Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Indicador de descrição geral do compromisso (IoC)
Um Indicador de comprometimento (IoC) é um artefacto forense observado na rede ou anfitrião. Um IoC indica, com elevada confiança, que ocorreu uma intrusão de computador ou de rede. Os IoCs são observáveis, o que os liga diretamente a eventos mensuráveis. Alguns exemplos de IoC incluem:
- hashes de software maligno conhecido
- assinaturas de tráfego de rede malicioso
- URLs ou domínios que são distribuidores conhecidos de software maligno
Para travar outros compromissos ou evitar falhas de IoCs conhecidos, as ferramentas de IoC bem-sucedidas devem conseguir detetar todos os dados maliciosos enumerados pelo conjunto de regras da ferramenta. A correspondência de IoC é uma funcionalidade essencial em todas as soluções de proteção de pontos finais. Esta capacidade dá ao SecOps a capacidade de definir uma lista de indicadores para deteção e para bloqueio (prevenção e resposta).
As organizações podem criar indicadores que definem a deteção, prevenção e exclusão de entidades IoC. Pode definir a ação a ser tomada, bem como a duração para quando aplicar a ação e o âmbito do grupo de dispositivos ao qual a aplicá-la.
Este vídeo mostra instruções sobre como criar e adicionar indicadores:
Acerca dos indicadores da Microsoft
Regra geral, só deve criar indicadores para IoCs incorretos conhecidos ou para quaisquer ficheiros/sites que devem ser explicitamente permitidos na sua organização. Para obter mais informações sobre os tipos de sites que o Defender para Ponto Final pode bloquear por predefinição, consulte Microsoft Defender Descrição geral do SmartScreen.
Um falso positivo (FP) refere-se a um falso positivo nas informações sobre ameaças da Microsoft. Se um determinado recurso não for realmente uma ameaça, pode criar um Permitir IoC para permitir o recurso. Também pode ajudar a melhorar as informações de segurança da Microsoft ao submeter falsos positivos e IoCs suspeitos ou conhecidos e inválidos para análise. Se um aviso ou bloco for apresentado incorretamente para um ficheiro ou aplicação ou se suspeitar que um ficheiro não detetado é software maligno, pode submeter um ficheiro à Microsoft para revisão. Para saber mais, confira Enviar arquivos para análise.
Indicadores de IP/URL/Domínio
Pode utilizar indicadores de IP e URL/Domínio para gerir o acesso ao site.
Para bloquear ligações a um endereço IP, escreva o endereço IPv4 no formato quad pontilhado (por exemplo, 8.8.8.8). Para endereços IPv6, especifique os oito segmentos (por exemplo, 2001:4860:4860:0:0:0:0:8888). Tenha em atenção que os carateres universais e os intervalos não são suportados.
Para bloquear ligações a um domínio e a qualquer um dos respetivos subdomínios, especifique o domínio (por exemplo, example.com). Este indicador corresponde example.com , bem como sub.example.com e anything.sub.example.com.
Para bloquear um caminho de URL específico, especifique o caminho do URL (por exemplo, https://example.com/block). Este indicador corresponde aos recursos no /block caminho em example.com. Tenha em atenção que os caminhos de URL de HTTPS só serão correspondidos no Microsoft Edge; Os caminhos de URL HTTP podem ser correspondidos em qualquer browser.
Também pode criar indicadores de IP e URL para desbloquear utilizadores de um bloco SmartScreen ou ignorar seletivamente os blocos de filtragem de conteúdo Web dos sites que pretende permitir carregar. Por exemplo, considere um caso em que tem a filtragem de conteúdo Web definida para bloquear todos os sites de redes sociais. No entanto, a equipa de marketing tem o requisito de utilizar um site de redes sociais específico para monitorizar as colocações de anúncios. Neste caso, pode desbloquear o site de redes sociais específico ao criar um indicador Permitir do domínio e atribuí-lo ao grupo de dispositivos da equipa de marketing.
Veja Proteção Web e filtragem de conteúdo Web
Indicadores de IP/URL: proteção de rede e handshake tridirecional TCP
Com a proteção de rede, a determinação de permitir ou bloquear o acesso a um site é efetuada após a conclusão do handshake tridirecional através de TCP/IP. Assim, quando um site é bloqueado pela proteção de rede, poderá ver um tipo de ConnectionSuccessNetworkConnectionEvents ação no portal do Microsoft Defender, apesar de o site ter sido bloqueado.
