Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wskaźnik naruszenia zabezpieczeń (IoC) — omówienie
Wskaźnik naruszenia zabezpieczeń (IoC) to artefakt kryminalistyczny zaobserwowany w sieci lub na hoście. IoC wskazuje — z dużą pewnością — że doszło do włamania do komputera lub sieci. IoCs są obserwowane, co łączy je bezpośrednio z mierzalnymi zdarzeniami. Niektóre przykłady IoC obejmują:
- skróty znanego złośliwego oprogramowania
- sygnatury złośliwego ruchu sieciowego
- Adresy URL lub domeny, które są znanymi dystrybutorami złośliwego oprogramowania
Aby zatrzymać inne naruszenia zabezpieczeń lub zapobiec naruszeniom znanych IoCs, pomyślne narzędzia IoC powinny mieć możliwość wykrywania wszystkich złośliwych danych wyliczonych przez zestaw reguł narzędzia. Dopasowywanie IoC jest istotną funkcją w każdym rozwiązaniu ochrony punktu końcowego. Ta funkcja zapewnia usłudze SecOps możliwość ustawiania listy wskaźników wykrywania i blokowania (zapobieganie i reagowanie).
Organizacje mogą tworzyć wskaźniki definiujące wykrywanie, zapobieganie i wykluczanie jednostek IoC. Możesz zdefiniować akcję do wykonania, a także czas trwania, kiedy zastosować akcję, oraz zakres grupy urządzeń, do których ma zostać zastosowana.
W tym filmie wideo przedstawiono przewodnik dotyczący tworzenia i dodawania wskaźników:
Informacje o wskaźnikach firmy Microsoft
Ogólnie rzecz biorąc, należy tworzyć wskaźniki tylko dla znanych złych IoCs lub dla plików/witryn internetowych, które powinny być jawnie dozwolone w organizacji. Aby uzyskać więcej informacji na temat typów witryn, które usługa Defender for Endpoint może domyślnie blokować, zobacz omówienie Microsoft Defender SmartScreen.
Wynik fałszywie dodatni (FP) odnosi się do fałszywie dodatniego wyniku analizy zagrożeń firmy Microsoft. Jeśli dany zasób nie jest w rzeczywistości zagrożeniem, możesz utworzyć opcję Zezwalaj na IoC, aby zezwolić na zasób. Możesz również pomóc w ulepszeniu analizy zabezpieczeń firmy Microsoft, przesyłając wyniki fałszywie dodatnie i podejrzane lub znane-złe IoCs do analizy. Jeśli ostrzeżenie lub blok są niepoprawnie wyświetlane dla pliku lub aplikacji lub jeśli podejrzewasz, że niewykryty plik jest złośliwym oprogramowaniem, możesz przesłać plik do firmy Microsoft do przeglądu. Aby uzyskać więcej informacji, zobacz Przesyłanie plików do analizy.
Wskaźniki adresu IP/adresu URL/domeny
Do zarządzania dostępem do lokacji można użyć wskaźników adresów IP i adresów URL/domeny.
Aby zablokować połączenia z adresem IP, wpisz adres IPv4 w postaci kropkowanego czworokąta (na przykład 8.8.8.8). W przypadku adresów IPv6 określ wszystkie osiem segmentów (na przykład 2001:4860:4860:0:0:0:0:8888). Pamiętaj, że symbole wieloznaczne i zakresy nie są obsługiwane.
Aby zablokować połączenia z domeną i dowolną jej poddomeną, określ domenę (na przykład example.com). Ten wskaźnik jest zgodny example.com z wartościami oraz sub.example.com i anything.sub.example.com.
Aby zablokować określoną ścieżkę adresu URL, określ ścieżkę adresu URL (na przykład https://example.com/block). Ten wskaźnik jest zgodny z zasobami w ścieżce /block na example.comstronie . Należy pamiętać, że ścieżki adresów URL HTTPS będą dopasowywane tylko w przeglądarce Microsoft Edge. Ścieżki adresu URL HTTP można dopasować w dowolnej przeglądarce.
