Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Общие сведения о индикаторе компрометации (IoC)
Индикатор компрометации (IoC) — это судебно-медицинский артефакт, наблюдаемый в сети или узле. IoC указывает (с высокой степенью достоверности) на то, что произошло вторжение в компьютер или сеть. Операции ввода-вывода являются наблюдаемыми, что напрямую связывает их с измеримыми событиями. Ниже приведены некоторые примеры IoC:
- Хэши известных вредоносных программ
- сигнатуры вредоносного сетевого трафика
- URL-адреса или домены, которые являются известными распространителями вредоносных программ
Чтобы остановить другие компрометации или предотвратить нарушения известных ioC, успешные средства IoC должны иметь возможность обнаруживать все вредоносные данные, перечисленные набором правил средства. Сопоставление IoC является важной функцией в каждом решении для защиты конечных точек. Эта возможность позволяет SecOps задавать список индикаторов для обнаружения и блокировки (предотвращение и реагирование).
Организации могут создавать индикаторы, определяющие обнаружение, предотвращение и исключение сущностей IoC. Вы можете определить действие, которое необходимо выполнить, а также длительность применения действия и область группы устройств, к которые оно будет применено.
В этом видео показано пошаговое руководство по созданию и добавлению индикаторов:
Сведения о индикаторах Майкрософт
Как правило, следует создавать индикаторы только для известных вредоносных индикаторов компрометации (IoC) или для файлов и веб-сайтов, которые должны быть явно разрешены в вашей организации. Дополнительные сведения о типах сайтов, которые Defender для конечных точек может блокировать по умолчанию, см. в статье Обзор фильтр SmartScreen в Microsoft Defender.
Ложноположительное срабатывание (FP) означает ложноположительное срабатывание в системе аналитики угроз Microsoft. Если данный ресурс на самом деле не является угрозой, можно создать разрешение IoC, чтобы разрешить ресурс. Вы также можете улучшить аналитику безопасности Майкрософт, отправив ложноположительные результаты и подозрительные или известные неверные операции ввода-вывода для анализа. Если предупреждение или блок неправильно отображается для файла или приложения или если вы подозреваете, что незамеченный файл является вредоносным, вы можете отправить файл в Корпорацию Майкрософт для проверки. Подробно см. в статье Отправка файлов для анализа.
Индикаторы IP/URL-адреса/домена
Для управления доступом к сайту можно использовать индикаторы IP-адресов и URL-адресов и доменов.
Чтобы заблокировать подключения к IP-адресу, введите IPv4-адрес в форме пунктирной четверки (например, 8.8.8.8). Для IPv6-адресов укажите все восемь сегментов (например, 2001:4860:4860:0:0:0:0:8888). Обратите внимание, что подстановочные знаки и диапазоны не поддерживаются.
Чтобы заблокировать подключения к домену и любому из его поддоменов, укажите домен (например, contoso.com). Этот индикатор соответствует contoso.com , а также sub.contoso.com и anything.sub.contoso.com.
Чтобы заблокировать определенный URL-путь, укажите URL-путь (например, https://contoso.com/block). Этот индикатор соответствует ресурсам по пути /block на contoso.com. Обратите внимание, что url-адреса HTTPS будут совпадать только в Microsoft Edge. Url-адреса HTTP можно сопоставить в любом браузере.
Вы также можете создать индикаторы IP-адресов и URL-адресов, чтобы разблокировать пользователей из блока SmartScreen или выборочно обходить блоки фильтрации веб-содержимого сайтов, которые вы хотите разрешить загрузку. Например, рассмотрим случай, когда у вас настроена фильтрация веб-содержимого для блокировки всех веб-сайтов социальных сетей. Тем не менее, команда маркетинга требует использовать определенный сайт социальных сетей для мониторинга размещения рекламы. В этом случае можно разблокировать определенный сайт социальных сетей, создав индикатор разрешения домена и назначив его группе устройств маркетинговой команды.
См. статью Веб-защита и фильтрация веб-содержимого.
Индикаторы IP-адресов и URL-адресов: защита сети и трёхэтапное рукопожатие TCP
В случае защиты сети определение того, следует ли разрешать или блокировать доступ к сайту, производится после завершения трехстороннего подтверждения через TCP/IP. Таким образом, если сайт заблокирован функцией защиты сети, в портале Microsoft Defender в разделе ConnectionSuccess может отображаться тип действия NetworkConnectionEvents, даже если сайт был заблокирован.
