Creare indicatori

Si applica a:

Consiglio

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Panoramica dell'indicatore di compromissione (IoC)

Un indicatore di compromissione (IoC) è un artefatto forense, osservato nella rete o nell'host. Un IoC indica, con attendibilità elevata, che si è verificata un'intrusione in un computer o in una rete. Gli ioc sono osservabili, che li collega direttamente a eventi misurabili. Alcuni esempi di IoC includono:

  • hash di malware noto
  • firme di traffico di rete dannoso
  • URL o domini noti per i distributori di malware

Per interrompere altre compromissioni o impedire violazioni di ioc noti, gli strumenti IoC di successo devono essere in grado di rilevare tutti i dati dannosi enumerati dal set di regole dello strumento. La corrispondenza ioC è una funzionalità essenziale in ogni soluzione di endpoint protection. Questa funzionalità consente a SecOps di impostare un elenco di indicatori per il rilevamento e il blocco (prevenzione e risposta).

Le organizzazioni possono creare indicatori che definiscono il rilevamento, la prevenzione e l'esclusione delle entità IoC. È possibile definire l'azione da intraprendere, nonché la durata per l'applicazione dell'azione e l'ambito del gruppo di dispositivi a cui applicarla.

Questo video illustra una procedura dettagliata per la creazione e l'aggiunta di indicatori:

Informazioni sugli indicatori Microsoft

Come regola generale, è consigliabile creare solo indicatori per gli IoC non validi noti o per eventuali file/siti Web che devono essere consentiti in modo esplicito nell'organizzazione. Per altre informazioni sui tipi di siti che Defender per endpoint può bloccare per impostazione predefinita, vedere panoramica Microsoft Defender SmartScreen.

Falso positivo (FP) si riferisce a un falso positivo SmartScreen, in modo che sia considerato malware o phish, ma in realtà non è una minaccia, quindi si vuole creare un criterio di autorizzazione per esso.

È anche possibile contribuire a migliorare l'intelligence di sicurezza di Microsoft inviando falsi positivi e ioC sospetti o noti non validi per l'analisi. Se un avviso o un blocco viene visualizzato in modo errato per un file o un'applicazione o se si sospetta che un file non rilevato sia malware, è possibile inviare un file a Microsoft per la revisione. Per altre informazioni, vedere Inviare file per l'analisi.

Indicatori IP/URL

È possibile usare gli indicatori IP/URL per sbloccare gli utenti da un falso positivo SmartScreen (FP) o per eseguire l'override di un blocco WFC (Web Content Filtering).

È possibile usare gli indicatori URL e IP per gestire l'accesso al sito. È possibile creare indicatori IP e URL provvisori per sbloccare temporaneamente gli utenti da un blocco SmartScreen. È anche possibile che siano presenti indicatori che si mantengono per un lungo periodo di tempo per ignorare in modo selettivo i blocchi di filtro del contenuto Web.

Si consideri il caso in cui si dispone di una categorizzazione del filtro del contenuto Web per un determinato sito che è corretta. In questo esempio il filtro dei contenuti Web è impostato per bloccare tutti i social media, il che è corretto per gli obiettivi complessivi dell'organizzazione. Tuttavia, il team di marketing ha un reale bisogno di utilizzare un sito di social media specifico per la pubblicità e annunci. In tal caso, è possibile sbloccare il sito di social media specifico usando indicatori IP o URL per il gruppo specifico (o i gruppi) da usare.

Vedere Protezione Web e filtro contenuto Web

Indicatori IP/URL: protezione di rete e handshake a tre vie TCP

Con la protezione di rete, la determinazione se consentire o bloccare l'accesso a un sito viene effettuata dopo il completamento dell'handshake a tre vie tramite TCP/IP. Pertanto, quando un sito è bloccato dalla protezione di rete, è possibile che venga visualizzato un tipo di azione di in nel portale di ConnectionSuccessNetworkConnectionEvents Microsoft Defender, anche se il sito è stato bloccato. NetworkConnectionEvents vengono segnalati dal livello TCP e non dalla protezione di rete. Al termine dell'handshake a tre vie, l'accesso al sito è consentito o bloccato dalla protezione di rete.