Możesz również utworzyć wskaźniki adresów IP i adresów URL, aby odblokować użytkowników z bloku SmartScreen lub selektywnie pominąć bloki filtrowania zawartości internetowej witryn, na które chcesz zezwolić. Rozważmy na przykład przypadek, w którym filtrowanie zawartości internetowej jest ustawione tak, aby blokować wszystkie witryny sieci Web w mediach społecznościowych. Jednak zespół ds. marketingu musi używać określonej witryny mediów społecznościowych do monitorowania umieszczania reklam. W takim przypadku możesz odblokować określoną witrynę mediów społecznościowych, tworząc wskaźnik zezwalania na domenę i przypisując go do grupy urządzeń zespołu marketingowego.
Zobacz Ochrona sieci Web i filtrowanie zawartości sieci Web
Wskaźniki adresu IP/adresu URL: ochrona sieci i uzgadnianie trójstopnienia protokołu TCP
W przypadku ochrony sieci określenie, czy zezwolić na dostęp do lokacji lub zablokować go, jest wykonywane po zakończeniu uzgadniania trójstopnienego za pośrednictwem protokołu TCP/IP. W związku z tym, gdy lokacja jest zablokowana przez ochronę sieci, w portalu Microsoft Defender może zostać wyświetlony typ ConnectionSuccessNetworkConnectionEvents akcji, mimo że witryna została zablokowana.
NetworkConnectionEvents są zgłaszane z warstwy TCP, a nie z ochrony sieci. Po zakończeniu uzgadniania trójstopnienia dostęp do witryny jest dozwolony lub blokowany przez ochronę sieci.
Oto przykład tego, jak to działa:
Załóżmy, że użytkownik próbuje uzyskać dostęp do witryny internetowej na swoim urządzeniu. Lokacja jest hostowana w niebezpiecznej domenie i powinna zostać zablokowana przez ochronę sieci.
Rozpoczyna się uzgadnianie trójstopnie za pośrednictwem protokołu TCP/IP. Przed zakończeniem
NetworkConnectionEventsjest rejestrowana akcja, a jejActionTypenazwa jest wyświetlana jakoConnectionSuccess. Jednak po zakończeniu trójstopnienego procesu uzgadniania ochrona sieci blokuje dostęp do lokacji. Wszystko to dzieje się szybko. Podobny proces występuje w przypadku Microsoft Defender SmartScreen. Po zakończeniu uzgadniania trójstopnienia jest wykonywane ustalanie, a dostęp do witryny jest zablokowany lub dozwolony.W portalu Microsoft Defender alert jest wyświetlany w kolejce alertów. Szczegóły tego alertu obejmują zarówno
NetworkConnectionEventsiAlertEvents. Widać, że witryna została zablokowana, mimo że maszNetworkConnectionEventsrównież element o typie ActionType .ConnectionSuccess
Wskaźniki skrótów plików
W niektórych przypadkach utworzenie nowego wskaźnika dla nowo zidentyfikowanego pliku IoC — jako natychmiastowej miary zatrzymania odstępu — może być odpowiednie do blokowania plików, a nawet aplikacji. Jednak użycie wskaźników do próby zablokowania aplikacji może nie dostarczyć oczekiwanych wyników, ponieważ aplikacje zwykle składają się z wielu różnych plików. Preferowane metody blokowania aplikacji to używanie funkcji Windows Defender Application Control (WDAC) lub AppLocker.
Ponieważ każda wersja aplikacji ma inny skrót pliku, używanie wskaźników do blokowania skrótów nie jest zalecane.
Windows Defender Application Control (WDAC)
Wskaźniki certyfikatów
Możesz utworzyć IoC, aby zezwalać na pliki i aplikacje podpisane za pomocą tego certyfikatu lub blokować te pliki i aplikacje. Wskaźniki certyfikatów mogą być dostarczane w pliku . CER lub . Format pliku PEM. Aby uzyskać więcej informacji, zobacz Tworzenie wskaźników na podstawie certyfikatów .
