Übermittlungen, Unterdrückungen und Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus
Gilt für:
- Microsoft Defender Antivirus
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
Plattformen
- Windows
Hinweis
Als Microsoft MVP hat Fabian Bader zu diesem Artikel beigetragen und materielles Feedback zu diesem Artikel gegeben.
Microsoft Defender for Endpoint umfasst eine Vielzahl von Funktionen zum Verhindern, Erkennen, Untersuchen und Reagieren auf erweiterte Cyberbedrohungen. Zu diesen Funktionen gehört der Schutz der nächsten Generation (einschließlich Microsoft Defender Antivirus). Wie bei jeder Endpoint Protection- oder Antivirenlösung können Dateien, Ordner oder Prozesse, die eigentlich keine Bedrohung darstellen, von Defender für Endpunkt oder Microsoft Defender Antivirus als bösartig erkannt werden. Diese Entitäten können blockiert oder in Quarantäne geschickt werden, obwohl sie eigentlich keine Bedrohung darstellen.
In diesem Artikel werden die häufigsten Szenarien beschrieben, in denen dieses Verhalten auftritt, und die in Defender für Endpunkt und Microsoft Defender Antivirus verfügbaren Möglichkeiten, um dies sicher zu verhindern oder zu beheben, ohne Ihre Produktivität zu beeinträchtigen. Diese setzen sich wie folgt zusammen:
- Übermitteln einer Datei an Microsoft zur Analyse
- Unterdrücken einer Warnung
- Hinzufügen eines Ausschlusses oder Indikators
Achtung
Durch das Definieren von Ausschlüssen wird der Schutz von Defender für Endpunkt und Microsoft Defender Antivirus verringert. Verwenden Sie Ausschlüsse als letztes Mittel, und stellen Sie sicher, dass Sie nur die erforderlichen Ausschlüsse definieren. Überprüfen Sie ihre Ausschlüsse in regelmäßigen Abständen, und entfernen Sie die nicht mehr benötigten Ausschlüsse. Weitere Informationen finden Sie unter Wichtige Punkte zu Ausschlüssen und häufige Fehler, die Sie vermeiden können.
Übermittlungen, Unterdrückungen und Ausschlüsse
Wenn Sie es mit falsch positiven Ergebnissen oder bekannten Entitäten zu tun haben, die Warnungen generieren, müssen Sie nicht unbedingt einen Ausschluss hinzufügen. Manchmal reicht das Klassifizieren und Unterdrücken einer Warnung aus. Es wird empfohlen, auch falsch positive Ergebnisse (und falsch negative Ergebnisse) zur Analyse an Microsoft zu übermitteln. In der folgenden Tabelle werden einige Szenarien und die Schritte beschrieben, die in Bezug auf Dateiübermittlungen, Warnungsunterdrückungen und Ausschlüsse ausgeführt werden müssen.
| Szenario | Zu berücksichtigende Schritte |
|---|---|
| Falsch positiv: Eine Entität, z. B. eine Datei oder ein Prozess, wurde erkannt und als böswillig identifiziert, obwohl die Entität keine Bedrohung darstellt. | 1. Überprüfen und klassifizieren Sie Warnungen , die als Ergebnis der erkannten Entität generiert wurden. 2. Unterdrücken einer Warnung für eine bekannte Entität. 3. Überprüfen Sie die Korrekturaktionen , die für die erkannte Entität durchgeführt wurden. 4. Übermitteln Sie das falsch positive Ergebnis zur Analyse an Microsoft . 5. Definieren Sie einen Ausschluss für die Entität (nur bei Bedarf). |
|
Leistungsprobleme , z. B. eines der folgenden Probleme: – Ein System weist eine hohe CPU-Auslastung oder andere Leistungsprobleme auf. – Ein System hat Speicherverluste. – Eine App wird auf Geräten langsam geladen. – Eine App öffnet eine Datei nur langsam auf Geräten. |
1. Sammeln Sie Diagnosedaten für Microsoft Defender Antivirus. 2. Wenn Sie eine nicht von Microsoft stammende Antivirenlösung verwenden, wenden Sie sich an den Anbieter, um alle erforderlichen Ausschlüsse zu erhalten. 3. Analysieren Sie das Microsoft Protection-Protokoll , um die geschätzten Auswirkungen auf die Leistung anzuzeigen. 4. Definieren Sie einen Ausschluss für Microsoft Defender Antivirus (falls erforderlich). 5. Erstellen Sie einen Indikator für Defender für Endpunkt (nur bei Bedarf). |
