入侵指標 (IoC) 概述
IoC) (入侵指標是在網路或主機上觀察到的鑑識成品。 IoC 以高置信度指示發生了電腦或網路入侵。 IoC 是可觀察的,這將它們直接與可測量的事件聯繫起來。 一些 IoC 範例包括:
- 已知惡意軟體的雜湊值
- 惡意網路流量的簽章
- 已知惡意軟體散發者的 URL 或網域
為了阻止其他入侵或防止違反已知 IoC,成功的 IoC 工具應該能夠偵測工具規則集列舉的所有惡意資料。 IoC 匹配是每個端點保護解決方案中的基本功能。 這項功能可讓 SecOps 設定偵測指標清單,以及封鎖 (預防和回應) 。
組織可以建立指標來定義 IoC 實體的偵測、預防和排除。 您可以定義要採取的動作、套用動作的持續時間,以及要套用動作的裝置群組範圍。
這段影片示範建立和新增指標的逐步解說:
關於 Microsoft 指標
一般而言,您應該只為已知的不良 IoC 或組織中應明確允許的任何檔案/網站建立指標。 如需適用於端點的 Defender 預設可以封鎖之網站類型的詳細資訊,請參閱 Microsoft Defender SmartScreen 概觀。
誤報 (FP) 是指Microsoft威脅情報中的誤報。 如果指定的資源實際上不是威脅,您可以建立允許 IoC 來允許該資源。 您也可以提交誤報,以及可疑或已知不良的 IoC 進行分析,以協助推動 Microsoft 安全性情報的改善。 如果檔案或應用程式的警告或封鎖顯示不正確,或您懷疑未偵測到的檔案是惡意代碼,您可以將檔案提交給 Microsoft 以供檢閱。 如需詳細資訊,請參閱 提交要分析的檔案。
IP/URL/網域指標
您可以使用 IP 和 URL/網域指標來管理網站存取。
若要封鎖與 IP 位址的連線,請以點四邊形形式輸入 IPv4 位址 (例如 8.8.8.8) 。 對於 IPv6 位址,請指定所有八個區段 (例如, 2001:4860:4860:0:0:0:0:8888) 。 請注意,不支援萬用字元和範圍。
若要封鎖網域及其任何子網域的連線,請指定網域 (,例如 example.com) 。 此指標與 和 anything.sub.example.com相sub.example.com符example.com。
若要封鎖特定 URL 路徑,請指定 URL 路徑 (例如) https://example.com/block 。 此指示器會比對 上example.com路徑下的/block資源。 請注意,HTTPS URL 路徑只會在 Microsoft Edge 中相符;HTTP URL 路徑可以在任何瀏覽器中進行匹配。
您也可以建立 IP 和 URL 指標,以解除封鎖使用者的 SmartScreen 區塊,或選擇性地略過您想要允許載入的網站的 Web 內容篩選區塊。 例如,考慮一個案例:您將網頁內容過濾設定為封鎖所有社交媒體網站。 但是,營銷團隊需要使用特定的社交媒體網站來監控他們的廣告展示位置。 在此情況下,您可以建立網域「允許」指標,並將其指派給行銷團隊的裝置群組,以解除封鎖特定社群媒體網站。
IP/URL 指示器:網路保護和 TCP 三向握手
使用網路保護時,在 透過 TCP/IP 完成三向握手之後,會決定是否允許或封鎖對網站的存取。 因此,當網站遭到網路保護封鎖時,即使網站已封鎖,您仍可能會在 Microsoft Defender 入口網站中看到動作類型 ConnectionSuccess underNetworkConnectionEvents。
NetworkConnectionEvents 從 TCP 層報告,而不是從網路保護報告。 三向握手完成後,網路保護允許或阻止對網站的存取。
以下是其運作方式的範例:
假設使用者嘗試在其裝置上存取網站。 該網站恰好託管在一個危險域上,應該通過網絡保護來阻止它。
透過 TCP/IP 開始三次握手。 在完成之前,會記錄動作
NetworkConnectionEvents,並將其ActionType列為ConnectionSuccess。 但是,一旦三向握手過程完成,網路保護就會阻止對網站的訪問。 所有這些都發生得很快。 Microsoft Defender SmartScreen 會發生類似的程式;當三向握手完成時,會做出判斷,並封鎖或允許存取網站。在 Microsoft Defender 入口網站中,警示佇列中會列出警示。 該警報的詳細信息包括
NetworkConnectionEvents和AlertEvents。 您可以看到網站已被封鎖,即使您也有NetworkConnectionEventsActionType 為ConnectionSuccess的項目。
檔案雜湊指標
在某些情況下,為新識別的檔案 IoC 建立新指標 (作為立即權宜之計) 可能適合封鎖檔案甚至應用程式。 不過,使用指標嘗試封鎖應用程式可能無法提供預期的結果,因為應用程式通常由許多不同的檔案組成。 封鎖應用程式的慣用方法是使用 Windows Defender 應用程式控制 (WDAC) 或 AppLocker。
由於應用程式的每個版本都有不同的檔案雜湊,因此不建議使用指標來封鎖雜湊。
Windows Defender 應用程式控制 (WDAC)
憑證指標
您可以建立 IoC 來允許或封鎖由該憑證簽署的檔案和應用程式。 憑證指示器可以在 中提供。CER 或 .PEM 檔案格式。 如需詳細資訊,請參閱根據憑證建立指標。
IoC 偵測引擎
目前,IoC 支援的 Microsoft 來源包括:
- 適用於端點的 Defender 的雲端偵測引擎
- 適用於端點的 Microsoft Defender中 AIR) 引擎 (自動調查和修復
