Gestire gli indicatori
La corrispondenza degli indicatori di compromissione (IoC) è una funzionalità essenziale in ogni soluzione di protezione degli endpoint. Questa funzionalità offre agli operatori della sicurezza la possibilità di impostare un elenco di indicatori di rilevamento e di blocco (prevenzione e risposta). Creare indicatori che definiscono il rilevamento, la prevenzione e l'esclusione di entità. È possibile definire l'azione da intraprendere, la durata del periodo di applicazione dell'azione e l'ambito del gruppo di dispositivi a cui applicarla.
Le origini attualmente supportate sono il motore di rilevamento cloud di Defender per endpoint, il motore automatizzato di indagine e correzione e il motore di prevenzione dell'endpoint (Microsoft Defender AV).
Motore di rilevamento cloud
Il motore di rilevamento cloud di Defender per endpoint analizza regolarmente i dati raccolti e cerca corrispondenze con gli indicatori impostati. Quando viene rilevata una corrispondenza, viene intrapresa l'azione in base alle impostazioni degli indicatori di compromissione specificate.
Motore di prevenzione dell'endpoint
Lo stesso elenco di indicatori viene rispettato dall'agente di prevenzione. Ciò significa che se Microsoft Defender AV è l'antivirus principale configurato, gli indicatori per cui si rileva una corrispondenza vengono trattati in base alle impostazioni. Ad esempio, se l'azione è "Alert and Block" (Avvisa e blocca), Microsoft Defender AV impedirà l'esecuzione di file (blocco e correzione) e verrà generato un avviso corrispondente. In caso contrario, se l'azione è impostata su "Consenti", Microsoft Defender AV non rileverà, né bloccherà l'esecuzione del file.
Motore automatizzato di indagine e correzione
L'indagine e la correzione automatizzate si comportano allo stesso modo. Se un indicatore è impostato su "Allow" (Consenti), l'indagine e la correzione automatizzate ignoreranno un verdetto "bad" (non valido). Se l'indicatore è impostato su "Block" (Blocca), l'indagine e la correzione automatizzate lo tratteranno come "bad" (non valido).
Le azioni supportate correnti sono:
Consenti
Alert only (Solo avviso)
Alert and block (Avvisa e blocca)
È possibile creare un indicatore per
File
Indirizzi IP, URL/domini
Certificati
È previsto un limite di 15.000 indicatori per ogni tenant.
Gestire gli indicatori
Per gestire gli indicatori:
Nel riquadro di spostamento selezionare Impostazioni > Endpoint e quindi Indicatori nell'area Regole.
Selezionare la scheda del tipo di entità che si vuole gestire.
Aggiornare i dettagli degli indicatori e selezionare Save (Salva) oppure il pulsante Delete (Elimina) se si vuole rimuovere l'entità dall'elenco.
Creare indicatori per i file
È possibile impedire l'ulteriore propagazione degli attacchi all'interno dell'organizzazione vietando i file potenzialmente dannosi o il malware sospetto. Se si conosce un file PE (Portable Executable) potenzialmente dannoso, è possibile bloccarlo. Questa operazione impedirà la lettura, la scrittura o l'esecuzione di un file nei computer dell'organizzazione.
Esistono due modi per creare indicatori per i file:
Creando un indicatore tramite la pagina delle impostazioni
Creando un indicatore contestuale usando il pulsante di aggiunta di indicatore della pagina dei dettagli del file
Prerequisiti
Prima di creare gli indicatori relativi ai file, è necessario ottemperare ai seguenti prerequisiti:
Questa funzionalità è disponibile se l'organizzazione usa Windows Defender Antivirus e la protezione basata sul cloud è abilitata. Per altre informazioni, vedere Manage cloud-based protection (Gestire la protezione basata su cloud).
La versione del client antimalware deve essere 4.18.1901.x o successiva.
È supportata nei computer con Windows 10, versione 1703 o successiva, Windows Server 2016 e 2019.
Per iniziare a bloccare i file, è prima necessario attivare la funzionalità Block or allow (Blocca o consenti) nelle impostazioni.
Questa funzionalità è progettata per impedire il download di malware sospetto o di file potenzialmente dannosi dal Web. Attualmente supporta i file PE (Portable Executable), inclusi i file con estensione .exe e .dll. La copertura verrà ampliata nel tempo.
Importante
La funzione Allow or Block (Consenti o blocca) non può applicarsi ai file se la classificazione del file esiste nella cache del dispositivo prima dell'azione stessa. I file con firma attendibile verranno trattati in modo diverso. Defender per endpoint è ottimizzato per la gestione di file dannosi. Il tentativo di bloccare i file con firma attendibile in alcuni casi può avere implicazioni sulle prestazioni. I blocchi dei file vengono in genere applicati entro un paio di minuti, ma possono richiedere fino a 30 minuti.
