建立檔案的指示器

檔案指標會禁止潛在的惡意檔案或可疑惡意軟體，以防止攻擊在組織中進一步傳播。 如果您知道潛在的惡意可攜式可執行檔 (PE) 檔案，您可以封鎖它。 此操作將阻止在組織中的裝置上讀取、寫入或執行它。

您可以透過三種方式建立檔案指標：

• 透過設定頁面建立指標
• 透過使用檔案詳細資料頁面中的新增指標按鈕建立內容指標
• 透過指標API建立指標

必要條件

在建立檔案指標之前，請先瞭解下列必要條件：

• 行為監控已啟用
• 雲端式保護已開啟。
• 雲端保護網路連線功能正常

支援的作業系統

• Windows 10 版本 1703 或更新版本
• Windows 11
• Windows Server 2012 R2
• Windows Server 2016 或更新版本
• Azure Stack HCI OS 版本 23H2 和更新版本。

Windows 必要條件

• 如果您的組織在作用中模式下使用 Microsoft Defender 防毒 (，則可以使用此功能)
• 反惡意代碼用戶端版本必須是或 4.18.1901.x 更新版本。 請參閱 每月平台和引擎版本
• 檔案雜湊計算可設定 Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\Enable File Hash Computation 為 [已啟用]。 或者，您可以執行下列 PowerShell 命令： Set-MpPreference -EnableFileHashComputation $true

macOS 先決條件

• RTP) (即時保護需要處於作用中狀態。
• 必須啟用檔案雜湊計算。 執行下列命令：mdatp config enable-file-hash-computation --value enabled

Linux 必要條件

• 適用於端點的 Defender 版本 101.85.27 或更新版本。
• 必須在 Microsoft Defender 入口網站或受控 JSON 中啟用檔案雜湊計算
• 啟用行為監控是首選，但此功能適用於任何其他掃描 (RTP 或自訂) 。

從設定頁面建立檔案指標

1. 在導覽窗格中，選取 [規則) ] 底下的 [系統>設定>] [端點>指標] (。

2. 選取 [檔案雜湊] 索引標籤。

3. 選取 [新增專案]。

4. 指定下列詳細資料：

   • 指標：指定實體詳細資料，並定義指標的到期時間。
   • 動作：指定要採取的動作並提供說明。
   • 範圍：定義裝置群組的範圍 (範圍在適用於企業的 Defender) 中無法使用。

5. 檢閱 [摘要] 索引標籤中的詳細資料，然後選取 [ 儲存]。

從檔案詳細資料頁面建立內容指示器

對檔案採取回應動作時，其中一個選項是新增檔案的指示器。 當您為檔案新增指標雜湊時，您可以選擇在組織中的裝置嘗試執行檔案時發出警示並封鎖該檔案。

指標自動封鎖的檔案不會顯示在檔案的 [控制中心] 中，但警示仍會顯示在 [警示] 佇列中。

封鎖檔案

1. 若要開始封鎖檔案，請在Microsoft Defender入口網站的 [設定] (中開啟「封鎖或允許」功能，移至 [設定>] [端點]>[一般>] 進階功能>[允許或封鎖檔案) ]。

在預覽) (檔案封鎖動作發出警示

檔案 IOC 目前支援的動作包括 allow、audit and block，以及 remediate。 選擇封鎖檔案之後，您可以選擇是否需要觸發警示。 如此一來，您就可以控制傳送至安全性作業小組的警示數目，並確保只引發必要的警示。

1. 在 Microsoft Defender 入口網站中，移至 [設定] [端>點指標>] > [新增檔案雜湊]。

2. 選擇封鎖並修復檔案。

3. 指定是否要在檔案封鎖事件上產生警示，並定義警示設定：

   • 警示標題
   • 警示嚴重性
   • 類別
   • 描述
   • 建議的動作

   

   重要事項

   • 通常，檔案區塊會在 15 分鐘內強制執行並移除，平均 30 分鐘，但可能需要 2 小時以上。
   • 如果存在具有相同強制類型和目標的衝突檔案 IoC 原則，則會套用更安全雜湊的原則。 SHA-256 檔案雜湊 IoC 原則將勝過 SHA-1 檔案雜湊 IoC 原則，如果雜湊類型定義相同的檔案，則該原則將勝過 MD5 檔案雜湊 IoC 原則。 無論裝置群組為何，這始終是正確的。
   • 在所有其他情況下，如果將具有相同強制目標的衝突檔案 IoC 原則套用至所有裝置和裝置群組，則對於裝置，裝置群組中的原則將勝出。
   • 如果停用 EnableFileHashComputation 群組原則，則檔案 IoC 的封鎖精確度會降低。 但是，啟用 EnableFileHashComputation 可能會影響裝置效能。 例如，將大型檔案從網路共用複製到本機裝置，尤其是透過 VPN 連線，可能會影響裝置效能。 如需 EnableFileHashComputation 群組原則的詳細資訊，請參閱 Defender CSP。 如需在 Linux 和 macOS 上的適用於端點的 Defender 上設定此功能的詳細資訊，請參閱 在 Linux 上設定檔案雜湊計算功能 和 在 macOS 上設定檔案雜湊計算功能。

預覽) (進階搜捕功能

目前處於預覽狀態，您可以在預先搜捕中查詢回應動作活動。 以下是進階搜捕查詢範例：

search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"

如需進階搜捕的詳細資訊，請參閱 使用進階搜捕主動搜捕威脅。

以下是可用於範例查詢的其他威脅名稱：

檔案：

• EUS:Win32/CustomEnterpriseBlock!cl
• EUS:Win32/CustomEnterpriseNoAlertBlock!cl

證書：

• EUS:Win32/CustomCertEnterpriseBlock!cl

回應動作活動也可以在裝置時間表中檢視。

原則衝突處理

憑證和檔案 IoC 原則處理衝突遵循以下順序：

1. 如果 Windows Defender 應用程式控制 和 AppLocker 強制執行模式原則不允許檔案，則 [封鎖]。

2. 否則，如果 Microsoft Defender 防病毒軟體排除專案允許檔案，則允許。

3. 否則，如果檔案被封鎖或警告檔案 IoC 封鎖或警告，則封鎖 /警告。

4. 否則，如果檔案被 SmartScreen 封鎖，則 封鎖。

5. 否則，如果允許檔案 IoC 原則允許檔案，則允許。

6. 否則，如果檔案受到攻擊面縮小規則、受控資料夾存取或防病毒軟體保護所 封鎖，則封鎖。

7. 否則， 允許 ( 傳遞 Windows Defender 應用程式控制 & AppLocker 原則，) 不會套用任何 IoC 規則。

如果存在具有相同強制執行類型和目標的衝突檔案 IoC 原則，則會套用更安全 (的原則，表示雜湊) 更長。 例如，如果兩種雜湊類型都定義相同的檔案，則 SHA-256 檔案雜湊 IoC 原則優先於 MD5 檔案雜湊 IoC 原則。

Microsoft Defender 弱點管理 的封鎖易受攻擊的應用程式功能會使用檔案 IoC 進行強制執行，並遵循本節稍早所述的衝突處理順序。

範例

另請參閱

• 建立指示器

• 建立 IP 和 URL/網域的指示器

• 根據憑證建立指標

• 管理指示器

• 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除項目