Microsoft Defender for Endpoint中的指标概述

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

IoC) (泄露指示器概述

IoC) (入侵指标是在网络或主机上观察到的取证项目。 IoC 以高置信度指示发生了计算机或网络入侵。 IoC 是可观测的，它们直接链接到可衡量的事件。 一些 IoC 示例包括：

• 已知恶意软件的哈希
• 恶意网络流量的签名
• 已知恶意软件分发的 URL 或域

若要阻止其他入侵或防止已知 IoC 泄露，成功的 IoC 工具应能够检测工具的规则集枚举的所有恶意数据。 IoC 匹配是每个终结点保护解决方案中的基本功能。 此功能使 SecOps 能够设置用于检测和阻止 (预防和响应) 的指示器列表。

组织可以创建指标来定义 IoC 实体的检测、阻止和排除。 可以定义要执行的作以及应用作的持续时间，以及要应用作的设备组的范围。

此视频演示了创建和添加指标的演练：

关于Microsoft指示器

一般情况下，只应为已知错误的 IoC 或组织中应显式允许的任何文件/网站创建指示器。 有关 Defender for Endpoint 默认可阻止的网站类型的详细信息，请参阅 Microsoft Defender SmartScreen 概述。

误报 (FP) 是指Microsoft威胁情报中的误报。 如果给定资源实际上不是威胁，则可以创建允许 IoC 以允许该资源。 还可以通过提交误报和可疑或已知错误的 IoC 进行分析，帮助改进Microsoft的安全智能。 如果错误地为文件或应用程序显示警告或阻止，或者如果您怀疑未检测到的文件是恶意软件，则可以将文件提交到Microsoft以供审阅。 有关详细信息，请参阅提交文件进行分析。

IP/URL/域指示器

可以使用 IP 和 URL/域指示器来管理站点访问。

若要阻止与 IP 地址的连接，请键入以点四边形形式 (IPv4 地址，例如 8.8.8.8) 。 对于 IPv6 地址，请指定所有 8 段 (例如 2001:4860:4860:0:0:0:0:8888) 。 请注意，不支持通配符和范围。

若要阻止与域及其任何子域的连接，请指定域 (例如 example.com) 。 此指示器将与 和 anything.sub.example.com匹配example.comsub.example.com。

若要阻止特定 URL 路径，请 (指定 URL 路径，例如 https://example.com/block) 。 此指示器将匹配 上的example.com路径下/block的资源。 请注意，仅在 Microsoft Edge 中匹配 HTTPS URL 路径;可以在任何浏览器中匹配 HTTP URL 路径。

还可以创建 IP 和 URL 指示器，以从 SmartScreen 块中取消阻止用户，或有选择地绕过要允许加载的网站的 Web 内容筛选块。 例如，假设你已将 Web 内容筛选设置为阻止所有社交媒体网站。 但是，营销团队要求使用特定的社交媒体网站来监视其广告位置。 在这种情况下，可以通过创建域“允许”指示器并将其分配给营销团队的设备组来取消阻止特定社交媒体网站。

请参阅 Web 保护和Web 内容筛选

IP/URL 指示器：网络保护和 TCP 三向握手

使用网络保护时，在 通过 TCP/IP 进行三向握手后，确定是允许还是阻止对站点的访问。 因此，当站点被网络保护阻止时，你可能会在Microsoft Defender门户中看到作类型ConnectionSuccessNetworkConnectionEvents，即使站点被阻止也是如此。 NetworkConnectionEvents 从 TCP 层而不是网络保护进行报告。 三向握手完成后，网络保护将允许或阻止对站点的访问。

下面是其工作原理的示例：

1. 假设用户尝试访问其设备上的网站。 站点恰好托管在危险域中，应受到网络保护的阻止。

2. 通过 TCP/IP 的三向握手开始。 在作完成之前，将记录作 NetworkConnectionEvents ，并将其 ActionType 列为 ConnectionSuccess。 但是，一旦三向握手过程完成，网络保护就会阻止对站点的访问。 这一切发生得很快。 Microsoft Defender SmartScreen 也发生了类似的过程;当三向握手完成时，即会做出决定，并阻止或允许访问站点。

3. 在Microsoft Defender门户中，警报队列中列出了一个警报。 该警报的详细信息包括 NetworkConnectionEvents 和 AlertEvents。 可以看到站点被阻止，即使你还有一个 NetworkConnectionEvents ActionType 为 的 ConnectionSuccess项。

