適用於端點的 Microsoft Defender 中的指標概觀

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

提示

想要體驗適用於端點的 Microsoft Defender 嗎？ 注册免費試用版。

IoC) 概觀 (入侵指標

IoC) (入侵指標是在網路或主機上觀察到的鑑識成品。 IoC 表示已發生電腦或網路入侵，且信賴度很高。 IoC 是可觀察的，這會將它們直接連結至可測量的事件。 某些 IoC 範例包括：

• 已知惡意代碼的哈希
• 惡意網路流量的簽章
• 已知惡意代碼散發者的 URL 或網域

若要停止其他入侵或防止入侵已知的 IoC，成功的 IoC 工具應該能夠偵測工具規則集所列舉的所有惡意數據。 IoC 比對是每個端點保護解決方案中不可或缺的功能。 這項功能可讓 SecOps 設定偵測指標清單，以及封鎖 (防護和回應) 。

組織可以建立指標來定義IoC實體的偵測、預防和排除。 您可以定義要採取的動作，以及何時套用動作的持續時間，以及要套用動作的裝置群組範圍。

這段影片示範如何建立和新增指標的逐步解說：

關於Microsoft指標

一般而言，您應該只針對已知的不正確 IoC 建立指標，或針對組織中應明確允許的任何檔案/網站建立指標。 如需適用於端點的 Defender 預設可以封鎖之網站類型的詳細資訊，請參閱 Microsoft Defender SmartScreen 概觀。

誤判 (FP) 是指 SmartScreen 誤判，因此被視為惡意代碼或網路釣魚，但實際上不是威脅，因此您想要為其建立允許原則。

您也可以提交誤判和可疑或已知不正確的 IoC 進行分析，協助提升Microsoft的安全性智慧。 如果檔案或應用程式的警告或區塊未正確顯示，或者您懷疑未偵測到的檔案是惡意代碼，您可以將檔案提交給Microsoft以供檢閱。 如需詳細資訊，請參閱 提交要分析的檔案。

IP/URL 指標

您可以使用IP/URL指標，將使用者從SmartScreen誤判 (FP) ，或覆寫 WFC) 區塊 (Web 內容篩選。

您可以使用 URL 和 IP 指標來管理網站存取。 您可以建立過渡 IP 和 URL 指標，以暫時解除封鎖 SmartScreen 區塊中的使用者。 您也可能有長時間保留的指標，可選擇性地略過 Web 內容篩選區塊。

假設您有正確特定網站的 Web 內容篩選分類。 在此範例中，您已設定 Web 內容篩選來封鎖所有社交媒體，這對於您的整體組織目標是正確的。 不過，行銷小組真的需要使用特定的社交媒體網站進行廣告和公告。 在此情況下，您可以針對要使用的特定群組 (或群組，使用IP或URL指標來解除封鎖特定的社交媒體網站) 。

請參閱 Web 保護 和 Web 內容篩選

IP/URL 指標：網路保護和 TCP 三向交握

透過網路保護，在完成透過 TCP/IP 的三向交握之後，決定是否允許或封鎖網站的存取。 因此，當網站遭到網路保護封鎖時，即使網站遭到封鎖，您還是可能會在 Microsoft Defender 入口網站中看到 下方的動作類型ConnectionSuccessNetworkConnectionEvents。 NetworkConnectionEvents 會從 TCP 層回報，而不是從網路保護回報。 完成三向交握之後，網路保護會允許或封鎖網站的存取。

以下是運作方式的範例：

1. 假設用戶嘗試存取其裝置上的網站。 網站正好裝載在危險的網域上，而且應該遭到網路保護封鎖。

2. 透過 TCP/IP 的三向交握會開始。 完成之前， NetworkConnectionEvents 會記錄動作，並將其 ActionType 列為 ConnectionSuccess。 不過，一旦三向交握程式完成，網路保護就會封鎖網站的存取。 這一切都會快速發生。 Microsoft Defender SmartScreen 也會發生類似的程式;在三向交握完成時，會進行判斷，並封鎖或允許存取網站。

3. 在 Microsoft Defender 入口網站中，警示會列在警示佇列中。 該警示的詳細資料包括 和 NetworkConnectionEventsAlertEvents。 您可以看到網站遭到封鎖，即使您也有 ActionType 為 的專案ConnectionSuccess也一NetworkConnectionEvents樣。

檔案哈希指標

在某些情況下，為新識別的檔案 IoC 建立新的指標 -做為立即的間距量值 - 可能適合用來封鎖檔案或甚至應用程式。 不過，使用指標嘗試封鎖應用程式可能不會提供預期的結果，因為應用程式通常是由許多不同的檔案所組成。 封鎖應用程式的慣用方法是使用 Windows Defender 應用程控 (WDAC) 或 AppLocker。

因為應用程式的每個版本都有不同的檔案哈希，所以不建議使用指標來封鎖哈希。

Windows Defender 應用程控 (WDAC)

憑證指標

在某些情況下，用來簽署您組織設定為允許或封鎖之檔案或應用程式的特定憑證。 如果適用於端點的 Defender 使用 ，則支持憑證指標。CER 或 。PEM 檔案格式。 如需詳細資訊，請參閱 根據憑證建立 指標。