Ecco un esempio di come funziona:

  1. Si supponga che un utente tenti di accedere a un sito Web nel proprio dispositivo. Il sito è ospitato in un dominio pericoloso e deve essere bloccato dalla protezione di rete.

  2. Inizia l'handshake a tre vie tramite TCP/IP. Prima del completamento, viene registrata un'azione NetworkConnectionEvents e la relativa ActionType azione viene elencata come ConnectionSuccess. Tuttavia, non appena il processo di handshake a tre vie viene completato, la protezione di rete blocca l'accesso al sito. Tutto questo accade rapidamente. Un processo simile si verifica con Microsoft Defender SmartScreen; è quando l'handshake a tre vie viene completato che viene effettuata una determinazione e l'accesso a un sito è bloccato o consentito.

  3. Nel portale Microsoft Defender viene elencato un avviso nella coda degli avvisi. I dettagli dell'avviso includono sia che NetworkConnectionEventsAlertEvents. È possibile notare che il sito è stato bloccato, anche se si dispone anche di un NetworkConnectionEvents elemento con ActionType di ConnectionSuccess.

Indicatori hash file

In alcuni casi, la creazione di un nuovo indicatore per un nuovo file identificato IoC, come misura di interruzione immediata, potrebbe essere appropriata per bloccare file o persino applicazioni. Tuttavia, l'uso di indicatori per tentare di bloccare un'applicazione potrebbe non fornire i risultati previsti, in quanto le applicazioni sono in genere composte da molti file diversi. I metodi preferiti per bloccare le applicazioni sono l'uso di Windows Defender Application Control (WDAC) o AppLocker.

Poiché ogni versione di un'applicazione ha un hash di file diverso, l'uso di indicatori per bloccare gli hash non è consigliato.

Windows Defender Application Control (WDAC)

Indicatori di certificato

In alcuni casi, un certificato specifico usato per firmare un file o un'applicazione che l'organizzazione è impostata per consentire o bloccare. Gli indicatori di certificato sono supportati in Defender per endpoint, se usano . CER o . Formato di file PEM. Per altri dettagli, vedere Creare indicatori basati sui certificati .

Motori di rilevamento IoC

Attualmente, le origini Microsoft supportate per gli ioc sono:

Motore di rilevamento cloud

Il motore di rilevamento cloud di Defender per endpoint analizza regolarmente i dati raccolti e tenta di corrispondere agli indicatori impostati. Quando si verifica una corrispondenza, viene eseguita un'azione in base alle impostazioni specificate per l'IoC.

Motore di prevenzione degli endpoint

Lo stesso elenco di indicatori viene rispettato dall'agente di prevenzione. Ciò significa che se Microsoft Defender Antivirus è l'antivirus primario configurato, gli indicatori corrispondenti vengono trattati in base alle impostazioni. Ad esempio, se l'azione è "Avviso e blocca", Microsoft Defender Antivirus impedisce le esecuzioni di file (blocco e correzione) e viene visualizzato un avviso corrispondente. D'altra parte, se l'azione è impostata su "Consenti", Microsoft Defender Antivirus non rileva o blocca il file.

Motore di indagine e correzione automatizzato

L'analisi e la correzione automatizzate si comportano in modo analogo al motore di prevenzione degli endpoint. Se un indicatore è impostato su "Consenti", l'analisi automatizzata e la correzione ignorano un verdetto "non valido". Se impostato su "Blocca", l'analisi automatizzata e la correzione lo considerano "non valido".

L'impostazione EnableFileHashComputation calcola l'hash del file per il certificato e il file IoC durante le analisi dei file. Supporta l'imposizione ioC di hash e certificati appartenenti ad applicazioni attendibili. È abilitata simultaneamente con l'impostazione consenti o blocca file. EnableFileHashComputationviene abilitato manualmente tramite Criteri di gruppo ed è disabilitato per impostazione predefinita.