Aparaty wykrywania IoC
Obecnie obsługiwane źródła firmy Microsoft dla IoCs to:
- Aparat wykrywania chmury usługi Defender dla punktu końcowego
- Aparat zautomatyzowanego badania i korygowania (AIR) w Ochrona punktu końcowego w usłudze Microsoft Defender
- Aparat zapobiegania punktom końcowym (program antywirusowy Microsoft Defender)
Aparat wykrywania chmury
Aparat wykrywania chmury usługi Defender for Endpoint regularnie skanuje zebrane dane i próbuje dopasować ustawione wskaźniki. W przypadku dopasowania akcja jest wykonywana zgodnie z ustawieniami określonymi dla IoC.
Aparat zapobiegania punktom końcowym
Ta sama lista wskaźników jest honorowana przez agenta zapobiegania. Oznacza to, że jeśli Microsoft Defender program antywirusowy jest podstawowym programem antywirusowym skonfigurowanym, dopasowane wskaźniki są traktowane zgodnie z ustawieniami. Jeśli na przykład akcja jest zablokowana i skorygowana, program antywirusowy Microsoft Defender zapobiega wykonywaniu plików i pojawia się odpowiedni alert. Z drugiej strony, jeśli akcja jest ustawiona na Zezwalaj, program antywirusowy Microsoft Defender nie wykrywa ani nie blokuje pliku.
Aparat zautomatyzowanego badania i korygowania
Zautomatyzowane badanie i korygowanie działają podobnie do aparatu zapobiegania punktom końcowym. Jeśli wskaźnik ma wartość Zezwalaj, automatyczne badanie i korygowanie ignoruje zły werdykt. Jeśli ustawiono opcję Blokuj, automatyczne badanie i korygowanie traktuje je jako nieprawidłowe.
Ustawienie oblicza EnableFileHashComputation skrót pliku podczas skanowania plików. Obsługuje wymuszanie IoC względem skrótów należących do zaufanych aplikacji. Jest ona współbieżnie włączona z ustawieniem zezwalania lub blokowania plików.
EnableFileHashComputationjest włączona ręcznie za pośrednictwem zasady grupy i jest domyślnie wyłączona.
Typy wymuszania dla wskaźników
Gdy zespół ds. zabezpieczeń tworzy nowy wskaźnik (IoC), dostępne są następujące akcje:
- Zezwalaj: usługa IoC może działać na urządzeniach.
- Inspekcja: alert jest wyzwalany po uruchomieniu IoC.
- Ostrzegaj: usługa IoC monituje o ostrzeżenie, które użytkownik może pominąć
- Blokuj wykonywanie: nie można uruchomić IoC.
- Blokuj i koryguj: nie można uruchomić IoC, a akcja korygowania jest stosowana do IoC.
Uwaga
Użycie trybu ostrzeżenia monituje użytkowników o ostrzeżenie, jeśli otworzą ryzykowną aplikację lub witrynę internetową. Monit nie blokuje możliwości uruchamiania aplikacji lub witryny internetowej, ale możesz podać niestandardowy komunikat i linki do strony firmowej opisującej odpowiednie użycie aplikacji. Użytkownicy nadal mogą pominąć ostrzeżenie i w razie potrzeby nadal korzystać z aplikacji. Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami odnalezionych przez Ochrona punktu końcowego w usłudze Microsoft Defender.
Uwaga
Aby uzyskać wyskakujące powiadomienie, aby można było pominąć operację IoC, upewnij się, że opcja "Pliki lub działania są zablokowane" jest włączona w obszarze Powiadomienia o programie Virus & Threat Protection. Odpowiedni klucz rejestru należy ustawić w następujący sposób: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender Security Center\Virus i ochrona przed zagrożeniami\FilesBlockedNotificationDisabled = 0.
Więcej szczegółów można znaleźć w temacie Zabezpieczenia Windows ustawieniach aplikacji.
