创建文件指示器

适用于:

提示

希望体验 Defender for Endpoint? 注册免费试用版

重要

在 Defender for Endpoint 计划 1 和 Defender 商业版 中,可以创建一个指示器来阻止或允许文件。 在Defender 商业版中,指标将应用于整个环境,不能限定为特定设备。

注意

若要在 Windows Server 2016 和 Windows Server 2012 R2 上运行此功能,必须使用载入 Windows 服务器中的说明载入这些设备。 macOS 和 Linux 的增强反恶意软件引擎功能中现在也提供了具有“允许”、“阻止”和“修正”操作的自定义文件指示器。

文件指示器禁止潜在的恶意文件或可疑恶意软件,从而防止攻击在组织中进一步传播。 如果你知道一个潜在的恶意可移植可执行文件 (PE) 文件,则可以阻止它。 此操作将阻止在组织中的设备上读取、写入或执行它。

有三种方法可以为文件创建指示器:

  • 通过设置页创建指示器
  • 使用文件详细信息页中的“添加指示器”按钮创建上下文指示器
  • 通过 指示器 API 创建指示器

开始之前

在为文件创建指示器之前,请先了解以下先决条件:

Windows 先决条件

  • 如果你的组织在活动模式下使用Microsoft Defender防病毒 ()

  • 反恶意软件客户端版本必须为 4.18.1901.x 或更高版本。 请参阅 每月平台和引擎版本

  • 在运行 Windows 10 版本 1703 或更高版本、Windows 11、Windows Server 2012 R2、Windows Server 2016 或更高版本、Windows Server 2019 或 Windows Server 2022 的设备上支持此功能。

  • 通过将 设置为 Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\Enabled 来启用文件哈希计算

注意

文件指示器支持可移植可执行文件 (PE) 文件,仅包括 .exe.dll 文件。

macOS 先决条件

linux 先决条件

从设置页为文件创建指示器

  1. 在导航窗格中,选择“规则) ”下的“设置>终结点>指示器 (”。

  2. 选择“ 文件哈希 ”选项卡。

  3. 选择 “添加项”。

  4. 指定以下详细信息:

    • 指示器:指定实体详细信息并定义指示器的过期时间。
    • 操作:指定要执行的操作并提供说明。
    • 范围:定义设备组的范围, (范围在Defender 商业版) 中不可用。

    注意

    Defender for Endpoint 计划 1 和计划 2 都支持创建设备组

  5. 查看“摘要”选项卡中的详细信息,然后选择“ 保存”。

从文件详细信息页创建上下文指示器

对文件执行响应操作时,其中一个选项是为文件添加指示器。 为文件添加指示器哈希时,可以选择在组织中的设备尝试运行该文件时引发警报并阻止该文件。

由指示器自动阻止的文件不会显示在文件的“操作中心”中,但警报仍将在“警报”队列中可见。

针对文件阻止操作发出警报 (预览)

重要

本部分中 (公共预览版的自动调查和修正引擎) 中的信息与预发布产品有关,该产品在商业发布前可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

文件 IOC 当前支持的操作包括允许、审核和阻止以及修正。 选择阻止文件后,可以选择是否需要触发警报。 这样,你将能够控制到达安全运营团队的警报数,并确保只引发所需的警报。

  1. Microsoft Defender门户中,转到“设置>终结点>指示器>添加新文件哈希”。

  2. 选择阻止和修正文件。

  3. 指定是否针对文件块事件生成警报并定义警报设置:

    • 警报标题
    • 警报严重性
    • 类别
    • 说明
    • 建议的操作

    文件指示器的警报设置

    重要

    • 通常,文件块在 15 分钟内强制实施并删除,平均 30 分钟,但可能需要 2 小时以上。
    • 如果存在具有相同强制类型和目标的冲突文件 IoC 策略,则将应用更安全哈希的策略。 SHA-256 文件哈希 IoC 策略将胜过 SHA-1 文件哈希 IoC 策略,如果哈希类型定义了同一个文件,该策略将赢得 MD5 文件哈希 IoC 策略。 无论设备组如何,这始终如此。
    • 在所有其他情况下,如果具有相同强制目标的冲突文件 IoC 策略应用于所有设备和设备的组,则对于设备,设备组中的策略将获胜。
    • 如果禁用 EnableFileHashComputation 组策略,则文件 IoC 的阻止准确性会降低。 但是,启用 EnableFileHashComputation 可能会影响设备性能。 例如,将大型文件从网络共享复制到本地设备(尤其是通过 VPN 连接),可能会对设备性能产生影响。 有关 EnableFileHashComputation 组策略的详细信息,请参阅 Defender CSP。 有关在 Linux 和 macOS 上的 Defender for Endpoint 上配置此功能的详细信息,请参阅在 Linux 上配置文件哈希计算功能和在 macOS 上配置文件哈希计算功能

高级搜寻功能 (预览)

重要

本部分中 (公共预览版的自动调查和修正引擎) 中的信息与预发布产品有关,该产品在商业发布前可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

目前为预览版,可以提前查询响应操作活动。 下面是高级搜寻查询示例:

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

有关高级搜寻的详细信息,请参阅 使用高级搜寻主动搜寻威胁

下面是可在上面的示例查询中使用的其他线程名称:

文件:

  • EUS:Win32/CustomEnterpriseBlock!cl
  • EUS:Win32/CustomEnterpriseNoAlertBlock!cl

证书:

  • EUS:Win32/CustomCertEnterpriseBlock!cl

响应操作活动也可以在设备时间线中查看。

策略冲突处理

证书和文件 IoC 策略处理冲突遵循以下顺序:

  1. 如果 Windows Defender 应用程序控制不允许该文件,AppLocker 强制实施模式策略,则 为“阻止”。

  2. 否则,如果Microsoft Defender防病毒排除项允许该文件,则为“允许”。

  3. 否则,如果文件被阻止或警告或警告文件 IoC,则 为阻止/警告

  4. 否则,如果文件被 SmartScreen 阻止,则 为“阻止”。

  5. 否则,如果文件由允许文件 IoC 策略允许,则为 “允许”。

  6. 否则,如果文件被攻击面减少规则、受控文件夹访问或防病毒保护阻止,则 为“阻止”。

  7. 否则, 允许 (通过 Windows Defender 应用程序控制 & AppLocker 策略,没有 IoC 规则应用于它) 。

注意

如果Microsoft Defender防病毒设置为“阻止”,但文件哈希或证书的 Defender for Endpoint 指示器设置为“允许”,则策略默认为“允许”。

如果存在具有相同强制类型和目标的冲突文件 IoC 策略,则更安全 (的策略意味着应用更长) 哈希。 例如,如果两种哈希类型都定义了同一个文件,则 SHA-256 文件哈希 IoC 策略优先于 MD5 文件哈希 IoC 策略。

警告

文件和证书的策略冲突处理不同于域/URL/IP 地址的策略冲突处理。

Microsoft Defender 漏洞管理阻止易受攻击的应用程序功能使用文件 IoC 进行强制实施,并遵循本节前面所述的冲突处理顺序。

示例

组件 组件强制实施 文件指示器操作 结果
攻击面减少文件路径排除 允许 阻止 阻止
攻击面减少规则 阻止 允许 允许
Windows Defender 应用程序控制 允许 阻止 允许
Windows Defender 应用程序控制 阻止 允许 阻止
Microsoft Defender防病毒排除 允许 阻止 允许

另请参阅

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区