IoC 偵測引擎

目前，IoC 支援的Microsoft來源如下：

• 適用於端點的Defender雲端偵測引擎
• (AIR) 引擎中的自動化調查和補救 適用於端點的 Microsoft Defender
• 端點防護引擎 (Microsoft Defender 防病毒軟體)

雲端偵測引擎

適用於端點的 Defender 雲端偵測引擎會定期掃描收集的數據，並嘗試符合您設定的指標。 當有相符專案時，會根據您為IoC指定的設定來採取動作。

端點防護引擎

防護代理程式會接受相同的指標清單。 也就是說，如果 Microsoft Defender 防病毒軟體是設定的主要防病毒軟體，則會根據設定來處理相符的指標。 例如，如果動作是「警示和封鎖」，Microsoft Defender 防病毒軟體會防止檔案執行 (封鎖和補救) ，並出現對應的警示。 另一方面，如果 [動作] 設定為 [允許]，Microsoft Defender 防病毒軟體不會偵測或封鎖檔案。

自動化調查和補救引擎

自動化調查和補救的行為與端點預防引擎類似。 如果指標設定為 「允許」，則自動化調查和補救會忽略其「錯誤」的決策。 如果設定為 「封鎖」，自動化調查和補救會將它視為「錯誤」。

設定 EnableFileHashComputation 會在檔案掃描期間計算憑證和檔案IoC的檔案哈希。 它支援IoC強制執行屬於受信任應用程式的哈希和憑證。 其會使用允許或封鎖檔案設定同時啟用。 EnableFileHashComputation會透過 群組原則 手動啟用，且預設為停用。

指標的強制類型

當您的安全性小組在IoC) (建立新的指標時，可以使用下列動作：

• 允許：允許IoC在您的裝置上執行。
• 稽核：IoC 執行時會觸發警示。
• 警告：IoC 會提示用戶可以略過的警告
• 封鎖執行：不允許執行IoC。
• 封鎖和補救：不允許IoC執行，且補救動作會套用至IoC。

注意事項

如果使用者開啟有風險的應用程式或網站，則使用警告模式會提示使用者發出警告。 提示不會封鎖他們允許應用程式或網站執行，但您可以提供自定義訊息，以及描述應用程式適當使用方式的公司頁面連結。 使用者仍然可以略過警告，並視需要繼續使用應用程式。 如需詳細資訊，請參閱管理 適用於端點的 Microsoft Defender 探索到的應用程式。

您可以為下列專案建立指標：

• Files
• IP 位址
• URL/網域
• 憑證

下表顯示每個指標 (IoC) 類型的確切可用動作：

IoC 類型	可用的動作
Files	允許 稽核 警告 封鎖執行 封鎖和補救
IP 位址	允許 稽核 警告 封鎖執行
URL 和網域	允許 稽核 警告 封鎖執行
憑證	允許 封鎖和補救

現有IoC的功能不會變更。 不過，指標已重新命名，以符合目前支持的響應動作：

• 「僅限警示」回應動作已重新命名為「稽核」，並已啟用產生的警示設定。
• 「警示和封鎖」回應已重新命名為「封鎖和補救」，並具有選擇性的產生警示設定。

系統會事先更新IoC API架構和威脅標識碼，以配合重新命名IoC回應動作。 API 設定變更適用於所有 IoC 類型。

注意事項

每個租使用者有15,000個指標的限制。 不支援增加此限制。

檔案和憑證指標不會封鎖針對 Microsoft Defender 防病毒軟體定義的排除專案。 處於被動模式時，Microsoft Defender 防病毒軟體不支持指標。

匯入新指標 (IoC) 的格式已根據新的更新動作和警示設定而變更。 建議您下載可在匯入面板底部找到的新 CSV 格式。

如果指標從獲批准或未批准應用程式的 Microsoft Defender for Cloud Apps 同步至 Microsoft Defender 入口網站，Generate Alert則預設會在 Microsoft Defender 入口網站中啟用此選項。 如果您嘗試清除Generate Alert適用於端點的Defender選項，則會在一段時間後重新啟用，因為 Defender for Cloud Apps原則會覆寫它。

已知問題和限制

客戶可能會遇到入侵指標警示的問題。 下列案例是警示未建立或是以不正確資訊建立的情況。 我們的工程小組會調查每個問題。

• 封鎖指標：只會引發具有資訊嚴重性的一般警示。 自定義警示 (，也就是在這些情況下不會引發自定義標題和嚴重性) 。
• 警告指標：在此案例中可以使用一般警示和自定義警示，不過，由於警示偵測邏輯發生問題，因此結果不具決定性。 在某些情況下，客戶可能會看到一般警示，而自定義警示可能會在其他情況下顯示。
• 允許：設計) 不會產生任何警示 (。
• 稽核：警示會根據客戶所提供的嚴重性產生。
• 在某些情況下，來自 EDR 偵測的警示可能會優先於來自防病毒軟體區塊的警示，在此情況下會產生資訊警示。

Microsoft市集應用程式無法由 Defender 封鎖，因為它們是由 Microsoft 所簽署。

相關文章

• 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案
• 建立關係型IoC
• 使用 適用於端點的 Microsoft Defender 指標 API
• 使用合作夥伴整合式解決方案

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群：適用於端點的 Microsoft Defender 技術社群。