文件哈希指示器

在某些情况下，为新标识的文件 IoC 创建新指示器（作为即时的停止间隔措施）可能适用于阻止文件甚至应用程序。 但是，使用指示器尝试阻止应用程序可能无法提供预期结果，因为应用程序通常由许多不同的文件组成。 阻止应用程序的首选方法是使用 Windows Defender 应用程序控制 (WDAC) 或 AppLocker。

由于应用程序的每个版本都具有不同的文件哈希，因此不建议使用指示器来阻止哈希。

Windows Defender 应用程序控制 (WDAC)

证书指示器

可以创建 IoC 以允许或阻止由该证书签名的文件和应用程序。 可以在 中提供证书指示器。CER 或 。PEM 文件格式。 有关更多详细信息，请参阅 基于证书创建指示器 。

IoC 检测引擎

目前，IoC 支持的Microsoft源包括：

• Defender for Endpoint 的云检测引擎
• Microsoft Defender for Endpoint中的 AIR) 引擎 (自动调查和修正
• 终结点防护引擎 (Microsoft Defender 防病毒)

云检测引擎

Defender for Endpoint 的云检测引擎会定期扫描收集的数据，并尝试匹配你设置的指标。 当存在匹配项时，将根据为 IoC 指定的设置执行作。

终结点防护引擎

预防代理遵循相同的指标列表。 这意味着，如果Microsoft Defender防病毒是配置的主要防病毒，则会根据设置处理匹配的指示器。 例如，如果阻止和修正作，Microsoft Defender防病毒会阻止文件执行，并显示相应的警报。 另一方面，如果“作”设置为“允许”，Microsoft Defender防病毒不会检测或阻止该文件。

自动调查和修正引擎

自动调查和修正的行为类似于终结点防护引擎。 如果指示器设置为 “允许”，则自动调查和修正会忽略它的 错误 判决。 如果设置为 “阻止”，则自动调查和修正会将其视为 错误。

设置 EnableFileHashComputation 在文件扫描期间计算文件哈希。 它支持针对属于受信任应用程序的哈希执行 IoC。 它通过允许或阻止文件设置同时启用。 EnableFileHashComputation通过 组策略 手动启用，默认情况下处于禁用状态。

指标的强制类型

当安全团队 (IoC) 创建新的指示器时，可执行以下作：

• 允许：允许 IoC 在设备上运行。
• 审核：IoC 运行时会触发警报。
• 警告：IoC 提示用户可绕过的警告
• 阻止执行：不允许运行 IoC。
• 阻止和修正：不允许运行 IoC，并将修正作应用于 IoC。

可以为以下项创建指示器：

• Files
• IP 地址
• URL/域
• 证书

下表显示了 IoC) 类型 (指示器可用的作：

预先存在的 IoC 的功能不会更改。 但是，指示器将重命名为匹配当前支持的响应作：

• 仅警报响应作已重命名为审核，并启用了生成的警报设置。
• 警报和阻止响应已重命名为使用可选的生成警报设置阻止和修正。

高级搜寻中的 IoC API 架构和威胁 ID 已更新，以便与 IoC 响应作的重命名保持一致。 API 方案更改适用于所有 IoC 类型。

已知问题和限制

Microsoft Defender无法阻止Microsoft应用商店应用，因为它们由Microsoft签名。

客户可能会遇到 IoC 警报问题。 以下方案是未创建警报或创建时信息不准确的情况。 每个问题都由我们的工程团队调查。

• 阻止指示器：仅创建具有信息严重性的通用警报。 自定义警报 (即，在这些情况下不会触发自定义标题和严重性) 。
• 警告指示器：此方案中可以使用通用警报和自定义警报;但是，由于警报检测逻辑存在问题，结果不是确定性的。 在某些情况下，客户可能会看到通用警报，而自定义警报可能会在其他情况下显示。
• 允许：设计) 不会 (生成警报。
• 审核：根据客户提供的严重性生成警报， (设计) 。
• 在某些情况下，来自 EDR 检测的警报可能优先于来自防病毒块的警报，在这种情况下，会生成信息警报。

相关文章

• Microsoft Defender for Endpoint和Microsoft Defender防病毒的排除项
• 创建上下文 IoC
• 使用Microsoft Defender for Endpoint指示器 API
• 使用合作伙伴集成解决方案