NetworkConnectionEvents поступают с уровня TCP, а не от модуля защиты сети. После завершения трехстороннего подтверждения доступ к сайту будет разрешен или заблокирован защитой сети.
Ниже приведен пример того, как это работает.
Предположим, что пользователь пытается получить доступ к веб-сайту на своем устройстве. Сайт размещается в опасном домене, и он должен быть заблокирован сетевой защитой.
Начинается трёхэтапное рукопожатие по протоколу TCP/IP. До завершения действия регистрируется действие
NetworkConnectionEvents, а егоActionTypeуказан какConnectionSuccess. Однако как только процесс трехстороннего подтверждения завершится, защита сети блокирует доступ к сайту. Все это происходит быстро. Аналогичный процесс происходит и с фильтр SmartScreen в Microsoft Defender; именно после завершения трёхэтапного рукопожатия принимается решение, и доступ к сайту либо блокируется, либо разрешается.На портале Microsoft Defender оповещение указано в очереди оповещений. Сведения об этом оповещении включают и
NetworkConnectionEvents, иAlertEvents. Вы можете видеть, что сайт был заблокирован, хотя у вас также есть элементNetworkConnectionEventsс ActionTypeConnectionSuccess.
Хэш-индикаторы файлов
В некоторых случаях создание нового индикатора для недавно идентифицированного файла IoC ( в качестве меры немедленного интервала остановки) может быть подходящим для блокировки файлов или даже приложений. Однако использование индикаторов для блокировки приложения может не предоставлять ожидаемые результаты, так как приложения обычно состоят из множества различных файлов. Предпочтительный метод блокировки приложений — использовать управление приложениями в Защитнике Windows (WDAC) или AppLocker.
Так как каждая версия приложения имеет свой хэш файлов, использовать индикаторы для блокировки хэшей не рекомендуется.
Управление приложениями в Защитнике Windows (WDAC)
Индикаторы сертификатов
Вы можете создать IoC, чтобы разрешить или заблокировать файлы и приложения, подписанные этим сертификатом. Индикаторы сертификата могут быть предоставлены в формате файлов .CER или .PEM. Дополнительные сведения см. в статье Создание индикаторов на основе сертификатов .
Подсистемы обнаружения IoC
В настоящее время поддерживаемые источники Microsoft для IoC:
- Модуль облачного обнаружения Defender для конечной точки
- Модуль автоматизированного расследования и устранения (AIR) в Microsoft Defender для конечной точки
- Подсистема защиты конечных точек (антивирусная программа Microsoft Defender)
Подсистема обнаружения облака
Модуль облачного обнаружения Defender для конечной точки регулярно сканирует собранные данные и пытается соответствовать заданным индикаторам. При наличии совпадения действие выполняется в соответствии с параметрами, указанными для IoC.
Подсистема защиты конечных точек
Тот же список индикаторов учитывается агентом по предотвращению. Это означает, что если Microsoft Defender Антивирусная программа является основной настроенной антивирусной программой, соответствующие индикаторы обрабатываются в соответствии с параметрами. Например, если действие заблокировано и исправлено, Microsoft Defender антивирусная программа предотвращает выполнение файлов и появится соответствующее оповещение. С другой стороны, если для действия задано значение Разрешить, Microsoft Defender антивирусная программа не обнаруживает или не блокирует файл.
Механизм автоматического расследования и устранения
Автоматическое исследование и исправление ведут себя аналогично подсистеме защиты конечных точек. Если для индикатора задано значение Разрешить, автоматическое исследование и исправление игнорирует неверный вердикт для него. Если задано значение Block, автоматизированное расследование и устранение считает это вредоносным.
Параметр EnableFileHashComputation вычисляет хэш файла во время сканирования файлов. Он поддерживает принудительное применение IoC в отношении хэшей, принадлежащих доверенным приложениям. Он одновременно включается с параметром разрешить или блокировать файл.
EnableFileHashComputation включается вручную с помощью групповой политики и по умолчанию отключается.
Типы принудительного применения для индикаторов
Когда группа безопасности создает новый индикатор (IoC), доступны следующие действия:
- Разрешить. IoC разрешено запускать на ваших устройствах.
