管理指標

  • 10 分鐘

入侵指標 (IoC) 比對是每個端點保護解決方案的基本功能。 此功能讓 SecOps 能夠設定偵測指標的清單並進行封鎖 (防護和回應)。 建立定義偵測、防護和排除實體的指標。 您可以定義要採取的動作、套用動作的持續時間,以及要套用的裝置群組範圍。

目前支援的來源為適用於端點的 Defender 的雲端偵測引擎、自動化調查和補救引擎,以及端點防護引擎 (Microsoft Defender AV)。

雲端偵測引擎

適用於端點的 Defender 的雲端偵測引擎會定期掃描收集的資料,並嘗試與您設定的指標進行比對。 如果相符,將根據您指定的 IoC 設定採取動作。

端點防護引擎

防護代理程式會接受相同的指標清單。 這表示,如果將 Microsoft Defender AV 設定為主要的 AV,將根據設定來處理相符的指標。 例如,如果動作為「警示並封鎖」,Microsoft Defender AV 將阻止檔案執行 (封鎖並補救),而且將發出對應的警示。 除此以外,如果將動作設為「允許」,Microsoft Defender AV 將不會偵測或封鎖檔案執行。

自動化調查和補救引擎

自動化調查和補救具有相同的行為。 如果將指標設定為「允許」,自動化調查和補救將會忽略指標的「不良」判定。 如果設定為「封鎖」,自動化調查和補救會將其視為「不良」。

目前支援的動作包括:

  • 允許

  • 僅限警示

  • 警示並封鎖

您可以為以下項目建立指標:

  • Files

  • IP 位址、URL/網域

  • 憑證

每個租用戶的上限為 15,000 個指標。

管理指標

管理指標:

  • 在瀏覽窗格中,選取 [設定] > [端點],然後選取 [規則] 區域中的 [指標]

  • 選取您要管理之實體類型的索引標籤。

  • 如果您想要從清單中移除實體,請更新指標詳細資料,然後選取 [儲存] 或 [刪除] 按鈕。

建立檔案的指標

您可以透過阻擋可能惡意的檔案或可疑的惡意程式碼,防止攻擊進一步在您的組織中傳播。 如果您知道可能惡意的可攜式執行檔 (PE),即可加以封鎖。 此作業將可防止其他人在您組織中的機器上讀取、寫入或執行該檔案。

您可以透過兩種方式建立檔案的指標:

  • 透過 [設定] 頁面建立指標

  • 使用 [檔案詳細資料] 頁面中的 [新增指標] 按鈕來建立內容指標

必要條件

建立檔案的指標之前,您應該先了解下列必要條件:

  • 只有當您的組織使用 Windows Defender 防毒軟體且已啟用雲端式保護時,此功能才適用。 如需詳細資訊,請參閱<管理雲端式保護>。

  • 反惡意程式碼軟體用戶端版本必須是 4.18.1901.x 或更新版本。

  • 只有安裝 Windows 10 1703 版或更新版本、Windows Server 2016 和 2019 的機器才支援。

  • 如要開始封鎖檔案,您必須先在 [設定] 中開啟 [封鎖] 或 [允許] 功能。

  • 此功能是設計來防止從 Web 下載可疑的惡意程式碼 (或可能惡意的檔案)。 其目前支援可攜式執行檔 (PE),包括 .exe 和 .dll 檔案。 涵蓋範圍將隨著時間而擴大。

重要

如果檔案的分類存在於允許或封鎖動作之前的裝置快取上,則無法在檔案上執行允許或封鎖函式。 受信任且已簽署的檔案將會以不同方式處理。 適用於端點的 Defender 已最佳化,可處理惡意檔案。 在某些情況下,嘗試封鎖受信任且已簽署的檔案可能會影響效能。 系統通常會在幾分鐘內會強制執行檔案封鎖,但也可能需要花費至 30 分鐘。

從檔案詳細資料頁面建立內容指標

針對檔案採取回應動作時,其中一個選項是新增檔案的指標。 當您新增檔案的指標雜湊時,可以選擇引發警示,在組織中的機器嘗試執行該檔案時將其封鎖。 由指標自動封鎖的檔案將不會顯示在檔案的動作中心,但警示仍將顯示在 [警示] 佇列中。

建立 IP 和 URL/網域的指標

適用於端點的 Defender 可以透過 Windows Defender SmartScreen 針對 Microsoft 瀏覽器,以及透過網路保護針對非 Microsoft 瀏覽器或在瀏覽器外部發出的呼叫,封鎖 Microsoft 視為惡意 IP/URL 的項目。

為此所設定的威脅情報資料已由 Microsoft 管理。

透過建立 IP 和 URL 或網域的指標,您現在可以根據自己的威脅情報來允許或封鎖 IP、URL 或網域。 如果您認為某些群組的風險相較於其他群組來得高或低,您可以透過 [設定] 頁面或依機器群組來執行此動作。 不支援針對 IP 位址的無類別網域間路由選擇 (CIDR) 標記法。

必要條件

建立 IP、URL 或網域的指標之前,您應該先了解下列必要條件:

  • URL/IP 的允許和封鎖,依賴要在封鎖模式中啟用適用於端點的 Defender 元件「網路保護」。 如需有關網路保護和設定指示的詳細資訊,請參閱<啟用網路保護>。

  • 反惡意程式碼軟體用戶端版本必須是 4.18.1906.x 或更新版本。

  • 只有安裝 Windows 10 1709 版或更新版本的機器上才支援。

  • 確定已在 [Microsoft Defender 資訊安全中心] > [設定] > [進階功能] 中啟用 [自訂網路指標]。 如需詳細資訊,請參閱<進階功能>。

