创建文件指示器
适用于:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 商业版
提示
希望体验 Defender for Endpoint? 注册免费试用版。
重要
在 Defender for Endpoint 计划 1 和 Defender 商业版 中,可以创建一个指示器来阻止或允许文件。 在Defender 商业版中,指标将应用于整个环境,不能限定为特定设备。
注意
若要在 Windows Server 2016 和 Windows Server 2012 R2 上运行此功能,必须使用载入 Windows 服务器中的说明载入这些设备。 macOS 和 Linux 的增强反恶意软件引擎功能中现在也提供了具有“允许”、“阻止”和“修正”操作的自定义文件指示器。
文件指示器禁止潜在的恶意文件或可疑恶意软件,从而防止攻击在组织中进一步传播。 如果你知道一个潜在的恶意可移植可执行文件 (PE) 文件,则可以阻止它。 此操作将阻止在组织中的设备上读取、写入或执行它。
有三种方法可以为文件创建指示器:
- 通过设置页创建指示器
- 使用文件详细信息页中的“添加指示器”按钮创建上下文指示器
- 通过 指示器 API 创建指示器
开始之前
在为文件创建指示器之前,请先了解以下先决条件:
若要开始阻止文件,请在Microsoft Defender门户中的“设置” (中打开“阻止或允许”功能,转到“设置>终结点>常规>高级功能>允许或阻止文件) 。
Windows 先决条件
如果你的组织在活动模式下使用Microsoft Defender防病毒 ()
反恶意软件客户端版本必须为
4.18.1901.x
或更高版本。 请参阅 每月平台和引擎版本在运行 Windows 10 版本 1703 或更高版本、Windows 11、Windows Server 2012 R2、Windows Server 2016 或更高版本、Windows Server 2019 或 Windows Server 2022 的设备上支持此功能。
通过将 设置为
Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\
Enabled 来启用文件哈希计算
注意
文件指示器支持可移植可执行文件 (PE) 文件,仅包括 .exe
和 .dll
文件。
macOS 先决条件
-
文件哈希计算是通过运行启用的
mdatp config enable-file-hash-computation --value enabled
linux 先决条件
在 Defender for Endpoint 版本 101.85.27 或更高版本中可用。
从门户或托管 JSON 中启用文件哈希计算
从设置页为文件创建指示器
在导航窗格中,选择“规则) ”下的“设置>终结点>指示器 (”。
选择“ 文件哈希 ”选项卡。
选择 “添加项”。
指定以下详细信息:
- 指示器:指定实体详细信息并定义指示器的过期时间。
- 操作:指定要执行的操作并提供说明。
- 范围:定义设备组的范围, (范围在Defender 商业版) 中不可用。
注意
Defender for Endpoint 计划 1 和计划 2 都支持创建设备组
查看“摘要”选项卡中的详细信息,然后选择“ 保存”。
从文件详细信息页创建上下文指示器
对文件执行响应操作时,其中一个选项是为文件添加指示器。 为文件添加指示器哈希时,可以选择在组织中的设备尝试运行该文件时引发警报并阻止该文件。
由指示器自动阻止的文件不会显示在文件的“操作中心”中,但警报仍将在“警报”队列中可见。
针对文件阻止操作发出警报 (预览)
重要
本部分中 (公共预览版的自动调查和修正引擎) 中的信息与预发布产品有关,该产品在商业发布前可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
文件 IOC 当前支持的操作包括允许、审核和阻止以及修正。 选择阻止文件后,可以选择是否需要触发警报。 这样,你将能够控制到达安全运营团队的警报数,并确保只引发所需的警报。
在Microsoft Defender门户中,转到“设置>终结点>指示器>添加新文件哈希”。
选择阻止和修正文件。
指定是否针对文件块事件生成警报并定义警报设置:
- 警报标题
- 警报严重性
- 类别
- 说明
- 建议的操作
