Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
В Defender для конечной точки плана 1 и Defender для бизнеса можно создать индикатор для блокировки или разрешения файла. В Defender для бизнеса индикатор применяется к вашей среде и не может быть ограничен определенными устройствами.
Примечание.
Чтобы эта функция работала над Windows Server 2016 и Windows Server 2012 R2, эти устройства должны быть подключены с помощью современного унифицированного решения для Windows Server 2016 и Windows Server 2012 R2. Пользовательские индикаторы файлов с действиями разрешить, заблокировать и исправить теперь также доступны в расширенных возможностях модуля защиты от вредоносных программ для macOS и Linux.
Индикаторы файлов предотвращают дальнейшее распространение атаки в организации, запрещая потенциально вредоносные файлы или предполагаемые вредоносные программы. Если вы знаете потенциально вредоносный переносимый исполняемый файл (PE), его можно заблокировать. Блокировка файла предотвращает чтение, запись или выполнение на устройствах в организации.
Существует три способа создания индикаторов для файлов:
- Создание индикатора с помощью страницы параметров
- Создав контекстный индикатор с помощью кнопки «Добавить индикатор» на странице сведений о файле
- Создание индикатора программным способом с помощью API индикатора
Предварительные условия
Прежде чем создавать индикаторы для файлов, ознакомьтесь со следующими предварительными условиями:
- Включение мониторинга поведения
- Включите облачную защиту.
- Настройка сетевого подключения к облачной защите
Поддерживаемые операционные системы
Следующие операционные системы поддерживают индикаторы файлов:
- Windows 10 версии не ниже 1703
- Windows 11
- Windows Server 2012 R2
- Windows Server 2016 или более поздней версии
- ОС Azure Stack HCI, версии 23H2 и более поздних.
Предварительные требования Для Windows
Перед созданием индикаторов файлов на Windows убедитесь, что выполнены следующие требования:
- Эта функция доступна, если ваша организация использует антивирусную программу Microsoft Defender (в активном режиме).
- Версия клиента защиты от вредоносных программ должна быть
4.18.1901.xили более поздней. См. Ежемесячные версии платформы и движка - Вычисление хэша файлов включается путем установки значения
Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MpEngine\Enable File Hash ComputationВключено. Вы также можете выполнить следующую команду PowerShell:Set-MpPreference -EnableFileHashComputation $true
Примечание.
Индикаторы файлов поддерживают только переносимые исполняемые (PE) файлы, включая файлы .exe и .dll.
Предварительные требования для macOS
Перед созданием индикаторов файлов в macOS проверьте следующие предварительные требования:
- Защита в режиме реального времени (RTP) должна быть активной.
-
Настройте хэш-вычисления файлов в macOS. Выполните следующую команду:
mdatp config enable-file-hash-computation --value enabled
Примечание.
В macOS индикаторы файлов поддерживают три типа файлов: исполняемые файлы Mach-O, скрипты оболочки POSIX (например, запускаемые с помощью sh или bash) и файлы AppleScript (SCPT). (Mach-O — это собственный исполняемый формат macOS, сравнимый с .exe и .dll в Windows.)
предварительные требования для Linux
Перед созданием индикаторов файлов в Linux убедитесь, что выполнены следующие предварительные требования:
- Доступно в Defender для конечных точек версии
101.85.27или более поздней. - Настройка вычисления хэша файлов в Linux в портале Microsoft Defender или в управляемом JSON-файле
- Предпочтительно, чтобы был включён мониторинг поведения, но эта функция работает с любым другим типом проверки (RTP или выборочной).
Примечание.
На Linux индикаторы файлов поддерживают файлы скриптов (.sh файлы) и файлы ELF.
Создание индикатора для файлов на странице параметров
Чтобы создать индикатор файла на странице параметров, выполните следующие действия.
В области навигации выберите Система>Параметры>Конечные точки>Индикаторы (в разделе Правила).
Перейдите на вкладку Хэши файлов .
Выберите Добавить элемент.
Укажите следующие сведения:
- Индикатор. Укажите сведения о сущности и определите срок действия индикатора.
- Действие. Укажите выполняемое действие и укажите описание.
- Область применения: Определите область применения группы устройств (определение области применения недоступно в Defender для бизнеса).
Просмотрите сведения на вкладке Сводка, а затем нажмите кнопку Сохранить.
Создание контекстного индикатора на странице сведений о файле
Одним из вариантов при выполнении действий реагирования на файл является добавление индикатора для файла. При добавлении хэша индикатора для файла можно создать оповещение и заблокировать файл каждый раз, когда устройство в вашей организации пытается запустить его.
Файлы, автоматически заблокированные индикатором, не будут отображаться в центре уведомлений файла, но оповещения по-прежнему будут видны в очереди оповещений.
Блокировать файлы.
Чтобы заблокировать файлы с помощью индикаторов, выполните следующий шаг:
- Чтобы начать блокировку файлов, включите функцию "блокировать или разрешать" в разделе Параметры (на портале Microsoft Defender перейдите в раздел Параметры>Конечные точки>Общие>дополнительные функции>Разрешить или заблокировать файл).
Оповещение о действиях блокировки файлов (предварительная версия)
Важно!
Эта информация относится к общедоступной предварительной версии подсистемы автоматического исследования и исправления , которая является предварительной версией продукта, который может быть существенно изменен до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Текущими поддерживаемыми действиями для IOC файлов являются разрешение, аудит и блокировка, а также исправление. После блокировки файла можно выбрать, требуется ли активировать оповещение. Выбрав, следует ли создать оповещение для события блокировки, вы можете контролировать количество оповещений, отправленных группам по операциям безопасности, и убедиться, что создаются только необходимые оповещения.
На портале Microsoft Defender перейдите в Параметры>Конечные точки>Индикаторы>Добавить хэш нового файла.
