创建指示器

适用于:

提示

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

IoC) (泄露指示器概述

IoC) (泄露指示器是在网络或主机上观察到的取证项目。 IoC 指示已发生计算机或网络入侵,且置信度高。 IoC 是可观测的,它们直接链接到可衡量的事件。 一些 IoC 示例包括:

  • 已知恶意软件的哈希
  • 恶意网络流量的签名
  • 已知恶意软件分发的 URL 或域

若要阻止其他入侵或防止已知 IoC 泄露,成功的 IoC 工具应能够检测工具的规则集枚举的所有恶意数据。 IoC 匹配是每个终结点保护解决方案中的基本功能。 此功能使 SecOps 能够设置用于检测和阻止 (预防和响应) 的指示器列表。

组织可以创建指标来定义 IoC 实体的检测、阻止和排除。 可以定义要执行的操作以及应用操作的持续时间,以及要应用操作的设备组的范围。

此视频演示了创建和添加指标的演练:

关于Microsoft指示器

一般情况下,只应为已知错误的 IoC 或组织中应显式允许的任何文件/网站创建指示器。 有关 Defender for Endpoint 默认可阻止的网站类型的详细信息,请参阅 Microsoft Defender SmartScreen 概述

误报 (FP) 是指 SmartScreen 误报,因此它被视为恶意软件或网络钓鱼,但实际上不是威胁,因此你需要为其创建允许策略。

还可以通过提交误报和可疑或已知错误的 IoC 进行分析,帮助改进Microsoft的安全智能。 如果错误地为文件或应用程序显示警告或阻止,或者如果您怀疑未检测到的文件是恶意软件,则可以将文件提交到Microsoft以供审阅。 有关详细信息,请参阅提交文件进行分析

IP/URL 指示器

可以使用 IP/URL 指示器来取消阻止用户从 SmartScreen 误报 (FP) 或覆盖 Web 内容筛选 (WFC) 块。

可以使用 URL 和 IP 指示器来管理站点访问。 可以创建临时 IP 和 URL 指示器,以暂时取消阻止 SmartScreen 块中的用户。 你可能还具有长时间保留的指示器,以便有选择地绕过 Web 内容筛选块。

请考虑以下情况:特定网站的 Web 内容筛选分类是正确的。 在此示例中,你已将 Web 内容筛选设置为阻止所有社交媒体,这适用于你的整体组织目标。 但是,营销团队确实需要使用特定的社交媒体网站进行广告和公告。 在这种情况下,可以使用要使用的特定组 (或) 组的 IP 或 URL 指示器来取消阻止特定社交媒体网站。

请参阅 Web 保护和Web 内容筛选

IP/URL 指示器:网络保护和 TCP 三向握手

使用网络保护时,在 通过 TCP/IP 进行三向握手后,确定是允许还是阻止对站点的访问。 因此,当站点被网络保护阻止时,你可能会在Microsoft Defender门户中看到操作类型ConnectionSuccessNetworkConnectionEvents,即使站点被阻止也是如此。 NetworkConnectionEvents 从 TCP 层而不是网络保护进行报告。 三向握手完成后,网络保护将允许或阻止对站点的访问。

下面是其工作原理的示例:

  1. 假设用户尝试访问其设备上的网站。 站点恰好托管在危险域中,应受到网络保护的阻止。

  2. 通过 TCP/IP 的三向握手开始。 在操作完成之前,将记录操作 NetworkConnectionEvents ,并将其 ActionType 列为 ConnectionSuccess。 但是,一旦三向握手过程完成,网络保护就会阻止对站点的访问。 这一切发生得很快。 Microsoft Defender SmartScreen 也发生了类似的过程;当三向握手完成时,即会做出决定,并阻止或允许访问站点。

  3. 在Microsoft Defender门户中,警报队列中列出了一个警报。 该警报的详细信息包括 NetworkConnectionEventsAlertEvents。 可以看到站点被阻止,即使你还有一个 NetworkConnectionEvents ActionType 为 的 ConnectionSuccess项。

文件哈希指示器

在某些情况下,为新标识的文件 IoC 创建新指示器(作为即时的停止间隔措施)可能适用于阻止文件甚至应用程序。 但是,使用指示器尝试阻止应用程序可能无法提供预期结果,因为应用程序通常由许多不同的文件组成。 阻止应用程序的首选方法是使用 Windows Defender 应用程序控制 (WDAC) 或 AppLocker。

由于应用程序的每个版本都具有不同的文件哈希,因此不建议使用指示器来阻止哈希。

Windows Defender 应用程序控制 (WDAC)

