Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Общие сведения о индикаторе компрометации (IoC)
Индикатор компрометации (IoC) — это судебно-медицинский артефакт, наблюдаемый в сети или узле. IoC указывает (с высокой степенью достоверности) на то, что произошло вторжение в компьютер или сеть. Операции ввода-вывода являются наблюдаемыми, что напрямую связывает их с измеримыми событиями. Ниже приведены некоторые примеры IoC:
- Хэши известных вредоносных программ
- сигнатуры вредоносного сетевого трафика
- URL-адреса или домены, которые являются известными распространителями вредоносных программ
Чтобы остановить другие компрометации или предотвратить нарушения известных ioC, успешные средства IoC должны иметь возможность обнаруживать все вредоносные данные, перечисленные набором правил средства. Сопоставление IoC является важной функцией в каждом решении для защиты конечных точек. Эта возможность позволяет SecOps задавать список индикаторов для обнаружения и блокировки (предотвращение и реагирование).
Организации могут создавать индикаторы, определяющие обнаружение, предотвращение и исключение сущностей IoC. Вы можете определить действие, которое необходимо выполнить, а также длительность применения действия и область группы устройств, к которые оно будет применено.
В этом видео показано пошаговое руководство по созданию и добавлению индикаторов:
Сведения о индикаторах Майкрософт
Как правило, следует создавать индикаторы только для известных недопустимых операций ввода-вывода или для любых файлов или веб-сайтов, которые должны быть явно разрешены в вашей организации. Дополнительные сведения о типах сайтов, которые Defender для конечной точки может блокировать по умолчанию, см. Microsoft Defender обзор SmartScreen.
Ложноположительным срабатыванием (FP) называется ложноположительный результат в аналитике угроз Майкрософт. Если данный ресурс на самом деле не является угрозой, можно создать разрешение IoC, чтобы разрешить ресурс. Вы также можете улучшить аналитику безопасности Майкрософт, отправив ложноположительные результаты и подозрительные или известные неверные операции ввода-вывода для анализа. Если предупреждение или блок неправильно отображается для файла или приложения или если вы подозреваете, что незамеченный файл является вредоносным, вы можете отправить файл в Корпорацию Майкрософт для проверки. Подробно см. в статье Отправка файлов для анализа.
Индикаторы IP/URL-адреса/домена
Для управления доступом к сайту можно использовать индикаторы IP-адресов и URL-адресов и доменов.
Чтобы заблокировать подключения к IP-адресу, введите IPv4-адрес в форме пунктирной четверки (например, 8.8.8.8). Для IPv6-адресов укажите все 8 сегментов (например, 2001:4860:4860:0:0:0:0:8888). Обратите внимание, что подстановочные знаки и диапазоны не поддерживаются.
Чтобы заблокировать подключения к домену и любому из его поддоменов, укажите домен (например, example.com). Этот индикатор будет соответствовать example.com , а также sub.example.com и anything.sub.example.com.
Чтобы заблокировать определенный URL-путь, укажите URL-путь (например, https://example.com/block). Этот индикатор будет соответствовать ресурсам по пути в /blockexample.com. Обратите внимание, что url-адреса HTTPS будут совпадать только в Microsoft Edge. Url-адреса HTTP можно сопоставить в любом браузере.
Вы также можете создать индикаторы IP-адресов и URL-адресов, чтобы разблокировать пользователей из блока SmartScreen или выборочно обходить блоки фильтрации веб-содержимого сайтов, которые вы хотите разрешить загрузку. Например, рассмотрим случай, когда у вас настроена фильтрация веб-содержимого для блокировки всех веб-сайтов социальных сетей. Тем не менее, команда маркетинга требует использовать определенный сайт социальных сетей для мониторинга размещения рекламы. В этом случае можно разблокировать определенный сайт социальных сетей, создав индикатор разрешения домена и назначив его группе устройств маркетинговой команды.
См. статью Веб-защита и фильтрация веб-содержимого.
Индикаторы IP-адресов и URL-адресов: защита сети и трехстороннее подтверждение TCP
В случае защиты сети определение того, следует ли разрешать или блокировать доступ к сайту, производится после завершения трехстороннего подтверждения через TCP/IP. Таким образом, если сайт заблокирован защитой сети, на портале Microsoft Defender может отображаться тип ConnectionSuccessNetworkConnectionEvents действия в разделе, даже если сайт был заблокирован.
