配置MS Defender for Endpoint的告警與偵測

Microsoft Defender for Endpoint 提供告警和偵測的設定選項。配置包括通知、自訂指標和偵測規則。

資安團隊負責管理環境中與告警相關的設定。他們可以管理即時回應設定、告警通知設定、指標和自訂偵測。

公司的威脅追蹤團隊已向資安團隊提供了一個 CSV 檔案，其中包含他們希望 Defender for Endpoint 發出告警的指標。在「Setting」頁面的「Rules」區域中，我們選擇指標(Indicators)然後匯入。檔案導入後，指標將用於偵測。

設定進階功能

Microsoft Defender 入口網站的「Settings — Endpoints」選單的「General」區域中的「Advanced features」頁面提供以下與告警和偵測相關的設定：

General Settings區域中的進階功能區域為產品內的功能提供了許多啟用開關。以下是針對告警的設定。

• Live Response
  允許具有適當 RBAC 權限的使用者使用remote shell connection來調查他們有權存取的裝置。
• Live Response unsigned script execution
  允許在 Live Response 中使用未簽署的腳本。
• Custom network indicators
  配置設備以允許或封鎖與自訂指標清單中的 IP 位址、網域或 URL 的連線。

設定告警通知

我們可以將 Defender for Endpoint 設定成向特定收件者傳送新告警的電子郵件通知。此功能使我們能夠識別一組將立即收到通知並可以根據告警的嚴重性採取行動的資安團隊。

只有具有「Manage security settings」權限的使用者才能設定電子郵件通知。如果選擇使用基本權限管理，則具有security admin或global admin角色的使用者可以設定電子郵件通知。

可以設定觸發通知的警報嚴重性等級。也可以新增或刪除電子郵件通知的收件者。新收件人在新增後會收到有關遇到告警的通知。

如果使用基於RBAC，收件者將只收到基於通知規則中配置的裝置群組的通知。具有適當權限的使用者只能建立、編輯或刪除僅限於其設備群組管理範圍的通知。只有指派global admin角色的使用者才能管理為所有裝置群組配置的通知規則。

建立告警通知的規則

我們可以建立規則來確定向通知收件者發送電子郵件通知的裝置和告警嚴重性。

1. In the Microsoft Defender portal, select Settings then select Endpoints and then select Email notifications.
2. Select + Add item.
3. Specify the General information:

• Rule name
  通知規則的名稱
• Include organization name
  電子郵件通知上顯示的名稱
• Include tenant-specific portal link
  新增帶有tenant ID 的連結以允許存取特定tenant
• Include device information
  在電子郵件告警內容中包含設備名稱。
• Devices
  選擇是否向所有裝置（僅限global admin角色）或選定裝置群組上的告警通知收件者。
• Alert severity
  選擇警報嚴重等級

4. Select Next.

5. Enter the recipient’s email address, then select Add recipient. You can add multiple email addresses.

6. Check that email recipients are able to receive the email notifications by selecting Send test email.

7. Select Save notification rule.

管理告警抑制(alert suppression)

在某些情況下，我們可能需要禁止告警出現在網站。我們可以為已知無害的特定告警（例如組織中的已知工具或流程）建立抑制規則。

我們可以檢視所有抑制規則的清單並在一個位置對其進行管理。也可以透過完成以下操作來開啟或關閉告警抑制規則：

1. 在 Microsoft Defender 網站中，選擇“Setting”，然後選擇“Endpoint”，然後在“Rules”下選擇“Alert suppression”。將顯示組織中的使用者已建立的抑制規則清單。
2. 透過選取規則名稱旁的複選框來選擇規則。
3. 選擇開啟規則、編輯規則或刪除規則。變更規則時，可以選擇釋放已抑制的告警，無論這些告警是否符合新條件。

管理指標(indicators)

IoC(Indicator of compromise) matching是每個端點保護解決方案的基本功能。此功能使 SecOps 能夠設定偵測指標清單並進行封鎖（prevention and response）。建立定義entities的偵測、預防和排除的指標。我們可以定義