证书指示器

在某些情况下,是用于对组织设置为允许或阻止的文件或应用程序进行签名的特定证书。 如果 Defender for Endpoint 使用 证书指示器,则支持证书指示器。CER 或 。PEM 文件格式。 有关更多详细信息,请参阅 基于证书创建指示器

IoC 检测引擎

目前,IoC 支持的Microsoft源包括:

云检测引擎

Defender for Endpoint 的云检测引擎会定期扫描收集的数据,并尝试匹配你设置的指标。 当存在匹配项时,将根据为 IoC 指定的设置执行操作。

终结点防护引擎

预防代理遵循相同的指标列表。 这意味着,如果Microsoft Defender防病毒是配置的主要防病毒,则会根据设置处理匹配的指示器。 例如,如果操作为“警报和阻止”,Microsoft Defender防病毒会阻止文件执行, (阻止和修正) 并显示相应的警报。 另一方面,如果操作设置为“允许”,Microsoft Defender防病毒不会检测或阻止该文件。

自动调查和修正引擎

自动调查和修正的行为类似于终结点防护引擎。 如果指示器设置为“允许”,则自动调查和修正会忽略其“错误”判决。 如果设置为“阻止”,则自动调查和修正会将其视为“坏”。

设置 EnableFileHashComputation 在文件扫描期间计算证书和文件 IoC 的文件哈希。 它支持 IoC 强制实施属于受信任应用程序的哈希和证书。 它通过允许或阻止文件设置同时启用。 EnableFileHashComputation通过 组策略 手动启用,默认情况下处于禁用状态。

指标的强制类型

当安全团队 (IoC) 创建新的指示器时,可执行以下操作:

  • 允许 - 允许 IoC 在设备上运行。
  • 审核 – IoC 运行时会触发警报。
  • 警告 - IoC 提示用户可绕过的警告
  • 阻止执行 - 不允许运行 IoC。
  • 阻止和修正 - 不允许运行 IoC,并将修正操作应用于 IoC。

注意

如果用户打开有风险的应用或网站,则使用警告模式将提示用户。 提示不会阻止他们允许应用程序或网站运行,但你可以提供自定义消息和指向描述应用适当用法的公司页面的链接。 用户仍然可以绕过警告,并根据需要继续使用应用。 有关详细信息,请参阅治理Microsoft Defender for Endpoint发现的应用。

可以为以下项创建指示器:

下表准确显示了 IoC) 类型 (指示器可用的操作:

IoC 类型 可用操作
Files 允许
Audit
警告
阻止执行
阻止和修正
IP 地址 允许
Audit
警告
阻止执行
URL 和域 允许
Audit
警告
阻止执行
证书 允许
阻止和修正

预先存在的 IoC 的功能不会更改。 但是,指示器已重命名,以匹配当前支持的响应操作:

  • “仅警报”响应操作已重命名为“audit”,并启用了生成的警报设置。
  • “警报和阻止”响应已重命名为“阻止和修正”,并具有可选的生成警报设置。

IoC API 架构和提前搜寻的威胁 ID 会更新,以便与 IoC 响应操作的重命名保持一致。 API 方案更改适用于所有 IoC 类型。

注意

每个租户限制为 15,000 个指示器。 不支持提高到此限制。

文件和证书指示器不会阻止为 Microsoft Defender 防病毒定义的排除项。 当防病毒处于被动模式时,Microsoft Defender防病毒不支持指示器。

导入新指标 (IoC) 的格式已根据新的更新操作和警报设置而更改。 建议下载可在导入面板底部找到的新 CSV 格式。

已知问题和限制

客户可能会遇到泄露指示器警报问题。 以下方案是未创建警报或创建时信息不准确的情况。 每个问题都由我们的工程团队调查。

  • 阻止指示器 – 将触发仅具有信息严重性的一般警报。 自定义警报 (即,在这些情况下不会触发自定义标题和严重性) 。
  • 警告指示器 - 此方案中可以使用一般警报和自定义警报,但由于警报检测逻辑存在问题,结果不是确定性的。 在某些情况下,客户可能会看到通用警报,而自定义警报可能会在其他情况下显示。
  • 允许 - 设计) (不会生成警报。
  • 审核 - 根据客户提供的严重性生成警报。
  • 在某些情况下,来自 EDR 检测的警报可能优先于来自防病毒块的警报,在这种情况下,将生成信息警报。

Microsoft Microsoft Store 应用不能被 Defender 阻止,因为它们是由Microsoft签名的。

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区