おれさまラボ

実際に手を動かして理解を深めるブログ。

Indicatorに関するメモ

はじめに

Best practices for optimizing custom indicators - Microsoft Tech Communityという記事が公開されていたので、内容をメモしておきます。

Indicatorとは

Microsoft Defender for Endpointは、Custom indicators of compromise(IoC)プラットフォームを提供しており、IoCを使用することで、組織の背景に応じて検知を調整することができます。

IoCを使用した許可ルールは控えて

IoCによる許可ルールは、Microsoft Defender Antivirus、SmartScreen、attack surface reduction (ASR)、web content filteringによる制御をバイパスするため、許可ルールは必要最低限とすべきです。

IoCのルールには有効期限を設けて

3rd Partyの脅威インテリジェンスによる悪性Webサイトの情報をIoCを使用してブロックすることはセキュリティ対策として有効ですが、Microsoftの脅威インテリジェンスと3rd Partyの脅威インテリジェンスによる情報の重複を最小限とするために、ルールには有効期限を設定することが推奨されます。

たとえば、過去数日分の3rd Partyの脅威インテリジェンスの情報をエクスポートして、IoCにインポートします。このとき、ルールの有効期限を3日に設定し、有効期限が切れたあとに過去数日分の新しい情報を登録し直すと良いでしょう。

重複するルールが存在する場合

  • バイスグループ、制御対象、アクションが、既存のルールと重複するルールを作成することはできません
  • 有効期限、アラートの重大度、詳細が異なるルールがすでに存在する場合、既存のルールが上書きされます

競合するルールが存在する場合

  • バイスグループ、制御対象、アクションが、既存のルールと競合するルールは作成できます
  • 優先順位は、URLの場合はロンゲストマッチが優先、ファイルハッシュの場合はいくつかの条件があります

Defender AVやSmartScreenを信じて

多くの場合、あなたが登録しようとしているインジケータは、Defender AVやSmartScreenですでにブロックされているか、近い将来にブロックされます。Virus Total APIを使用して、Defenderがエンティティをすでにブロックしているかどうかを確認し、ブロックしている場合はインジケータをインポートしないようにしてください。

以上