Creare un indicatore contestuale dalla pagina dei dettagli del file
Una delle opzioni per l'esecuzione di azioni di risposta per un file consiste nell'aggiungere un indicatore per il file. Quando si aggiunge un hash dell'indicatore per un file, è possibile scegliere di generare un avviso e bloccare il file ogni volta che un dispositivo dell'organizzazione tenta di eseguirlo. I file bloccati automaticamente da un indicatore non verranno visualizzati nel centro operativo del file, ma gli avvisi saranno comunque visibili nella coda di avvisi.
Creare indicatori per indirizzi IP e URL/domini
Defender per endpoint può bloccare ciò che Microsoft ritiene indirizzi IP/URL dannosi tramite Windows Defender SmartScreen per i browser Microsoft e tramite Network Protection (Protezione di rete) per i browser non Microsoft o le chiamate effettuate al di fuori di un browser.
Il set di dati di intelligence per le minacce per questo è stato gestito da Microsoft.
Tramite la creazione di indicatori per indirizzi IP e URL o domini, è ora possibile consentire o bloccare indirizzi IP, URL o domini in base alla propria intelligence sulle minacce. Questo può avvenire attraverso la pagina delle impostazioni o per gruppi di computer se si ritiene che determinati gruppi siano più o meno a rischio di altri. La notazione CIDR (Classless Interdomain Routing) per gli indirizzi IP non è supportata.
Prerequisiti
Prima di creare indicatori per indirizzi IP, URL o domini, è necessario comprendere i prerequisiti seguenti:
La funzione per consentire o bloccare indirizzi IP e URL si basa sull'abilitazione in modalità di blocco del componente Network Protection (Protezione di rete) di Defender per endpoint. Per altre informazioni su Network Protection (Protezione di rete) e le istruzioni di configurazione, vedere Enable Network Protection (Abilitare la protezione di rete).
La versione del client antimalware deve essere 4.18.1906.x o successiva.
È supportata nei computer in Windows 10, versione 1709 o successive.
Assicurarsi che la casella Indicatori di rete personalizzati in Microsoft Defender Security Center > Impostazioni > Funzionalità avanzate sia abilitata. Per altre informazioni, vedere Advanced features (Funzionalità avanzate).
All'elenco degli indicatori possono essere aggiunti solo gli indirizzi IP esterni. Non è possibile creare indicatori per gli indirizzi IP interni. Per gli scenari di protezione Web, è consigliabile usare le funzionalità integrate in Microsoft Edge. Microsoft Edge usa la protezione di rete per esaminare il traffico di rete e consente blocchi per TCP, HTTP e HTTPS (TLS). Per tutti gli altri processi, gli scenari di protezione Web usano la protezione di rete per l'indagine e l'imposizione:
IP è supportato per tutti e tre i protocolli
Sono supportati solo indirizzi IP singoli (nessun blocco CIDR o intervallo IP)
Gli URL crittografati (percorso completo) possono essere bloccati solo nei browser proprietari
Gli URL crittografati (solo FQDN) possono essere bloccati al di fuori dei browser proprietari
È possibile applicare blocchi dei percorsi URL completi a livello di dominio e a tutti gli URL non crittografati
Potrebbero verificarsi latenze fino a 2 ore (in genere meno) tra il momento in cui viene intrapresa l'azione e il blocco dell'URL e dell'IP.
Creare un indicatore per indirizzi IP, URL o domini
Nel pannello di navigazione selezionare Impostazioni > Indicatori.
Selezionare la scheda IP addresses or URLs/Domains (Indirizzi IP o URL/domini).
Selezionare Add item (Aggiungi elemento).
Specifica i dettagli seguenti:
Indicator (Indicatore): specificare i dettagli dell'entità e definire la scadenza dell'indicatore.
Action (Azione): specificare l'azione da intraprendere e fornire una descrizione.
Scope (Ambito): definire l'ambito del gruppo di computer.
Esaminare i dettagli nella scheda Summary (Riepilogo), quindi selezionare Save (Salva).
Creare indicatori basati su certificati
È possibile creare indicatori per certificati. Alcuni casi d'uso comuni includono:
Scenari in cui è necessario distribuire tecnologie di blocco, ad esempio regole per la riduzione della superficie di attacco e accesso alle cartelle controllato, e, al contempo, consentire comportamenti da parte delle applicazioni firmate tramite l'aggiunta del certificato all'elenco dei consentiti.