- 端點防護引擎 (Microsoft Defender 防毒)
雲端偵測引擎
適用於端點的 Defender 的雲端偵測引擎會定期掃描收集的資料,並嘗試比對您設定的指標。 當有相符項目時,會根據您為 IoC 指定的設定採取動作。
端點防護引擎
預防劑遵守相同的指標列表。 也就是說,如果 Microsoft Defender 防病毒軟體是設定的主要防病毒軟體,則會根據設定來處理相符的指標。 例如,如果動作是封鎖和補救,Microsoft Defender 防病毒軟體會防止檔案執行,並顯示對應的警示。 另一方面,如果 [動作] 設定為 [允許],則 Microsoft Defender 防病毒軟體不會偵測或封鎖檔案。
自動化調查和補救引擎
自動調查和補救的行為類似於端點防護引擎。 如果指標設定為 [允許],則自動調查和補救會忽略其 錯誤 的判定。 如果設定為 [封鎖],自動調查和補救會將其視為 不良。
此 EnableFileHashComputation 設定會在檔案掃描期間計算檔案雜湊。 它支援針對屬於受信任應用程式的雜湊執行 IoC。 它與允許或封鎖檔案設定同時啟用。
EnableFileHashComputation透過群組原則手動啟用,預設為停用。
指標的強制執行類型
當您的安全團隊建立新的指標 (IoC) 時,可以使用下列動作:
- 允許:允許 IoC 在您的裝置上執行。
- 稽核:IoC 執行時會觸發警示。
- 警告:IoC 提示使用者可以略過的警告
- 區塊執行:不允許執行 IoC。
- 封鎖和補救:不允許執行 IoC,並將補救動作套用至 IoC。
注意事項
使用警告模式會提示使用者在開啟有風險的應用程式或網站時發出警告。 提示不會阻止他們允許應用程式或網站執行,但您可以提供自訂訊息和公司頁面的連結,以描述應用程式的適當使用方式。 如有必要,用戶仍然可以繞過警告並繼續使用該應用程式。 如需詳細資訊,請參閱 控管適用於端點的 Microsoft Defender探索到的應用程式。
注意事項
針對警告動作,若要接收快顯通知以略過 IoC,請確定在病毒 & 威脅防護通知下啟用「檔案或活動遭到封鎖」選項。 對應的登錄機碼應該設定如下:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender Security Center\Virus 和 threat protection\FilesBlockedNotificationDisabled = 0。
更多詳細資訊請參閱 Windows 安全性應用程式設定。
您可以建立指標:
下表顯示每個指標 (IoC) 類型可用的動作:
| IoC 類型 | 可用的動作 |
|---|---|
| Files | 允許 稽核 誡 區塊執行 封鎖和補救 |
| IP 位址 | 允許 稽核 誡 區塊執行 |
| 網址和網域 | 允許 稽核 誡 區塊執行 |
| 憑證 | 允許 封鎖和補救 |
預先存在的 IoC 的功能不會改變。 不過,指標會重新命名,以符合目前支援的回應動作:
- 僅限警示回應動作已重新命名為稽核,並啟用產生的警示設定。
- 警示和封鎖回應已重新命名為使用選擇性的產生警示設定來封鎖和修復。
進階搜捕中的 IoC API 架構和威脅標識碼會更新,以符合 IoC 回應動作的重新命名。 API 配置變更適用於所有 IoC 類型。
注意事項
每個租用戶的指標限制為 15,000 個。 不支援增加至此限制。
檔案和憑證指標不會封鎖針對 Microsoft Defender 防病毒軟體定義的排除專案。 當 Microsoft Defender 防病毒軟體處於被動模式時,不支援指標。
匯入新指標 (IoC) 的格式已根據新更新的動作和警示設定而變更。 我們建議下載可在匯入面板底部找到的新 CSV 格式。
如果指標從適用於雲端的 Microsoft Defender for Cloud Apps 同步處理至已核准或未核准應用程式的 Defender 入口網站,則在同步處理至 Microsoft Defender 入口網站時,會覆寫設定。 預設會在 Microsoft Defender 入口網站中針對未核准的應用程式啟用此Generate Alert選項。 如果您嘗試清除Generate Alert適用於端點的 Defender 的選項,它會在一段時間後重新啟用,因為Defender for Cloud Apps原則會覆寫它。 已核准或允許的應用程式,該值會設定為 Generate Alert not 。
已知問題和限制
Microsoft Defender 無法封鎖 Microsoft 應用程式,因為它們是由 Microsoft 簽署。
客戶可能會遇到 IoC 警示的問題。 下列案例是未建立警示或使用不正確資訊建立警示的情況。
- 封鎖和警告指標:建立僅具有資訊嚴重性的一般警示。 自訂警示 (也就是說,在這些情況下不會引發自訂標題和嚴重性) 。
- 允許:設計) 不會產生 (警示。
- 稽核:警示是根據客戶 (設計) 提供的嚴重性來產生。
- 在某些情況下,來自 EDR 偵測的警示可能優先於來自防病毒軟體區塊的警示,在此情況下,會產生資訊警示。
相關文章
- 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除項目
- 建立情境化 IoC
- 使用適用於端點的 Microsoft Defender 指標 API
- 使用合作夥伴整合解決方案
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。