Gerenciar indicadores
A correspondência de IoCs (Indicador de Comprometimento) é um recurso essencial em cada solução de proteção de ponto de extremidade. Esse recurso dá ao SecOps a capacidade de definir uma lista de indicadores de detecção e para bloqueio (prevenção e resposta). Crie indicadores que definem a detecção, prevenção e exclusão de entidades. Você pode definir a ação a ser executada, a duração de quando aplicar a ação e o escopo do grupo de dispositivos ao qual aplicá-la.
As fontes com suporte no momento são o mecanismo de detecção de nuvem do Microsoft Defender para Ponto de Extremidade, o mecanismo automatizado de investigação e correção e o mecanismo de prevenção de ponto de extremidade (Microsoft Defender AV).
Mecanismo de detecção de nuvem
O mecanismo de detecção de nuvem do Microsoft Defender para Ponto de Extremidade examina regularmente os dados coletados e tenta corresponder os indicadores definidos. Quando houver uma correspondência, a ação será executada de acordo com as configurações de IC especificadas.
Mecanismo de prevenção de ponto de extremidade
A mesma lista de indicadores é respeitada pelo agente de prevenção. Ou seja, se o Microsoft Defender AV for o AV principal configurado, os indicadores correspondentes serão tratados de acordo com as configurações. Por exemplo, se a ação for "Alerta e Bloqueio", o Microsoft Defender AV impedirá as execuções de arquivo (bloquear e corrigir) e um alerta correspondente será gerado. Caso contrário, se a ação for definida como "Permitir", o AV do Microsoft Defender não detectará nem bloqueará a execução do arquivo.
Mecanismo automatizado de investigação e correção
A investigação e a correção automatizadas se comportam da mesma forma. Se um indicador for definido como "Permitir", a investigação automatizada e a correção ignorarão um veredito "Inválido" para ele. Se definido como "Bloquear", a investigação automatizada e a correção o tratarão como "Inválido".
As ações com suporte atuais são:
Allow
Somente alertar
Alertar e bloquear
Você pode criar um indicador para:
Arquivos
Endereços IP, URLs/domínios
Certificados
Há um limite de 15.000 indicadores por locatário.
Gerenciar indicadores
Para gerenciar indicadores:
No painel de navegação, selecione Configurações > Pontos de extremidade e, na área Regras, selecione Indicadores.
Selecione a guia do tipo de entidade que você deseja gerenciar.
Atualize os detalhes do indicador e selecione Salvar, ou selecione o botão Excluir, se desejar remover a entidade da lista.
Criar indicadores para arquivos
Você pode evitar a propagação adicional de ataques em sua organização, proibindo arquivos potencialmente mal-intencionados ou malware suspeito. Se você souber de um arquivo potencialmente mal-intencionado (PE), poderá bloqueá-lo. Essa operação impedirá que ele seja lido, gravado ou executado em computadores da sua organização.
Há duas maneiras de criar indicadores para arquivos:
Criar um indicador na página Configurações
Criar um indicador contextual usando o botão Adicionar indicador da página de detalhes do arquivo
Pré-requisitos
Antes de criar indicadores para arquivos, você deve entender os seguintes pré-requisitos:
Esse recurso estará disponível se a sua organização usar o Windows Defender Antivírus e se a proteção baseada em Nuvem estiver habilitada. Para obter mais informações, consulte Gerenciar proteção baseada em nuvem.
A versão do cliente antimalware deve ser 4.18.1901.x ou posterior.
Há suporte para computadores com o Windows 10, versão 1703 ou posteriores, e Windows Server 2016 e 2019.
Para iniciar o bloqueio de arquivos, primeiro você precisa ativar o recurso de bloquear ou permitir em configurações.
Esse recurso foi projetado para impedir que o malware suspeito (ou arquivos possivelmente maliciosos) seja baixado da web. Atualmente suporta arquivos executáveis (PE) portáteis, incluindo arquivos .exe e .dll. A cobertura será estendida ao longo do tempo.
Importante
A função de permitir ou bloquear não poderá ser executada nos arquivos, se a classificação do arquivo existir no cache do dispositivo antes da ação de permitir ou bloquear. Os arquivos assinados confiáveis serão tratados de forma diferente. O Microsoft Defender para Ponto de Extremidade é otimizado para lidar com arquivos mal-intencionados. Em alguns casos, a tentativa de bloquear arquivos assinados confiáveis pode ter implicações de desempenho. Normalmente, os bloqueios de arquivos entram em vigor em alguns minutos, mas podem levar até 30 minutos.