重要
- 通常,文件块在 15 分钟内强制实施并删除,平均 30 分钟,但可能需要 2 小时以上。
- 如果存在具有相同强制类型和目标的冲突文件 IoC 策略,则将应用更安全哈希的策略。 SHA-256 文件哈希 IoC 策略将胜过 SHA-1 文件哈希 IoC 策略,如果哈希类型定义了同一个文件,该策略将赢得 MD5 文件哈希 IoC 策略。 无论设备组如何,这始终如此。
- 在所有其他情况下,如果具有相同强制目标的冲突文件 IoC 策略应用于所有设备和设备的组,则对于设备,设备组中的策略将获胜。
- 如果禁用 EnableFileHashComputation 组策略,则文件 IoC 的阻止准确性会降低。 但是,启用
EnableFileHashComputation
可能会影响设备性能。 例如,将大型文件从网络共享复制到本地设备(尤其是通过 VPN 连接),可能会对设备性能产生影响。 有关 EnableFileHashComputation 组策略的详细信息,请参阅 Defender CSP。 有关在 Linux 和 macOS 上的 Defender for Endpoint 上配置此功能的详细信息,请参阅在 Linux 上配置文件哈希计算功能和在 macOS 上配置文件哈希计算功能。
高级搜寻功能 (预览)
重要
本部分中 (公共预览版的自动调查和修正引擎) 中的信息与预发布产品有关,该产品在商业发布前可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
目前为预览版,可以提前查询响应操作活动。 下面是高级搜寻查询示例:
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"
有关高级搜寻的详细信息,请参阅 使用高级搜寻主动搜寻威胁。
下面是可在上面的示例查询中使用的其他线程名称:
文件:
EUS:Win32/CustomEnterpriseBlock!cl
EUS:Win32/CustomEnterpriseNoAlertBlock!cl
证书:
EUS:Win32/CustomCertEnterpriseBlock!cl
响应操作活动也可以在设备时间线中查看。
策略冲突处理
证书和文件 IoC 策略处理冲突遵循以下顺序:
如果 Windows Defender 应用程序控制不允许该文件,AppLocker 强制实施模式策略,则 为“阻止”。
否则,如果Microsoft Defender防病毒排除项允许该文件,则为“允许”。
否则,如果文件被阻止或警告或警告文件 IoC,则 为阻止/警告。
否则,如果文件被 SmartScreen 阻止,则 为“阻止”。
否则,如果文件由允许文件 IoC 策略允许,则为 “允许”。
否则,如果文件被攻击面减少规则、受控文件夹访问或防病毒保护阻止,则 为“阻止”。
否则, 允许 (通过 Windows Defender 应用程序控制 & AppLocker 策略,没有 IoC 规则应用于它) 。
注意
如果Microsoft Defender防病毒设置为“阻止”,但文件哈希或证书的 Defender for Endpoint 指示器设置为“允许”,则策略默认为“允许”。
如果存在具有相同强制类型和目标的冲突文件 IoC 策略,则更安全 (的策略意味着应用更长) 哈希。 例如,如果两种哈希类型都定义了同一个文件,则 SHA-256 文件哈希 IoC 策略优先于 MD5 文件哈希 IoC 策略。
警告
文件和证书的策略冲突处理不同于域/URL/IP 地址的策略冲突处理。
Microsoft Defender 漏洞管理阻止易受攻击的应用程序功能使用文件 IoC 进行强制实施,并遵循本节前面所述的冲突处理顺序。
示例
组件 | 组件强制实施 | 文件指示器操作 | 结果 |
---|---|---|---|
攻击面减少文件路径排除 | 允许 | 阻止 | 阻止 |
攻击面减少规则 | 阻止 | 允许 | 允许 |
Windows Defender 应用程序控制 | 允许 | 阻止 | 允许 |
Windows Defender 应用程序控制 | 阻止 | 允许 | 阻止 |
Microsoft Defender防病毒排除 | 允许 | 阻止 | 允许 |
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。