Blocco dell'utilizzo di una determinata applicazione firmata in tutta l'organizzazione. Con la creazione di un indicatore per bloccare il certificato dell'applicazione, Windows Defender AV impedirà l'esecuzione di file (blocco e correzione) e l'indagine e la correzione automatizzate si comporteranno allo stesso modo.
Prerequisiti
Prima di creare indicatori per i certificati, è necessario comprendere i requisiti seguenti:
Questa funzionalità è disponibile se l'organizzazione usa Windows Defender Antivirus e la protezione basata sul cloud è abilitata. Per altre informazioni, vedere Manage cloud-based protection (Gestire la protezione basata su cloud).
La versione del client antimalware deve essere 4.18.1901.x o successiva.
È supportata nei computer con Windows 10, versione 1703 o successive, Windows Server 2016 e 2019.
Le definizioni di protezione da virus e minacce devono essere aggiornate.
Questa funzionalità supporta attualmente l'immissione di estensioni di file .cer o .pem.
Un certificato foglia valido è un certificato di firma con un percorso di certificazione valido e deve essere concatenato all'autorità di certificazione radice (CA) considerata attendibile da Microsoft. In alternativa, è possibile usare un certificato personalizzato (autofirmato) a condizione che sia considerato attendibile dal client (il certificato della CA radice è installato nel computer locale sotto "Autorità di certificazione radice disponibile nell'elenco locale"). Gli elementi figlio o padre degli indicatori di compromissione dei certificati non sono inclusi nella funzionalità che consente o blocca gli indicatori di compromissione; sono supportati solo i certificati foglia. I certificati firmati Microsoft non possono essere bloccati.
La creazione e la rimozione di un indicatore di compromissione del certificato possono richiedere fino a 3 ore.
Creare un indicatore per i certificati:
Nel portale di Microsoft Defender selezionare Impostazioni > Endpoint > Indicatori.
Selezionare la scheda Certificato.
Selezionare Aggiungi elemento.
Specifica i dettagli seguenti:
Indicator (Indicatore): specificare i dettagli dell'entità e definire la scadenza dell'indicatore.
Action (Azione): specificare l'azione da intraprendere e fornire una descrizione.
Scope (Ambito): definire l'ambito del gruppo di computer.
Esaminare i dettagli nella scheda Summary (Riepilogo), quindi selezionare Save (Salva).
Importare un elenco di indicatori di compromissione
È anche possibile scegliere di caricare un file CSV che definisce gli attributi degli indicatori, l'azione da intraprendere e altri dettagli.
Scaricare il file CSV di esempio per conoscere gli attributi di colonna supportati.
Nel portale di Microsoft Defender selezionare Impostazioni > Endpoint > Indicatori.
Selezionare la scheda del tipo di entità per cui si vogliono importare indicatori.
Selezionare Importa > Scegli file.
Selezionare Importa. Eseguire questa operazione per tutti i file che si intende importare.
Selezionare Fatto.
La tabella seguente mostra i parametri supportati.
| Parametro | Tipo | Descrizione |
|---|---|---|
| indicatorType | Enum | Tipo dell'indicatore. I valori possibili sono: "FileSha1", "FileSha256", "IpAddress", "DomainName" e "Url". Richiesto |
| indicatorValue | String | Identità dell'entità Indicatore. Richiesto |
| action | Enum | L'azione che verrà intrapresa se l'indicatore verrà individuato nell'organizzazione. I valori possibili sono: "Alert" (Avviso), "AlertAndBlock" (Avvisa e blocca) e "Allowed" (Consentito). Richiesto |
| title | String | Titolo dell'avviso dell'indicatore. Obbligatorio |
| description | Stringa | Descrizione dell'indicatore. Richiesto |
| expirationTime | DateTimeOffset | Data di scadenza dell'indicatore nel formato seguente: AAAA-MM-GGTHH:MM:SS.0Z. Facoltativo |
| severity | Enum | La gravità dell'indicatore. I valori possibili sono: "Informational" (Informativo), "low" (basso), "medium" (medio) e "High" (alto). Facoltativo |
| recommendedActions | String | Azioni consigliate per l'avviso dell'indicatore TI. Facoltativo |
| rbacGroupNames | String | Elenco delimitato da virgole di nomi di gruppi RBAC a cui verrebbe applicato l'indicatore. Facoltativo |
| category | String | Categoria dell'avviso. Gli esempi includono: esecuzione e accesso alle credenziali. Facoltativo |
| MITRE techniques | String | Codice/ID delle tecniche MITRE (delimitate da virgole). Per altre informazioni, vedere Enterprise tactics (Tattiche Enterprise). Facoltativo. È consigliabile aggiungere un valore nella categoria quando si tratta di una tecnica MITRE. |