Vytváření indikátorů pro soubory
Platí pro:
- Microsoft Defender XDR
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender pro firmy
Tip
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Důležité
V Defenderu for Endpoint Plan 1 a Defender pro firmy můžete vytvořit indikátor pro blokování nebo povolení souboru. V Defender pro firmy se váš indikátor použije ve vašem prostředí a nedá se určit na konkrétní zařízení.
Poznámka
Aby tato funkce fungovala na Windows Server 2016 a Windows Server 2012 R2, musí být tato zařízení nasazená podle pokynů v tématu Onboarding serverů s Windows. Vlastní indikátory souborů s akcemi Povolit, Blokovat a Napravit jsou teď k dispozici také v rozšířených funkcích antimalwarového modulu pro macOS a Linux.
Indikátory souborů brání dalšímu šíření útoku ve vaší organizaci tím, že zakážou potenciálně škodlivé soubory nebo podezřelý malware. Pokud znáte potenciálně škodlivý přenosný spustitelný soubor (PE), můžete ho zablokovat. Tato operace zabrání jejímu čtení, zápisu nebo spuštění na zařízeních ve vaší organizaci.
Existují tři způsoby, jak můžete vytvořit indikátory pro soubory:
- Vytvořením indikátoru prostřednictvím stránky nastavení
- Vytvořením kontextového indikátoru pomocí tlačítka přidat indikátor ze stránky s podrobnostmi o souboru
- Vytvořením ukazatele prostřednictvím rozhraní API pro indikátory
Než začnete
Než vytvoříte indikátory pro soubory, seznamte se s následujícími požadavky:
Pokud chcete začít blokovatsoubory, zapněte v Nastavení funkci blokovat nebo povolit (na portálu Microsoft Defender přejděte na Nastavení>Obecné pokročilé funkce> Koncové body>> Povolit nebo blokovat soubor).
Požadavky na Windows
Tato funkce je dostupná, pokud vaše organizace používá Microsoft Defender Antivirovou ochranu (v aktivním režimu).
Verze antimalwarového klienta musí být
4.18.1901.xnebo novější. Viz Měsíční verze platformy a modulu.Tato funkce je podporovaná na zařízeních se systémem Windows 10 verze 1703 nebo novější, Windows 11, Windows Server 2012 R2, Windows Server 2016 nebo novějším, Windows Serverem 2019 nebo Windows Serverem 2022.
Výpočet hodnoty hash souboru je povolený nastavením
Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\na Povoleno.
Poznámka
Indikátory souborů podporují pouze přenosné spustitelné soubory (PE), včetně .exe souborů a .dll .
Požadavky na macOS
-
Výpočet hodnoty hash souboru je povolen spuštěním příkazu .
mdatp config enable-file-hash-computation --value enabled
Požadavky na linux
K dispozici v Defenderu for Endpoint verze 101.85.27 nebo novější.
Výpočet hodnoty hash souboru je povolený na portálu nebo ve spravovaném formátu JSON.
Vytvoření indikátoru pro soubory ze stránky nastavení
V navigačním podokně vyberteIndikátory koncových bodů>nastavení>(v části Pravidla).
Vyberte kartu Hodnoty hash souborů .
Vyberte Přidat položku.
Zadejte následující podrobnosti:
- Indikátor: Zadejte podrobnosti entity a definujte vypršení platnosti ukazatele.
- Akce: Zadejte akci, která se má provést, a zadejte popis.
- Obor: Definujte rozsah skupiny zařízení (rozsah není k dispozici v Defender pro firmy).
Poznámka
Vytvoření skupiny zařízení se podporuje v Defenderu for Endpoint Plan 1 i Plan 2.
Zkontrolujte podrobnosti na kartě Souhrn a pak vyberte Uložit.
Vytvoření kontextového indikátoru ze stránky podrobností souboru
Jednou z možností při provádění akcí odpovědí u souboru je přidání indikátoru pro soubor. Když pro soubor přidáte hodnotu hash ukazatele, můžete vyvolat upozornění a soubor zablokovat, kdykoli se ho zařízení ve vaší organizaci pokusí spustit.
Soubory automaticky blokované indikátorem se v centru akcí souboru nezobrazí, ale výstrahy budou stále viditelné ve frontě upozornění.
Upozorňování na akce blokování souborů (Preview)
Důležité
Informace v této části (Verze Public Preview pro modul automatizovaného vyšetřování a nápravy) se týkají předběžné verze produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Aktuálně podporované akce pro IOC souborů jsou povolení, audit, blokování a náprava. Po výběru blokování souboru můžete zvolit, jestli je potřeba aktivovat upozornění. Tímto způsobem budete moct řídit počet výstrah, které se dostanou k vašim týmům pro operace zabezpečení, a zajistit, aby se vygenerovaly jenom požadované výstrahy.
Na portálu Microsoft Defender přejděte na Nastavení>Koncové body Indikátory>>Přidat novou hodnotu hash souboru.
Zvolte blokování a nápravu souboru.
Určete, jestli se má vygenerovat upozornění na událost blokování souborů, a definujte nastavení upozornění:
- Název upozornění
- Závažnost upozornění
- Kategorie
- Popis
- Doporučené akce
Důležité
- Bloky souborů se obvykle vynucují a odebírají během 15 minut, průměrně 30 minut, ale můžou trvat až 2 hodiny.