Criar um indicador contextual na página de detalhes do arquivo
Uma das opções ao fazer ações de resposta em um arquivo é adicionar um indicador para o arquivo. Ao adicionar um hash de indicador para um arquivo, você pode optar por gerar um alerta e bloquear o arquivo sempre que um computador em sua organização tentar executá-lo. Os arquivos bloqueados automaticamente por um indicador não aparecerão na central de Ações do arquivo, mas os alertas ainda estarão visíveis na fila de alertas.
Criar indicadores para IPs e URLs/domínios
O Microsoft Defender para Ponto de Extremidade pode bloquear o que a Microsoft considera como IPs/URLs mal-intencionados por meio do Windows Defender SmartScreen para navegadores da Microsoft e da Proteção de Rede para navegadores não Microsoft ou chamadas feitas fora de um navegador.
O conjunto de dados de inteligência contra ameaças para isso foi gerenciado pela Microsoft.
Ao criar indicadores para IPs e URLs ou domínios, agora você pode permitir ou bloquear IPs, URLs ou domínios com base em sua própria inteligência contra ameaças. Você pode fazer isso por meio da página configurações ou por grupos de computadores, se julgar que certos grupos tenham mais ou menos risco do que outros. Não há suporte para a notação CIDR (Roteamento entre Domínios sem Classificação) em endereços IP.
Pré-requisitos
Você deve entender os seguintes pré-requisitos antes de criar indicadores para IPS, URLs ou domínios:
Permissão e bloqueio de URL/IP depende da proteção de rede do componente do Microsoft Defender para Ponto de Extremidade a ser habilitada no modo de bloqueio. Para obter mais informações sobre proteção de rede e instruções de configuração, consulte Habilitar a proteção de rede.
A versão do cliente Antimalware deve ser 4.18.1906.x ou posterior.
Compatível com computadores com Windows 10, versão 1709 ou posterior.
Verifique se os Indicadores de rede personalizados estão habilitados na Central de Segurança do Microsoft Defender > Configurações > Recursos avançados. Para obter mais informações, consulte Recursos Avançados.
Somente IPs externos podem ser adicionados à lista de indicadores. Não é possível criar indicadores para IPs internos. Para cenários de proteção da Web, é recomendável usar os recursos internos do Microsoft Edge. O Microsoft Edge usa a proteção de rede para inspecionar o tráfego de rede e permite bloqueios para TCP, HTTP e HTTPS (TLS). Para os outros processos, os cenários de proteção da Web usam a proteção de rede para inspeção e imposição:
O IP tem suporte para todos os três protocolos
Há suporte apenas para endereços IP únicos (sem bloqueios CIDR ou intervalos de IP)
URLs criptografadas (caminho completo) só podem ser bloqueadas em navegadores primários
URLs criptografadas (caminho completo) só podem ser bloqueadas em navegadores primários
Blocos de caminho de URL completos podem ser aplicados no nível de domínio e em todas as URLs não criptografadas
Pode haver até 2 horas de latência (geralmente menos) entre a hora em que a ação é executada e a URL e o IP sendo bloqueados.
Criar um indicador para IPs, URLs ou domínios
No painel de navegação, selecione Configurações > Indicadores.
Selecione a guia de endereços IP ou URLs/Domínios.
Selecione Adicionar item.
Especifique os seguintes detalhes:
Indicador – Especifique os detalhes da entidade e defina a expiração do indicador.
Ação – Especifique a ação a ser executada e forneça uma descrição.
Escopo – Defina o escopo do grupo de computadores.
Examine os detalhes na guia Resumo e, em seguida, selecione Salvar.
Criar indicadores com base em certificados
Você pode criar indicadores para certificados. Alguns casos de uso comuns incluem:
Cenários em que você precisa implantar tecnologias de bloqueio, como regras de redução da superfície de ataque e acesso controlado a pastas, mas precisam permitir comportamentos de aplicativos assinados com a adição do certificado na lista de permissões.