Выберите блокировку и исправьте файл.
Укажите, следует ли создавать оповещение о событии блока файлов, и определите параметры оповещений:
- Заголовок оповещения
- Уровень серьезности оповещений
- Категория
- Описание
- Рекомендуемые действия
Важно!
- Как правило, блокировка файлов вводится и снимается в течение 15–30 минут, но иногда это может занять до 2 часов.
- Если существуют конфликтующие политики IoC файлов с тем же типом принудительного применения и целевым объектом, будет применена политика более безопасного хэша. Политика хэша файла SHA-256 IoC победит политику хэша файла SHA-1 IoC, которая победит политику хэша MD5-файлов IoC, если типы хэшей определяют один и тот же файл. Это всегда верно независимо от группы устройств.
- Во всех остальных случаях, если конфликтующие политики IoC для файлов с одним и тем же объектом применения назначены всем устройствам и группе, в которую входит устройство, то для этого устройства приоритет будет у политики, назначенной группе устройства.
- Если групповая политика EnableFileHashComputation отключена, снижается точность блокировки файла IoC. Однако включение
EnableFileHashComputationможет повлиять на производительность устройства. Например, копирование больших файлов из общей сетевой папки на локальное устройство, особенно через VPN-подключение, может влиять на производительность устройства. Дополнительные сведения о групповой политике EnableFileHashComputation см. в разделе CSP Defender. Дополнительные сведения о настройке этой функции в Defender для конечной точки в Linux и macOS см. в разделах Настройка функции вычисления хэша файлов в Linux и Настройка функции вычисления хэша файлов в macOS.
Расширенные возможности охоты (предварительная версия)
Важно!
Сведения в этом разделе (общедоступная предварительная версия для автоматического исследования и исправления) относятся к предварительной версии продукта, который может быть существенно изменен до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
В настоящее время в режиме предварительной версии можно запрашивать сведения о действиях реагирования в разделе «Расширенный поиск». Ниже приведен пример запроса на предварительную охоту:
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"
Дополнительные сведения о расширенной охоте см. в разделе Упреждающая охота на угрозы с помощью расширенной охоты.
Ниже приведены другие имена угроз, которые можно использовать в примере запроса:
Файлы:
EUS:Win32/CustomEnterpriseBlock!clEUS:Win32/CustomEnterpriseNoAlertBlock!cl
Сертификаты:
EUS:Win32/CustomCertEnterpriseBlock!cl
Действие реагирования также можно просмотреть на временной шкале устройства.
Обработка конфликтов политик
Конфликты политики Cert и File IoC обрабатываются в следующем порядке:
Если файл не разрешён политиками Управления приложениями Защитника Windows и AppLocker в режиме принудительного применения, выберите Блокировать.
В противном случае, если файл разрешен Microsoft Defender исключениями антивирусной программы, выберите Разрешить.
В противном случае, если файл заблокирован или предупрежден блоком или предупреждением ioCs файла, затем — Блокировать или предупреждать.
В противном случае, если файл заблокирован SmartScreen, выберите Блокировать.
В противном случае, если файл разрешён политикой IoC, разрешающей файл, то Разрешить.
В противном случае, если файл заблокирован правилами сокращения направлений атак, управляемым доступом к папкам или антивирусной защитой, выберите Блокировать.
В противном случае, Разрешить (соответствует политикам Windows Defender Application Control и AppLocker, к нему не применяются правила IoC).
Примечание.
Если в таких ситуациях антивирусная программа Microsoft Defender настроена на Блокировать, а для индикаторов Microsoft Defender для конечной точки для хэшей файлов или сертификатов задано значение Разрешить, то по умолчанию применяется политика Разрешить.
Примечание.
В ситуациях, когда для индикатора на основе сертификата настроено значение Блокировать, а для хэш-индикатора файла для одного из подписанных файлов задано значение Разрешить, эта конфигурация не поддерживается в конструкторе. Индикаторы на основе сертификатов имеют более высокий приоритет в конвейере оценки Defender и всегда переопределяют индикаторы разрешения хэша файлов. Конфигурация, которая одновременно:
- блокирует сертификат и
- пытается разрешить один из подписанных файлов с помощью хэша файлов
не поддерживается. Индикаторы на основе сертификатов имеют приоритет, поэтому файл будет по-прежнему заблокирован.
Если существуют конфликтующие политики IoC файлов с тем же типом принудительного применения и целевым объектом, применяется политика более безопасного (то есть более длинного) хэша. Например, политика IoC хэша файла SHA-256 имеет приоритет над политикой IoC хэша файла MD5, если оба типа хэша определяют один и тот же файл.
Предупреждение
Обработка конфликтов политик для файлов и сертификатов отличается от обработки конфликтов политик для доменов, URL-адресов или IP-адресов.
Функция блокировки уязвимых приложений в Управление уязвимостями Microsoft Defender использует файловые индикаторы компрометации (IoC) для принудительного применения и следует порядку обработки конфликтов политик.
Примеры
В следующих примерах показано, как принудительное применение компонентов взаимодействует с действиями индикатора файлов:
| Компонент | Принудительное применение компонентов | Действие индикатора файла | Результат |
|---|---|---|---|
| Антивирусная защита | Блокировка | Разрешить | Разрешить |
| Исключение пути к файлу сокращения направлений атаки | Разрешить | Блокировка | Блокировка |
| Правило уменьшения поверхности атаки | Блокировка | Разрешить | Разрешить |
| Управление приложениями в Защитнике Windows | Разрешить | Блокировка | Разрешить |
| Управление приложениями в Защитнике Windows | Блокировка | Разрешить | Блокировка |
| Исключение антивирусной программы Microsoft Defender | Разрешить | Блокировка | Разрешить |