronizowane z portalem Microsoft Defender z Microsoft Defender for Cloud Apps dla zaakceptowanych lub nieakceptowanych aplikacji, Generate Alert
opcja jest domyślnie włączona w portalu Microsoft Defender. Jeśli spróbujesz wyczyścić Generate Alert
opcję dla usługi Defender for Endpoint, zostanie ona ponownie włączona po pewnym czasie, ponieważ zasady Defender for Cloud Apps ją przesłaniają.
Znane problemy i ograniczenia
Klienci mogą napotkać problemy z alertami dotyczącymi wskaźników kompromisu. Poniższe scenariusze to sytuacje, w których alerty nie są tworzone lub są tworzone z niedokładnymi informacjami. Każdy problem jest badany przez nasz zespół inżynierów.
- Wskaźniki blokowe: alerty ogólne o ważności informacyjnej zostaną wyzwolone. W takich przypadkach alerty niestandardowe (czyli tytuł niestandardowy i ważność) nie są wyzwalane.
- Wskaźniki ostrzeżenia: W tym scenariuszu możliwe są alerty ogólne i niestandardowe, jednak wyniki nie są deterministyczne z powodu problemu z logiką wykrywania alertów. W niektórych przypadkach klienci mogą zobaczyć alert ogólny, natomiast alert niestandardowy może być wyświetlany w innych przypadkach.
- Zezwalaj: żadne alerty nie są generowane (zgodnie z projektem).
- Inspekcja: Alerty są generowane na podstawie ważności dostarczonej przez klienta.
- W niektórych przypadkach alerty pochodzące z wykrywania EDR mogą mieć pierwszeństwo przed alertami wynikającymi z bloków programu antywirusowego, w którym to przypadku jest generowany alert informacyjny.
Usługa Defender nie może zablokować aplikacji ze Sklepu Microsoft, ponieważ są one podpisane przez firmę Microsoft.
Artykuły pokrewne
- Wykluczenia dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender
- Tworzenie kontekstowego IoC
- Korzystanie z interfejsu API wskaźników Ochrona punktu końcowego w usłudze Microsoft Defender
- Korzystanie ze zintegrowanych rozwiązań partnerów
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.