Możesz utworzyć wskaźnik dla:
W poniższej tabeli przedstawiono, które akcje są dostępne dla każdego typu wskaźnika (IoC):
| Typ IoC | Dostępne akcje |
|---|---|
| Pliki | Zezwalaj Inspekcja Ostrzegać Blokuj wykonywanie Blokuj i koryguj |
| Adresy IP | Zezwalaj Inspekcja Ostrzegać Blokuj wykonywanie |
| Adresy URL i domeny | Zezwalaj Inspekcja Ostrzegać Blokuj wykonywanie |
| Certyfikaty | Zezwalaj Blokuj i koryguj |
Funkcjonalność istniejących wcześniej IoCs nie zmienia się. Jednak nazwy wskaźników są zmieniane tak, aby były zgodne z aktualnie obsługiwanymi akcjami odpowiedzi:
- Zmieniono nazwę akcji reagowania tylko na alerty w celu przeprowadzania inspekcji z włączonym ustawieniem wygenerowanego alertu.
- Zmieniono nazwę odpowiedzi alertu i bloku w celu zablokowania i skorygowania za pomocą opcjonalnego ustawienia alertu generowania.
Schemat interfejsu API IoC i identyfikatory zagrożeń w usłudze Zaawansowane wyszukiwanie zagrożeń są aktualizowane w celu dopasowania ich do zmiany nazwy akcji odpowiedzi IoC. Zmiany schematu interfejsu API mają zastosowanie do wszystkich typów IoC.
Uwaga
Istnieje limit 15 000 wskaźników na dzierżawę. Wzrosty do tego limitu nie są obsługiwane.
Wskaźniki plików i certyfikatów nie blokują wykluczeń zdefiniowanych dla programu antywirusowego Microsoft Defender. Wskaźniki nie są obsługiwane w programie antywirusowym Microsoft Defender, gdy jest w trybie pasywnym.
Format importowania nowych wskaźników (IoCs) zmienił się zgodnie z nowymi zaktualizowanymi ustawieniami akcji i alertów. Zalecamy pobranie nowego formatu CSV, który można znaleźć w dolnej części panelu importu.
Jeśli wskaźniki są synchronizowane z portalem usługi Defender z Microsoft Defender for Cloud Apps dla zaakceptowanych lub niesankcjonowanych aplikacji, ustawienia są zastępowane po synchronizacji z Microsoft Defender portalu. Opcja Generate Alert jest domyślnie włączona w portalu Microsoft Defender dla niesankcjonowanych aplikacji. Jeśli spróbujesz wyczyścić Generate Alert opcję dla usługi Defender for Endpoint, zostanie ona ponownie włączona po pewnym czasie, ponieważ zasady Defender for Cloud Apps ją zastąpią. Zaakceptowane lub dozwolone aplikacje wartość nie jest ustawiona na Generate Alert .
Znane problemy i ograniczenia
Aplikacje firmy Microsoft nie mogą być blokowane przez Microsoft Defender, ponieważ są podpisane przez firmę Microsoft.
Klienci mogą napotkać problemy z alertami dotyczącymi IoCs. Poniższe scenariusze to sytuacje, w których alerty nie są tworzone lub są tworzone z niedokładnymi informacjami.
- Wskaźniki blokuj i ostrzegaj: tworzone są tylko alerty ogólne o ważności informacyjnej. W takich przypadkach alerty niestandardowe (czyli tytuł niestandardowy i ważność) nie są wyzwalane.
- Zezwalaj: żadne alerty nie są generowane (zgodnie z projektem).
- Inspekcja: Alerty są generowane na podstawie ważności dostarczonej przez klienta (zgodnie z projektem).
- W niektórych przypadkach alerty pochodzące z wykrywania EDR mogą mieć pierwszeństwo przed alertami wynikającymi z bloków programu antywirusowego, w którym to przypadku jest generowany alert informacyjny.
Artykuły pokrewne
- Wykluczenia dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender
- Tworzenie kontekstowego IoC
- Korzystanie z interfejsu API wskaźników Ochrona punktu końcowego w usłudze Microsoft Defender
- Korzystanie ze zintegrowanych rozwiązań partnerów
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Ochrona punktu końcowego w usłudze Microsoft Defender.