- Pokud existují konfliktní zásady IoC pro soubory se stejným typem a cílem vynucení, použije se zásada bezpečnější hodnoty hash. Zásady IoC hodnoty hash souboru SHA-256 zvítězí nad zásadou IoC hash souboru SHA-1, která získá přednost nad zásadou IoC hodnoty hash souboru MD5, pokud typy hodnot hash definují stejný soubor. To platí vždy bez ohledu na skupinu zařízení.
- Ve všech ostatních případech platí, že pokud se na všechna zařízení a skupinu zařízení použijí konfliktní zásady IoC souboru se stejným cílem vynucení, pak u zařízení zvítězí zásada ve skupině zařízení.
- Pokud je zásada skupiny EnableFileHashComputation zakázaná, přesnost blokování IoC souboru se sníží. Povolení
EnableFileHashComputationale může mít vliv na výkon zařízení. Například kopírování velkých souborů ze sdílené síťové složky do místního zařízení, zejména přes připojení VPN, může mít vliv na výkon zařízení. Další informace o zásadách skupiny EnableFileHashComputation najdete v tématu Defender CSP. Další informace o konfiguraci této funkce v Defenderu for Endpoint v Linuxu a macOS najdete v tématech Konfigurace funkce výpočtu hodnoty hash souborů v Linuxu a Konfigurace funkce výpočtu hodnoty hash souborů v systému macOS.
Rozšířené možnosti proaktivního vyhledávání (Preview)
Důležité
Informace v této části (Verze Public Preview pro modul automatizovaného vyšetřování a nápravy) se týkají předběžné verze produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
V současné době je ve verzi Preview možné se na aktivitu akcí odpovědi předem dotazovat. Níže je ukázkový dotaz proaktivního proaktivního vyhledávání:
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"
Další informace o rozšířeném proaktivním vyhledávání najdete v tématu Proaktivní vyhledávání hrozeb pomocí rozšířeného proaktivního vyhledávání.
Níže jsou uvedené další názvy vláken, které je možné použít v ukázkovém dotazu výše:
Soubory:
EUS:Win32/CustomEnterpriseBlock!clEUS:Win32/CustomEnterpriseNoAlertBlock!cl
Certifikáty:
EUS:Win32/CustomCertEnterpriseBlock!cl
Aktivitu akce odpovědi je také možné zobrazit na časové ose zařízení.
Zpracování konfliktů zásad
Konflikty zpracování zásad IoC certifikátů a souborů se řídí tímto pořadím:
Pokud řízení aplikací v programu Windows Defender a zásady vynucování režimu AppLockeru nepovolují, pak zablokujte.
Jinak platí, že pokud je soubor povolený Microsoft Defender Vyloučení antivirové ochrany, pak Povolit.
Jinak platí, že pokud je soubor blokovaný nebo varován blokem nebo upozorněním souboru IoCs, pak blokovat/upozornit.
Jinak platí, že pokud je soubor blokovaný filtrem SmartScreen, pak blokovat.
V opačném případě platí, že pokud je soubor povolený zásadami IoC pro povolení souboru, pak povolit.
V opačném případě platí, že pokud je soubor blokovaný pravidly omezení potenciální oblasti útoku, řízeným přístupem ke složkům nebo antivirovou ochranou, pak možnost Blokovat.
Else, Povolit (předá Řízení aplikací v programu Windows Defender & zásady AppLockeru, nevztahují se na něj žádná pravidla IoC).
Poznámka
V situacích, kdy je Microsoft Defender Antivirová ochrana nastavená na Blokovat, ale indikátory defenderu for Endpoint pro hodnotu hash souboru nebo certifikáty jsou nastavené na Povolit, se ve výchozím nastavení zásady nastaví na Povolit.
Pokud existují konfliktní zásady IoC souboru se stejným typem a cílem vynucení, použije se zásada bezpečnější hodnoty hash (tj. delší). Například zásada IoC hodnoty hash souboru SHA-256 má přednost před zásadami IoC hodnoty hash souboru MD5, pokud oba typy hodnot hash definují stejný soubor.
Upozornění
Zpracování konfliktů zásad pro soubory a certifikáty se liší od zpracování konfliktů zásad pro domény, adresy URL nebo IP adresy.
funkce aplikace Microsoft Defender Správa zranitelností, které jsou ohrožené blokováním, používají k vynucení ioC souborů a řídí se pořadím zpracování konfliktů popsaným výše v této části.
Příklady
| Součást | Vynucení komponent | Akce indikátoru souboru | Result (Výsledek) |
|---|---|---|---|
| Vyloučení cesty k souboru pro omezení potenciální oblasti útoku | Povolit | Blokování | Blokování |
| Pravidlo omezení potenciální oblasti útoku | Blokování | Povolit | Povolit |
| Řízení aplikací v programu Windows Defender | Povolit | Blokování | Povolit |
| Řízení aplikací v programu Windows Defender | Blokování | Povolit | Blokování |
| vyloučení antivirové ochrany Microsoft Defender | Povolit | Blokování | Povolit |
Viz také
- Vytváření indikátorů
- Vytváření indikátorů pro IP adresy a adresy URL / domény
- Vytvoření indikátorů založených na certifikátech
- Správa indikátorů
- Vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.