1. 要採取的操作
2. 套用該操作的持續時間
3. 要套用該操作的設備群組的範圍

目前支援的來源包括 Defender for Endpoint 的雲端偵測引擎、自動調查和修復引擎以及端點防護引擎 (Microsoft Defender AV)。

Cloud detection engine

Defender for Endpoint 的雲端偵測引擎會定期掃描收集的資料並嘗試match設定的指標。當匹配時，將根據指定的 IoC 設定採取操作。

Endpoint prevention engine

Prevent Agent也遵循相同的指標清單。這意味著，如果 Microsoft Defender AV 是配置的主要 AV，則將根據設定處理匹配的指標。例如，如果操作是“告警和封鎖”，Microsoft Defender AV 將封鎖檔案執行（阻止和修復），並產生相應的告警。否則，如果操作設定為“允許”，Microsoft Defender AV 將不會偵測也不會封鎖檔案運作。

Automated investigation and remediation engine

自動調查和修復的行為相同。如果指標設定為“允許”，自動調查和修復將忽略對其的“是惡意”的判斷。如果設定為“封鎖”，自動調查和修復會將其視為“惡意的”。

目前支援的操作有：

• Allow
• Alert only
• Alert and block

我們可以針對以下目標設定指標:

• Files
• IP addresses, URLs/domains
• Certificates

每一個tenant最多設置15,000指標

管理指標

• In the navigation pane, select Settings > Endpoints and then select Indicators in the Rules area.
• Select the tab of the entity type you’d like to manage.
• Update the indicator details and select Save or select the Delete button if you’d like to remove the entity from the list.

對檔案建立指標

可以透過禁止潛在的惡意檔案或可疑的惡意軟體來防止組織中攻擊的進一步傳播。如果我們知道潛在的PE檔案，則可以封鎖它。此操作將阻止它在組織中的電腦上讀取、寫入或執行。

可以透過兩種方式為檔案建立指標：

• By creating an indicator through the settings page
• By creating a contextual indicator using the add indicator button from the file details page

在為檔案建立指標之前，我們應該了解以下先決條件：

• 如果組織使用 Windows Defender 防毒軟體並且啟用了基於雲端的保護，則可以使用此功能。
• Antimalware client version必須為 4.18.1901.x 或更高版本。
• 需要是Windows 10 版本 1703 或更高版本、Windows Server 2016 和 2019 。
• 要開始封鎖檔案，首先需要在「Setting」中開啟「Block」或「allow」功能。
• 此功能旨在防止從網路下載可疑的惡意軟體（或潛在的惡意檔案）。它目前支援的PE檔案，包括 .exe 和 .dll 檔案。隨著時間的推移，覆蓋範圍將會擴大。

PS:
如果在允許或封鎖操作之前裝置的快取(cache)中存在檔案分類，則無法對檔案執行允許或封鎖功能。受信任的簽名檔案將受到不同的處理方式。 Defender for Endpoint 針對處理惡意檔案進行了最佳化。在某些情況下，嘗試封鎖受信任的簽章檔案可能會對效能產生影響。通常，檔案封鎖會在幾分鐘內開始運行，但往client端蔓延可能需要長達 30 分鐘的時間。

對檔案採取回應操作時的選項之一是為檔案新增指標。當為檔案新增指標雜湊(indicator hash)時，可以選擇在組織中的電腦嘗試執行該檔案時發出告警並封鎖該檔案。被指標自動封鎖的檔案不會顯示在檔案的Action center中，但告警仍會在Alerts queue中可見。

為IPs與URLs/domains建立指標

Defender for Endpoint 可以透過適用於 Microsoft 瀏覽器的 Windows Defender SmartScreen 以及適用於非 Microsoft 瀏覽器的網路防護或在瀏覽器外部進行的呼叫來阻止 Microsoft 認為是惡意的 IP/URL。

為此的威脅情資資料集由微軟管理。

透過建立 IP 和 URL 或網域的指標，現在可以根據自己的威脅情資允許或封鎖 IP、URL 或網域。如果我們認為某些群組比其他群組面臨的風險更高或更低，則可以透過設定頁面或按電腦群組執行此操作。不支援 IP 位址的CIDR 表示法。

