شاخص سازش (IOCs) تطبیق یک ویژگی اساسی در هر راه حل محافظت از نقطه پایانی است. این توانایی امکان تنظیم لیستی از شاخص ها برای تشخیص و مسدود کردن (پیشگیری و پاسخ) را فراهم می کند.
شاخص هایی ایجاد کنید که تشخیص ، پیشگیری و محرومیت از موجودات را تعریف کند. شما می توانید اقدامی را که باید انجام شود و همچنین مدت زمان استفاده از عمل و همچنین دامنه گروه دستگاه برای استفاده از آن تعریف کنید.
در حال حاضر منابع پشتیبانی شده موتور تشخیص ابر مدافع برای نقطه پایانی ، موتور تحقیق و اصلاح خودکار و موتور پیشگیری از نقطه پایانی (آنتی ویروس Microsoft Defender) است.
موتور تشخیص ابر
موتور تشخیص ابر مدافع برای نقطه پایانی به طور مرتب داده های جمع آوری شده را اسکن می کند و سعی می کند با شاخص هایی که تعیین کرده اید مطابقت داشته باشد. هنگامی که یک مسابقه وجود دارد ، طبق تنظیماتی که برای IOC مشخص کرده اید ، اقدامی انجام می شود.
موتور پیشگیری از نقطه پایانی
همان لیست شاخص ها توسط نماینده پیشگیری مورد تقدیر قرار می گیرد. یعنی اگر آنتی ویروس مدافع مایکروسافت آنتی ویروس اصلی تنظیم شده باشد ، با توجه به تنظیمات ، شاخص های همسان تحت درمان قرار می گیرند. به عنوان مثال ، اگر عمل "هشدار و بلوک" باشد ، آنتی ویروس Microsoft Defender از اعدام پرونده (بلوک و اصلاح) جلوگیری می کند و یک هشدار مربوطه مطرح می شود. از طرف دیگر ، اگر عمل روی "اجازه" تنظیم شود ، مایکروسافت مدافع آنتی ویروس را تشخیص نمی دهد و یا پرونده را از اجرای آن مسدود نمی کند.
موتور تحقیق و اصلاح خودکار
تحقیقات و اصلاح خودکار همان رفتار می کند. اگر یک شاخص به "اجازه" تنظیم شود ، تحقیقات خودکار و اصلاح ، حکم "بد" را برای آن نادیده می گیرد. در صورت تنظیم "بلوک" ، تحقیقات خودکار و اصلاح آن را "بد" می کند.
تنظیم EnableFileHashComputation هش پرونده را برای گواهینامه و پرونده IOC در هنگام اسکن پرونده محاسبه می کند. این پشتیبانی از اجرای IOC هش و گواهینامه ها متعلق به برنامه های قابل اعتماد است. با تنظیم فایل مجاز یا بلوک به طور هم زمان فعال و غیرفعال خواهد شد. EnableFileHashAshComputation از طریق خط مشی گروه به صورت دستی فعال می شود و به طور پیش فرض غیرفعال می شود.
هنگام ایجاد یک شاخص جدید (IOC) ، یک یا چند مورد از اقدامات زیر در دسترس است:
- مجاز - IOC مجاز به اجرای دستگاه های شما خواهد بود.
- حسابرسی - هنگامی که IOC اجرا می شود ، هشدار ایجاد می شود.
- WARN - IOC هشدار می دهد که کاربر می تواند از آن دور شود
- اجرای بلوک - IOC مجاز به اجرا نخواهد بود.
- Block و Remediate - IOC مجاز به اجرای آن نخواهد بود و یک اقدام اصلاح برای IOC اعمال می شود.
استفاده از حالت Warn ، در صورت باز کردن یک برنامه خطرناک ، کاربران خود را با اخطار سوق می دهد. سریع آنها از استفاده از برنامه جلوگیری نمی کند ، اما می توانید یک پیام سفارشی و پیوندهایی را به یک صفحه شرکت ارائه دهید که استفاده مناسب از برنامه را توصیف می کند. کاربران هنوز هم می توانند از هشدار دور شوند و در صورت نیاز به استفاده از برنامه ادامه دهند. برای اطلاعات بیشتر ، به برنامه های حاکمیتی که توسط Microsoft Defender برای Endpoint کشف شده است ، مراجعه کنید.
می توانید یک شاخص برای:
جدول زیر دقیقاً نشان می دهد که کدام اقدامات در هر شاخص (IOC) در دسترس است:
نوع IOC | اقدامات قابل انجام |
---|---|
فایل ها | به بلوک حسابرسی اجازه داده و اصلاح کنید |
آدرس های IP | اجازه دهید اجرای بلوک حسابرسی هشدار دهد |
URL ها و دامنه ها | اجازه دهید اجرای بلوک حسابرسی هشدار دهد |
گواهینامه ها | اجازه دهید بلوک و اصلاح کنید |
عملکرد IOC های از قبل موجود تغییر نخواهد کرد. با این حال ، شاخص ها برای مطابقت با اقدامات پاسخ پشتیبانی فعلی تغییر نام دادند:
- عمل پاسخ "فقط هشدار" به "حسابرسی" با تنظیمات هشدار دهنده فعال شده تغییر نام داد.
- پاسخ "هشدار و بلوک" با تنظیم هشدار تولید اختیاری به "بلوک و اصلاح" تغییر نام داد.
طرح API IOC و شناسه های تهدید قبل از شکار به روز شده است تا با تغییر نام اقدامات پاسخ IOC تراز شود. تغییرات طرح API در مورد انواع IOC اعمال می شود.
در هر مستاجر محدودیت 15000 شاخص وجود دارد. شاخص های پرونده و گواهینامه محرومیت های تعریف شده برای آنتی ویروس Microsoft Defender را مسدود نمی کنند. شاخص ها در آنتی ویروس Microsoft Defender پشتیبانی نمی شوند.
فرمت واردات شاخص های جدید (IOC) با توجه به تنظیمات جدید و تنظیمات هشدار به روز شده تغییر کرده است. توصیه می کنیم فرمت CSV جدید را که می توانید در پایین پنل واردات پیدا کنید بارگیری کنید.<SPAN> "فقط هشدار" عمل پاسخ به "حسابرسی" با تنظیمات هشدار دهنده فعال شده تغییر نام داد.