Bloquear o uso de um aplicativo assinado específico em sua organização. Ao criar um indicador para bloquear o certificado do aplicativo, o Windows Defender AV impedirá as execuções de arquivo (bloquear e corrigir), e a investigação e a correção automatizadas se comportarão da mesma forma.
Pré-requisitos
Você deve entender os seguintes requisitos antes de criar indicadores para certificados:
Esse recurso estará disponível se a sua organização usar o Windows Defender Antivírus e se a proteção baseada em Nuvem estiver habilitada. Para obter mais informações, consulte Gerenciar proteção baseada em nuvem.
A versão do cliente antimalware deve ser 4.18.1901.x ou posterior.
Há suporte para computadores com o Windows 10, versão 1703 ou posterior, e Windows Server 2016 e 2019.
As definições de proteção contra vírus e ameaças devem estar atualizadas.
Este recurso atualmente dá suporte à inserção das extensões de arquivo .CER ou .PEM.
Um certificado de folha válido é um certificado de autenticação com um caminho de certificação válido e deve ser vinculado à AC (Autoridade de Certificação) Raiz confiável da Microsoft. Como alternativa, um certificado personalizado (autoassinado) pode ser usado desde que seja confiável pelo cliente (o certificado de Autoridade de Certificação Raiz é instalado no Computador Local 'Autoridades de Certificação Raiz Confiáveis'). Os filhos ou pais do certificado de permitir/bloquear os IoCs (Indicadores de Comprometimento) de certificado não estão incluídos na funcionalidade de permitir/bloquear IoC; somente há suporte para certificados folha. Os certificados assinados da Microsoft não podem ser bloqueados.
Pode levar até 3 horas para criar e remover um IoC de certificado.
Criar um indicador para certificados:
No portal do Microsoft Defender, selecione Configurações > Pontos de extremidade > Indicadores.
Selecione a guia Certificado.
Selecione Adicionar item.
Especifique os seguintes detalhes:
Indicador – Especifique os detalhes da entidade e defina a expiração do indicador.
Ação – Especifique a ação a ser executada e forneça uma descrição.
Escopo – Defina o escopo do grupo de computadores.
Examine os detalhes na guia Resumo e, em seguida, selecione Salvar.
Importar uma lista de IoCs
Você também pode optar por carregar um arquivo CSV que define os atributos dos indicadores, a ação a ser executada e outros detalhes.
Baixe o CSV de exemplo para saber os atributos de coluna com suporte.
No portal do Microsoft Defender, selecione Configurações > Pontos de extremidade > Indicadores.
Selecione a guia do tipo de entidade para a qual você gostaria de importar os indicadores.
Selecione importar > Escolher arquivo.
Selecione Importar. Faça isso para todos os arquivos que você gostaria de importar.
Selecione Concluído.
A tabela abaixo mostra os parâmetros com suporte.
| Parâmetro | Tipo | Descrição |
|---|---|---|
| indicatorType | Enumeração | Tipo do indicador. Os valores possíveis são: "FileSha1", "FileSha256", "IpAddress", "DomainName" e "Url". Obrigatório |
| indicatorValue | String | Identidade da entidade do indicador. Obrigatório |
| ação | Enumeração | A ação que será realizada se o indicador for descoberto na organização. Os valores possíveis são: "Alert", "AlertAndBlock" e "Allowed". Obrigatório |
| título | String | Título de alerta do indicador. Obrigatório |
| descrição | String | Descrição do indicador. Obrigatório |
| expirationTime | DateTimeOffset | O tempo de expiração do indicador no seguinte formato AAAA-MM-DDTHH:MM:SS.0Z. Opcional |
| severidade | Enumeração | A severidade do indicador. Os valores possíveis são: "Informational", "Low", "Medium" e "High". Opcional |
| recommendedActions | String | Ações recomendadas de alerta do indicador de TI. Opcional |
| rbacGroupNames | String | Lista separada por vírgulas de nomes de grupos do RBAC aos quais o indicador será aplicado. Opcional |
| category | String | Categoria do alerta. Os exemplos incluem: execução e acesso à credencial. Opcional |
| Técnicas MITRE | String | Código/ID de técnicas MITRE (separadas por vírgula). Para obter mais informações, consulte Táticas de Enterprise. Opcional: é recomendável adicionar um valor na categoria quando há uma técnica MITRE. |