Tipi di imposizione per gli indicatori

Quando il team di sicurezza crea un nuovo indicatore (IoC), sono disponibili le azioni seguenti:

  • Consenti : l'IoC può essere eseguito nei dispositivi.
  • Audit : viene attivato un avviso quando viene eseguito l'IoC.
  • Avvisa : l'IoC richiede un avviso che indica che l'utente può ignorare
  • Blocca l'esecuzione : l'IoC non sarà consentito l'esecuzione.
  • Blocca e correggi : l'IoC non potrà essere eseguito e verrà applicata un'azione di correzione all'IoC.

Nota

L'uso della modalità Avvisa richiederà agli utenti un avviso se aprono un'app o un sito Web rischioso. La richiesta non impedisce l'esecuzione dell'applicazione o del sito Web, ma è possibile fornire un messaggio personalizzato e collegamenti a una pagina aziendale che descrive l'utilizzo appropriato dell'app. Gli utenti possono comunque ignorare l'avviso e continuare a usare l'app, se necessario. Per altre informazioni, vedere Gestire le app individuate da Microsoft Defender per endpoint.

È possibile creare un indicatore per:

La tabella seguente mostra esattamente quali azioni sono disponibili per tipo di indicatore (IoC):

Tipo IoC Azioni disponibili
File Consenti
Audit
Avvertire
Blocca l'esecuzione
Bloccare e correggere
Indirizzi IP Consenti
Audit
Avvertire
Blocca l'esecuzione
URL e domini Consenti
Audit
Avvertire
Blocca l'esecuzione
Certificati Consenti
Bloccare e correggere

La funzionalità degli IoC preesistenti non cambia. Tuttavia, gli indicatori sono stati rinominati in modo che corrispondano alle azioni di risposta supportate correnti:

  • L'azione di risposta "solo avviso" è stata rinominata in "audit" con l'impostazione di avviso generata abilitata.
  • La risposta "avviso e blocco" è stata rinominata in "blocco e correzione" con l'impostazione di avviso di generazione facoltativa.

Lo schema dell'API IoC e gli ID delle minacce vengono aggiornati per allinearsi alla ridenominazione delle azioni di risposta ioc. Le modifiche dello schema API si applicano a tutti i tipi di IoC.

Nota

Esiste un limite di 15.000 indicatori per tenant. Gli aumenti fino a questo limite non sono supportati.

Gli indicatori di file e certificati non bloccano le esclusioni definite per Microsoft Defender Antivirus. Gli indicatori non sono supportati in Microsoft Defender Antivirus quando è in modalità passiva.

Il formato per l'importazione di nuovi indicatori (IoC) è cambiato in base alle nuove impostazioni di avvisi e azioni aggiornate. È consigliabile scaricare il nuovo formato CSV disponibile nella parte inferiore del pannello di importazione.

Problemi noti e limitazioni

I clienti potrebbero riscontrare problemi con gli avvisi per gli indicatori di compromissione. Gli scenari seguenti sono situazioni in cui gli avvisi non vengono creati o vengono creati con informazioni non accurate. Ogni problema viene esaminato dal team di progettazione.

  • Indicatori di blocco : verranno attivati solo avvisi generici con gravità informativa. In questi casi, gli avvisi personalizzati(ovvero titolo e gravità personalizzati) non vengono generati.
  • Indicatori di avviso : in questo scenario sono possibili avvisi generici e avvisi personalizzati, ma i risultati non sono deterministici a causa di un problema con la logica di rilevamento degli avvisi. In alcuni casi, i clienti potrebbero visualizzare un avviso generico, mentre in altri casi potrebbe essere visualizzato un avviso personalizzato.
  • Consenti : non vengono generati avvisi (per progettazione).
  • Audit : gli avvisi vengono generati in base alla gravità fornita dal cliente.
  • In alcuni casi, gli avvisi provenienti dai rilevamenti EDR potrebbero avere la precedenza sugli avvisi derivanti da blocchi antivirus, nel qual caso verrà generato un avviso informativo.

Le app di Microsoft Store non possono essere bloccate da Defender perché sono firmate da Microsoft.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.