在為 IPS、URL 或網域建立指標之前，我們應該了解以下先決條件：

• URL/IP 允許和封鎖依賴於要在封鎖模式下啟用的 Defender for Endpoint component Network Protection。
• 反惡意軟體用戶端版本必須為 4.18.1906.x 或更高版本。
• 在執行 Windows 10 版本 1709 或更高版本的電腦上受支援。
• 確保在 Microsoft Defender Security Center > Settings > Advanced features中啟用自訂網路指標。

僅外部 IP 可新增至指標清單。無法為內部 IP 建立指標。對於 Web 保護方案，微軟建議使用 Microsoft Edge 中的內建功能。 Microsoft Edge 使用網路保護來檢查網路流量並允許阻止 TCP、HTTP 和 HTTPS (TLS)。對於所有其他processes，Web 保護方案使用Network Protection進行檢查和執行：

• IP is supported for all three protocols
• Only single IP addresses are supported (no CIDR blocks or IP ranges)
• Encrypted URLs (full path) can only be blocked on first party browsers
• Encrypted URLs (FQDN only) can be blocked outside of first party browsers
• Full URL path blocks can be applied on the domain level and all unencrypted URLs

從採取操作到 URL 和 IP 被封鎖之間可能存在長達 2 小時的延遲。

建立指標

1. In the navigation pane, select Settings > Indicators.
2. Select the IP addresses or URLs/Domains tab.
3. Select Add item.
4. Specify the following details:

• Indicator — Specify the entity details and define the expiration of the indicator.
• Action — Specify the action to be taken and provide a description.
• Scope — Define the scope of the machine group.

5. Review the details in the Summary tab, then select Save

根據certificates建立指標

可以為certificates建立指標。一些常見的用例包括：

• 當需要部署封鎖技術（例如攻擊面減少規則和受控資料夾存取）但需要透過在白名單中新增certificates來允許簽署應用程式的行為時的場景。
• 封鎖在整個組織中使用特定簽名的應用程式。透過建立指標來封鎖應用程式的certificates，Windows Defender AV 將封鎖檔案執行（阻止和修復），並且自動調查和修復將表現相同。

在建立certificates指標之前，我們應該了解以下要求：

• 如果組織使用 Windows Defender 防毒軟體並且啟用了基於雲端的保護，則可以使用此功能。
• 反惡意軟體用戶端版本必須為 4.18.1901.x 或更高版本。
• 需要是Windows 10 版本 1703 或更高版本、Windows Server 2016 和 2019 。
• 病毒和威脅防護定義必須是最新的。
• 此功能目前支援 .CER 或 .PEM 副檔名。

有效的leaf certificate是具有有效certification path的簽署證書，並且必須連結到 Microsoft 信任的CA。或者，只要用戶端信任自訂（自簽署）憑證即可使用（root CA 憑證安裝在本機電腦「受信任的根憑證授權單位」下）。允許/封鎖憑證 IOC 的子級或父級不包含在允許/封鎖 IoC 功能中；僅支援certification path。無法阻止 Microsoft 簽署的憑證。

建立和刪除certification IoC 最多可能需要 3 小時。

建立指標

1. In the Microsoft Defender portal, select Settings > Endpoints > Indicators.
2. Select the Certificate tab.
3. Select + Add item.
4. Specify the following details:

• Indicator — Specify the entity details and define the expiration of the indicator.
• Action — Specify the action to be taken and provide a description.
• Scope — Define the scope of the machine group.

5. Review the details in the Summary tab, then select Save

我們也可以選擇上傳 CSV 檔案，該檔案定義了指標的屬性、要採取的操作以及其他詳細資訊。

下載範例 CSV 以了解支援的column屬性。

1. In the Microsoft Defender portal, select Settings > Endpoints > Indicators.
2. Select the tab of the entity type you’d like to import indicators for.
3. Select Import > Choose file.
4. Select Import. Do this for all the files you’d like to import.
5. Select Done.

下表顯示支援的參數