NetworkConnectionEvents отображаются на уровне TCP, а не из защиты сети. После завершения трехстороннего подтверждения доступ к сайту будет разрешен или заблокирован защитой сети.
Ниже приведен пример того, как это работает.
Предположим, что пользователь пытается получить доступ к веб-сайту на своем устройстве. Сайт размещается в опасном домене, и он должен быть заблокирован сетевой защитой.
Начинается трехстороннее подтверждение через TCP/IP. Перед его завершением
NetworkConnectionEventsдействие регистрируется и отображаетсяActionTypeкакConnectionSuccess. Однако как только процесс трехстороннего подтверждения завершится, защита сети блокирует доступ к сайту. Все это происходит быстро. Аналогичный процесс происходит с Microsoft Defender SmartScreen. Это происходит, когда трехстороннее подтверждение завершается, что делается определение, а доступ к сайту либо заблокирован, либо разрешен.На портале Microsoft Defender в очереди оповещений отображается оповещение. Сведения об этом оповещении включают и
NetworkConnectionEventsAlertEvents. Вы видите, что сайт был заблокирован, даже если у вас также естьNetworkConnectionEventsэлемент с ActionType .ConnectionSuccess
Хэш-индикаторы файлов
В некоторых случаях создание нового индикатора для недавно идентифицированного файла IoC ( в качестве меры немедленного интервала остановки) может быть подходящим для блокировки файлов или даже приложений. Однако использование индикаторов для блокировки приложения может не предоставлять ожидаемые результаты, так как приложения обычно состоят из множества различных файлов. Предпочтительный метод блокировки приложений — использовать управление приложениями в Защитнике Windows (WDAC) или AppLocker.
Так как каждая версия приложения имеет свой хэш файлов, использовать индикаторы для блокировки хэшей не рекомендуется.
Управление приложениями в Защитнике Windows (WDAC)
Индикаторы сертификатов
Вы можете создать IoC, чтобы разрешить или заблокировать файлы и приложения, подписанные этим сертификатом. Индикаторы сертификатов можно указать в . CER или . Формат PEM-файла. Дополнительные сведения см. в статье Создание индикаторов на основе сертификатов .
Подсистемы обнаружения IoC
В настоящее время поддерживаемые microsoft источники для ioC:
- Модуль облачного обнаружения Defender для конечной точки
- Подсистема автоматизированного исследования и исправления (AIR) в Microsoft Defender для конечной точки
- Подсистема защиты конечных точек (антивирусная программа Microsoft Defender)
Подсистема обнаружения облака
Модуль облачного обнаружения Defender для конечной точки регулярно сканирует собранные данные и пытается соответствовать заданным индикаторам. При наличии совпадения действие выполняется в соответствии с параметрами, указанными для IoC.
Подсистема защиты конечных точек
Тот же список индикаторов учитывается агентом по предотвращению. Это означает, что если Microsoft Defender Антивирусная программа является основной настроенной антивирусной программой, соответствующие индикаторы обрабатываются в соответствии с параметрами. Например, если действие заблокировано и исправлено, Microsoft Defender антивирусная программа предотвращает выполнение файлов и появится соответствующее оповещение. С другой стороны, если для действия задано значение Разрешить, Microsoft Defender антивирусная программа не обнаруживает или не блокирует файл.
Автоматическое исследование и исправление
Автоматическое исследование и исправление ведут себя аналогично подсистеме защиты конечных точек. Если для индикатора задано значение Разрешить, автоматическое исследование и исправление игнорирует неверный вердикт для него. Если задано значение Блокировать, автоматическое исследование и исправление будет рассматриваться как плохое.
Параметр EnableFileHashComputation вычисляет хэш файла во время сканирования файлов. Он поддерживает принудительное применение IoC в отношении хэшей, принадлежащих доверенным приложениям. Он одновременно включается с параметром разрешить или блокировать файл.
EnableFileHashComputationвключается вручную через групповая политика и по умолчанию отключен.
Типы принудительного применения для индикаторов
Когда группа безопасности создает новый индикатор (IoC), доступны следующие действия:
- Разрешить. IoC разрешено запускать на ваших устройствах.