只有外部 IP 可以新增至指標清單。 無法為內部 IP 建立指標。 針對網頁保護案例,我們建議使用 Microsoft Edge 中的內建功能。 Microsoft Edge 會使用網路保護來檢查網路流量,並允許針對 TCP、HTTP 和 HTTPS (TLS) 進行封鎖。 針對所有其他流程,Web 防護案例會使用網路保護來檢查和強制執行:

  • 三種通訊協定全都支援 IP

  • 只支援單一 IP 位址 (沒有 CIDR 區塊或 IP 範圍)

  • 只能在第一方瀏覽器上封鎖加密的 URL (完整路徑)

  • 可以在第一方瀏覽器之外封鎖加密的 URL (僅 FQDN)

  • 完整的 URL 路徑封鎖可以在網域層級和所有未加密的 URL 上套用

在採取動作到封鎖 URL 及 IP 之間,最多可能有 2 小時的延遲 (通常較短)。

建立 IP、URL 或網域的指標

  1. 在瀏覽窗格中,選取 [設定] > [指標]

  2. 選取 [IP 位址] 或 [URL/網域] 索引標籤。

  3. 選取 [新增項目]

  4. 指定下列詳細資料:

    • 指標:指定實體詳細資料,並定義指標的到期日。

    • 動作:指定要採取的動作,並提供描述。

    • 範圍:定義機器群組的範圍。

  5. 查看 [摘要] 索引標籤中的詳細資料,然後選取 [儲存]

根據憑證建立指標

您可以建立憑證的指標。 一些常見的使用案例包括:

  • 當您需要部署封鎖技術 (例如,受攻擊面縮小規則和受控資料夾存取權),但需要透過在允許清單中新增憑證來允許已簽署應用程式之行為的案例。

  • 禁止跨組織使用特定已簽署的應用程式。 透過建立指標來封鎖應用程式的憑證,Windows Defender AV 將阻止檔案執行 (封鎖並補救),而自動化調查和補救將會有相同的行為。

必要條件

建立憑證的指標之前,您應該先了解下列需求:

  • 只有當您的組織使用 Windows Defender 防毒軟體且已啟用雲端式保護時,此功能才適用。 如需詳細資訊,請參閱<管理雲端式保護>。

  • 反惡意程式碼軟體用戶端版本必須是 4.18.1901.x 或更新版本。

  • 只有在安裝 Windows 10 1703 版或更新版本、Windows Server 2016 和 2019 的機器上才支援。

  • 病毒與威脅防護定義必須是最新的。

  • 此功能目前支援輸入 .CER 或 .PEM 副檔名。

有效的分葉憑證是具備有效憑證路徑的簽署憑證,而且必須鏈結到 Microsoft 信任的根憑證授權單位 (CA)。 或者,只要用戶端信任,就可以使用自訂 (自我簽署) 憑證 (根 CA 憑證會安裝在本機電腦的「信任的根憑證授權單位」底下)。 允許/封鎖憑證 IOC 的子系或父代不會包含在允許/封鎖 IoC 功能中;僅支援分葉憑證。 無法封鎖 Microsoft 簽署的憑證。

建立和移除憑證 IoC 最多可能需要 3 小時。

建立憑證的指標:

  1. 在 Microsoft Defender 入口網站中,選取 [設定] > [端點] > [指標]

  2. 選取 [憑證] 索引標籤。

  3. 選取 [+ 新增項目]

  4. 指定下列詳細資料:

    • 指標:指定實體詳細資料,並定義指標的到期日。

    • 動作:指定要採取的動作,並提供描述。

    • 範圍:定義機器群組的範圍。

  5. 查看 [摘要] 索引標籤中的詳細資料,然後選取 [儲存]

匯入 IoC 清單

您也可以選擇上傳 CSV 檔案,其中會定義指標屬性、要採取的動作,以及其他詳細資料。

下載 CSV 範例以瞭解支援的資料行屬性。

  1. 在 Microsoft Defender 入口網站中,選取 [設定] > [端點] > [指標]

  2. 選取您要匯入指標的實體類型索引標籤。

  3. 選取 [匯入] > [選擇檔案]

  4. 選取匯入。 針對您想要匯入的所有檔案,執行此動作。

  5. 選取完成

下表顯示支援的參數。

參數 類型 描述
indicatorType 列舉 指標的類型。 可能的值為:"FileSha1"、"FileSha256"、"IpAddress"、"DomainName" 和 "Url"。 必要
indicatorValue String 指標實體的身分識別。 必要
action 列舉 如果在組織中發現指標,將採取的動作。 可能的值為:"Alert"、"AlertAndBlock" 及 "Allowed"。 必要
title String 指標警示標題。 必要
description String 指標的描述。 必要
expirationTime DateTimeOffset 指標的到期時間,格式為 YYYY-MM-DDTHH:MM:SS.0Z。 選擇性
severity 列舉 指標的嚴重性。 可能的值為:"Informational"、"Low"、"Medium" 及 "High"。 選擇性
recommendedActions String TI 指標警示建議的動作。 選擇性
rbacGroupNames String 要套用指標的 RBAC 群組名稱清單 (以逗號分隔)。 選擇性
category String 警示的類別。 範例包括:執行和認證存取。 選擇性
MITRE 技術 String MITRE 技術程式碼/識別碼 (以逗號分隔)。 如需詳細資訊,請參閱<企業策略>。 (選擇性) 在 MITRE 技術的情況下,建議您在 [類別] 中新增一個值。