NetworkConnectionEvents são comunicados a partir da camada TCP e não da proteção de rede. Após a conclusão do handshake tridirecional, o acesso ao site é permitido ou bloqueado pela proteção de rede.
Eis um exemplo de como funciona:
Suponha que um utilizador tenta aceder a um site no respetivo dispositivo. O site está alojado num domínio perigoso e deve ser bloqueado pela proteção de rede.
O handshake tridirecional através de TCP/IP começa. Antes de ser concluída, é registada uma
NetworkConnectionEventsação eActionTypeestá listada comoConnectionSuccess. No entanto, assim que o processo de handshake tridirecional for concluído, a proteção de rede bloqueia o acesso ao site. Tudo isto acontece rapidamente. Um processo semelhante ocorre com Microsoft Defender SmartScreen; é quando o handshake tridirecional conclui que é feita uma determinação e o acesso a um site é bloqueado ou permitido.No portal Microsoft Defender, é apresentado um alerta na fila de alertas. Os detalhes desse alerta incluem e
NetworkConnectionEventsAlertEvents. Pode ver que o site foi bloqueado, apesar de também ter umNetworkConnectionEventsitem com o ActionType deConnectionSuccess.
Indicadores hash de ficheiros
Em alguns casos, a criação de um novo indicador para um IoC de ficheiro recentemente identificado - como uma medida stop-gap imediata - pode ser adequado para bloquear ficheiros ou até mesmo aplicações. No entanto, a utilização de indicadores para tentar bloquear uma aplicação pode não fornecer os resultados esperados, uma vez que as aplicações são normalmente compostas por muitos ficheiros diferentes. Os métodos preferenciais de bloquear aplicações são utilizar o Controlo de Aplicações do Windows Defender (WDAC) ou o AppLocker.
Uma vez que cada versão de uma aplicação tem um hash de ficheiro diferente, não é recomendado utilizar indicadores para bloquear hashes.
Controlo de Aplicações do Windows Defender (WDAC)
Indicadores de certificado
Pode criar um IoC para permitir ou bloquear ficheiros e aplicações assinados por esse certificado. Os indicadores de certificado podem ser fornecidos no . CER ou . Formato de ficheiro PEM. Veja Criar indicadores com base em certificados para obter mais detalhes.
Motores de deteção de IoC
Atualmente, as origens suportadas da Microsoft para IoCs são:
- Motor de deteção da cloud do Defender para Endpoint
- Motor de investigação e remediação automatizada (AIR) no Microsoft Defender para Ponto de Extremidade
- Motor de prevenção de pontos finais (Antivírus do Microsoft Defender)
Motor de deteção da cloud
O motor de deteção da cloud do Defender para Endpoint analisa regularmente os dados recolhidos e tenta corresponder aos indicadores que definiu. Quando existe uma correspondência, a ação é efetuada de acordo com as definições que especificou para o IoC.
Motor de prevenção de pontos finais
A mesma lista de indicadores é respeitada pelo agente de prevenção. Ou seja, se Microsoft Defender Antivírus for o antivírus primário configurado, os indicadores correspondentes são tratados de acordo com as definições. Por exemplo, se a ação for bloquear e remediar, Microsoft Defender Antivírus impede execuções de ficheiros e é apresentado um alerta correspondente. Por outro lado, se a Ação estiver definida como Permitir, Microsoft Defender Antivírus não detetar ou bloquear o ficheiro.
Motor de investigação e remediação automatizado
A investigação e a remediação automatizadas comportam-se de forma semelhante ao motor de prevenção de pontos finais. Se um indicador estiver definido como Permitir, a investigação automatizada e a remediação ignoram um veredicto incorreto . Se definido como Bloquear, a investigação e a remediação automatizadas tratam-na como incorreta.
A EnableFileHashComputation definição calcula o hash do ficheiro durante as análises de ficheiros. Suporta a imposição de IoC contra hashes pertencentes a aplicações fidedignas. Está ativada simultaneamente com a definição permitir ou bloquear ficheiro.
EnableFileHashComputationé ativado manualmente através de Política de Grupo e está desativado por predefinição.
Tipos de imposição para Indicadores
Quando a equipa de segurança cria um novo indicador (IoC), estão disponíveis as seguintes ações:
- Permitir: o IoC tem permissão para ser executado nos seus dispositivos.
- Auditoria: é acionado um alerta quando o IoC é executado.
- Aviso: o IoC pede um aviso a indicar que o utilizador pode ignorar
- Execução de blocos: o IoC não tem permissão para ser executado.