|
Kompatibilitätsprobleme mit Nicht-Microsoft-Antivirenprodukten. Beispiel: Defender für Endpunkt basiert auf Security Intelligence-Updates für Geräte, unabhängig davon, ob sie Microsoft Defender Antivirus oder eine Nicht-Microsoft-Antivirenlösung ausführen. |
1. Wenn Sie ein nicht von Microsoft stammendes Antivirenprodukt als primäre Antiviren-/Antischadsoftwarelösung verwenden, legen Sie Microsoft Defender Antivirus auf den passiven Modus fest. 2. Wenn Sie von einer nicht von Microsoft stammenden Antiviren-/Antischadsoftwarelösung zu Defender für Endpunkt wechseln, finden Sie weitere Informationen unter Wechseln zu Defender für Endpunkt. Diese Anleitung enthält: - Ausschlüsse, die Sie möglicherweise für die Nicht-Microsoft-Antiviren-/Antischadsoftware-Lösung definieren müssen; - Ausschlüsse, die Sie möglicherweise für Microsoft Defender Antivirus definieren müssen; und - Informationen zur Problembehandlung (nur für den Fall, dass während der Migration ein Fehler auftritt). |
Wichtig
Ein "Zulassen"-Indikator ist die stärkste Art von Ausschluss, die Sie in Defender für Endpunkt definieren können. Stellen Sie sicher, dass Sie Indikatoren sparsam verwenden (nur bei Bedarf), und überprüfen Sie alle Ausschlüsse regelmäßig.
Übermitteln von Dateien zur Analyse
Wenn Sie über eine Datei verfügen, von der Sie glauben, dass sie fälschlicherweise als Schadsoftware erkannt wurde (falsch positiv), oder eine Datei, von der Sie vermuten, dass es sich um Schadsoftware handelt, obwohl sie nicht erkannt wurde (falsch negativ), können Sie die Datei zur Analyse an Microsoft übermitteln. Ihre Übermittlung wird sofort gescannt und dann von Microsoft-Sicherheitsanalysten überprüft. Sie können die status Ihrer Übermittlung auf der Seite mit dem Übermittlungsverlauf überprüfen.
Das Übermitteln von Dateien zur Analyse trägt dazu bei, falsch positive und falsch negative Ergebnisse für alle Kunden zu reduzieren. Weitere Informationen finden Sie in den folgenden Artikeln:
- Übermitteln von Dateien zur Analyse (für alle Kunden verfügbar)
- Übermitteln von Dateien über das neue Portal für einheitliche Übermittlungen in Defender für Endpunkt (verfügbar für Kunden mit Defender für Endpunkt Plan 2 oder Microsoft Defender XDR)
Unterdrücken von Warnungen
Wenn Sie im Microsoft Defender-Portal Warnungen für Tools oder Prozesse erhalten, von denen Sie wissen, dass sie keine Bedrohung darstellen, können Sie diese Warnungen unterdrücken. Um eine Warnung zu unterdrücken, erstellen Sie eine Unterdrückungsregel und geben an, welche Aktionen für diese für andere, identische Warnungen ausgeführt werden sollen. Sie können Unterdrückungsregeln für eine bestimmte Warnung auf einem einzelnen Gerät oder für alle Warnungen erstellen, die in Ihrem organization denselben Titel haben.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Unterdrücken von Warnungen
- Einführung in die neue Benutzeroberfläche zur Unterdrückung von Warnungen (für Defender für Endpunkt)
Verwenden von Ausschlüssen und Indikatoren
Manchmal wird der Begriff Ausschlüsse für Ausnahmen verwendet, die für Defender für Endpunkt und Microsoft Defender Antivirus gelten. Eine genauere Möglichkeit, diese Ausnahmen zu beschreiben, ist wie folgt:
- Indikatoren für Defender für Endpunkt; (die in Defender für Endpunkt und Microsoft Defender Antivirus gelten); und
- Ausschlüsse für Microsoft Defender Antivirus.
Weitere Informationen finden Sie unter Übersicht über Ausschlüsse.
Siehe auch
- Wichtige Punkte zu Ausschlüssen
- Häufige Fehler, die beim Festlegen von Ausschlüssen vermieden werden sollten
- Blogbeitrag: The Hitchhiker es Guide to Microsoft Defender for Endpoint ausschlüsse
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.