- Аудит: оповещение активируется при запуске IoC.
- Предупреждение: IoC выводит предупреждение о том, что пользователь может обойти
- Блокировать выполнение: IoC не разрешено выполняться.
- Блокировать и устранить: запуск IoC не допускается, и к IoC применяется мера по устранению.
Примечание.
При использовании режима предупреждения пользователи получают предупреждение, если они открывают опасное приложение или веб-сайт. Запрос не запрещает запуск приложения или веб-сайта, но вы можете предоставить пользовательское сообщение и ссылки на страницу компании, на которой описывается соответствующее использование приложения. Пользователи по-прежнему могут обходить предупреждение и при необходимости продолжать использовать приложение. Дополнительные сведения см. в разделе Управление приложениями, обнаруженных Microsoft Defender для конечной точки.
Примечание.
Для действия «Предупредить», чтобы получать всплывающее уведомление и иметь возможность обойти IoC, убедитесь, что в разделе Уведомления системы защиты от вирусов и угроз включена опция «Файлы или действия заблокированы». Соответствующий параметр реестра должен быть установлен следующим образом: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender Security Center\Virus and threat protection\FilesBlockedNotificationDisabled = 0.
Дополнительные сведения см. в параметрах приложения «Безопасность Windows».
Индикатор можно создать для:
В таблице ниже показано, какие действия доступны для каждого типа индикатора (IoC):
| Тип IoC | Доступные действия |
|---|---|
| Файлы | Разрешить Аудит Предупредить Выполнение блока Блокировка и исправление |
| IP-адреса. | Разрешить Аудит Предупредить Блокировка выполнения |
| URL-адреса и домены | Разрешить Аудит Предупредить Блокировка выполнения |
| Сертификаты | Разрешить Блокировка и исправление |
Функциональность уже существующих IoC остается прежней. Однако индикаторы переименовываются в соответствии с поддерживаемыми в настоящее время действиями реагирования:
- Действие реагирования только оповещение было переименовано в аудит при включенном параметре генерации оповещений.
- Ответ оповещение и блокировка был переименован в блокировка и устранение с необязательным параметром создания оповещения.
Схема API IoC и идентификаторы угроз в Advanced Hunting обновляются в соответствии с переименованием действий реагирования IoC. Изменения схемы API применяются ко всем типам IoC.
Примечание.
Существует ограничение в 15 000 индикаторов на каждого клиента. Увеличение до этого предела не поддерживается.
Индикаторы файлов и сертификатов не блокируют исключения, определенные для антивирусной программы Microsoft Defender. Индикаторы не поддерживаются в антивирусной программе Microsoft Defender, если она находится в пассивном режиме.
Формат импорта новых индикаторов (IoCs) изменился в соответствии с новыми обновленными параметрами действий и оповещений. Рекомендуется скачать новый формат CSV, который можно найти в нижней части панели импорта.
Если индикаторы синхронизируются с порталом Defender из Microsoft Defender for Cloud Apps для санкционированных или несанкционированных приложений, параметры перезаписываются при синхронизации с Microsoft Defender порталом. Параметр Generate Alert включен по умолчанию на портале Microsoft Defender для несанкционированных приложений. Если вы попытаетесь снять флажок Generate Alert для Defender for Endpoint, через некоторое время этот параметр снова включается, так как его переопределяет политика Defender for Cloud Apps. Для санкционированных или разрешенных приложений задано значение , а не Generate Alert .
Известные проблемы и ограничения
Приложения Майкрософт не могут быть заблокированы Microsoft Defender, так как они подписаны корпорацией Майкрософт.
Клиенты могут столкнуться с проблемами с оповещениями об IoC. Ниже описаны ситуации, когда оповещения не создаются или создаются с неточными сведениями.
- Индикаторы блокировки и предупреждения: создаются общие предупреждения только с уровнем серьёзности «Информация». Пользовательские оповещения (т. е. настраиваемые заголовок и уровень серьезности) в этих случаях не запускаются.
- Разрешить: оповещения не создаются (так и задумано).
- Аудит: Оповещения генерируются на основе уровня серьезности, указанного клиентом (по замыслу).
- В некоторых случаях оповещения, поступающие от обнаружения EDR, могут иметь приоритет над оповещениями, исходящими из антивирусных блоков. В этом случае создается информационное оповещение.