- Bloquear e remediar: o IoC não tem permissão para ser executado e é aplicada uma ação de remediação ao IoC.
Observação
A utilização do Modo de aviso pede aos utilizadores um aviso se abrirem uma aplicação ou site de risco. O pedido não os impede de permitir a execução da aplicação ou site, mas pode fornecer uma mensagem personalizada e ligações para uma página da empresa que descreva a utilização adequada da aplicação. Os utilizadores podem ignorar o aviso e continuar a utilizar a aplicação, se necessário. Para obter mais informações, veja Governar aplicações detetadas por Microsoft Defender para Ponto de Extremidade.
Observação
Para a ação Avisar, para receber a notificação de alerta para poder ignorar o IoC, certifique-se de que a opção "Ficheiros ou atividades estão bloqueadas" está ativada nas notificações do Virus & Threat Protection. A chave de registo correspondente deve ser definida da seguinte forma: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender Security Center\Virus e proteção contra ameaças\FilesBlockedNotificationDisabled = 0.
Para obter mais detalhes, veja Segurança do Windows definições da aplicação.
Pode criar um indicador para:
A tabela abaixo mostra que ações estão disponíveis por tipo de indicador (IoC):
| Tipo de IoC | Ações disponíveis |
|---|---|
| Files | Permitir Auditoria Avisar Bloquear execução Bloquear e remediar |
| Endereços IP | Permitir Auditoria Avisar Bloquear execução |
| URLs e domínios | Permitir Auditoria Avisar Bloquear execução |
| Certificados | Permitir Bloquear e remediar |
A funcionalidade de IoCs pré-existentes não é alterada. No entanto, o nome dos indicadores é alterado para corresponder às ações de resposta atualmente suportadas:
- O nome da ação de resposta apenas do alerta foi mudado para auditoria com a definição de alerta gerada ativada.
- O nome da resposta de alerta e bloqueio foi mudado para bloquear e remediar com a definição opcional gerar alerta.
O esquema da API IoC e os IDs de ameaça na Investigação Avançada são atualizados para alinhar com o nome das ações de resposta do IoC. As alterações ao esquema de API aplicam-se a todos os Tipos de IoC.
Observação
Existe um limite de 15 000 indicadores por inquilino. Os aumentos a este limite não são suportados.
Os indicadores de ficheiros e certificados não bloqueiam as exclusões definidas para o Antivírus Microsoft Defender. Os indicadores não são suportados no Antivírus Microsoft Defender quando está no modo passivo.
O formato para importar novos indicadores (IoCs) foi alterado de acordo com as novas definições de ações e alertas atualizadas. Recomendamos que transfira o novo formato CSV que pode ser encontrado na parte inferior do painel de importação.
Se os indicadores forem sincronizados com o portal do Defender a partir de Microsoft Defender para Aplicativos de Nuvem para aplicações aprovadas ou não aprovadas, as definições são substituídas quando sincronizadas com Microsoft Defender portal. A Generate Alert opção está ativada por predefinição no portal do Microsoft Defender para aplicações não aprovadas. Se tentar desmarcar a opção Generate Alert do Defender para Endpoint, esta será reativada após algum tempo, porque a política de Defender para Aplicativos de Nuvem substitui-a. Aplicações aprovadas ou permitidas, o valor está definido como não Generate Alert .
Limitações e problemas conhecidos
As aplicações da Microsoft Store não podem ser bloqueadas por Microsoft Defender porque são assinadas pela Microsoft.
Os clientes podem ter problemas com alertas para IoCs. Os cenários seguintes são situações em que os alertas não são criados ou são criados com informações imprecisas.
- Indicadores de Bloqueio e Aviso: só são criados alertas genéricos com gravidade informativa. Os alertas personalizados (ou seja, o título personalizado e a gravidade) não são acionados nestes casos.
- Permitir: não são gerados alertas (por predefinição).
- Auditoria: os alertas são gerados com base na gravidade fornecida pelo cliente (por predefinição).
- Em alguns casos, os alertas provenientes de deteções EDR podem ter precedência sobre alertas decorrentes de blocos antivírus, caso em que é gerado um alerta de informações.
Artigos relacionados
- Exclusões do Antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender
- Criar IoC contextual
- Utilizar a API de indicadores de Microsoft Defender para Ponto de Extremidade
- Utilizar soluções integradas de parceiros
Dica
Você deseja aprender mais? Interaja com a comunidade de Segurança da Microsoft em nossa Tech Community: Microsoft Defender para Ponto de Extremidade Tech Community.