- Аудит: оповещение активируется при запуске IoC.
- Предупреждение: IoC выводит предупреждение о том, что пользователь может обойти
- Выполнение блока. IoC не может выполняться.
- Блокировать и исправлять. IoC не может выполняться, и к IoC применяется действие исправления.
Примечание.
При использовании режима предупреждения пользователи получают предупреждение, если они открывают опасное приложение или веб-сайт. Запрос не запрещает запуск приложения или веб-сайта, но вы можете предоставить пользовательское сообщение и ссылки на страницу компании, на которой описывается соответствующее использование приложения. Пользователи по-прежнему могут обходить предупреждение и при необходимости продолжать использовать приложение. Дополнительные сведения см. в разделе Управление приложениями, обнаруженными Microsoft Defender для конечной точки.
Индикатор можно создать для:
В таблице ниже показано, какие действия доступны для каждого типа индикатора (IoC):
| Тип IoC | Доступные действия |
|---|---|
| Файлы | Разрешить Аудит Предупреждать Выполнение блока Блокировка и исправление |
| IP-адреса. | Разрешить Аудит Предупреждать Выполнение блока |
| URL-адреса и домены | Разрешить Аудит Предупреждать Выполнение блока |
| Сертификаты | Разрешить Блокировка и исправление |
Функциональность уже существовающих ioCs не меняется. Однако индикаторы переименовываются в соответствии с поддерживаемыми в настоящее время действиями реагирования:
- Действие реагирования только на оповещение было переименовано в аудит с включенным параметром созданного оповещения.
- Ответ оповещения и блокировки был переименован в блокировать и исправлять с помощью необязательного параметра создания оповещений.
Схема API IoC и идентификаторы угроз в Advanced Hunting обновляются в соответствии с переименованием действий реагирования IoC. Изменения схемы API применяются ко всем типам IoC.
Примечание.
Существует ограничение в 15 000 индикаторов на каждого клиента. Увеличение до этого предела не поддерживается.
Индикаторы файлов и сертификатов не блокируют исключения, определенные для Microsoft Defender антивирусной программы. Индикаторы не поддерживаются в антивирусной программе Microsoft Defender, если она находится в пассивном режиме.
Формат импорта новых индикаторов (IoCs) изменился в соответствии с новыми обновленными параметрами действий и оповещений. Рекомендуется скачать новый формат CSV, который можно найти в нижней части панели импорта.
Если индикаторы синхронизируются с порталом Microsoft Defender из Microsoft Defender for Cloud Apps для санкционированных или несанкционированных приложений, Generate Alert параметр включен по умолчанию на портале Microsoft Defender. Если вы попытаетесь удалить Generate Alert параметр Defender для конечной точки, он будет снова включен через некоторое время, так как политика Defender for Cloud Apps переопределяет его.
Известные проблемы и ограничения
Приложения Microsoft Store не могут быть заблокированы Microsoft Defender, так как они подписаны корпорацией Майкрософт.
Клиенты могут столкнуться с проблемами с оповещениями для ioCs. Ниже описаны ситуации, когда оповещения не создаются или создаются с неточными сведениями. Каждая проблема изучается нашей командой разработчиков.
- Индикаторы блоков. Создаются универсальные оповещения только с информационной серьезностью. Пользовательские оповещения (т. е. настраиваемые заголовок и уровень серьезности) в этих случаях не запускаются.
- Предупреждать индикаторы. В этом сценарии возможны универсальные оповещения и настраиваемые оповещения; однако результаты не являются детерминированными из-за проблемы с логикой обнаружения оповещений. В некоторых случаях клиенты могут видеть универсальное оповещение, в то время как пользовательское оповещение может отображаться в других случаях.
- Разрешить: оповещения не создаются (по конструктору).
- Аудит. Оповещения создаются на основе серьезности, предоставляемой клиентом (по проекту).
- В некоторых случаях оповещения, поступающие от обнаружения EDR, могут иметь приоритет над оповещениями, исходящими из антивирусных блоков. В этом случае создается информационное оповещение.
Статьи по теме
- Исключения для антивирусной программы Microsoft Defender для конечной точки и Microsoft Defender
- Создание контекстного Интернета вещей
- Использование API индикаторов Microsoft Defender для конечной точки
- Использование интегрированных решений партнеров
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.