Microsoft Defender for Endpoint ja Microsoft Defender virustentorjuntaa koskevat lähetykset, evätykset ja poikkeukset
Koskee seuraavia:
- Microsoft Defenderin virustentorjunta
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
Käyttöympäristöt
- Windows
Huomautus
Microsoftin MVP:nä Fabian Bader on osallistunut tähän artikkeliin ja antanut siitä materiaalista palautetta.
Microsoft Defender for Endpoint sisältää useita erilaisia ominaisuuksia kehittyneiden kyberuhkia ehkäisevien, havaittujen, tutkivien ja niihin reagoivien valmiuksien avulla. Nämä ominaisuudet sisältävät seuraavan sukupolven suojauksen (joka sisältää Microsoft Defender virustentorjunnan). Kuten minkä tahansa päätepisteen suojauksen tai virustentorjuntaratkaisun kohdalla, Defender for Endpoint tai Microsoft Defender virustentorjunta voi havaita tiedostoja, kansioita tai prosesseja, jotka eivät todellisuudessa ole uhka. Nämä entiteetit voidaan estää tai lähettää karanteeniin, vaikka ne eivät oikeasti ole uhka.
Tässä artikkelissa kuvataan yleisimmät tilanteet, joissa tämä ongelma ilmenee, sekä Defender for Endpointissa ja Microsoft Defender virustentorjuntaohjelmassa käytettävissä olevat ominaisuudet, jotta voit turvallisesti estää sen tai puuttua siihen vaikuttamatta tuottavuuteesi. Näitä toimintoja ovat esimerkiksi seuraavat:
- Tiedoston lähettäminen Microsoftille analyysia varten
- Hälytyksen estäminen
- Poissulkemisen tai ilmaisimen lisääminen
Varoitus
Poissulkemisten määrittäminen vähentää Defenderin päätepisteelle ja Microsoft Defender virustentorjuntaohjelmalle tarjoamaa suojaustasoa. Käytä poissulkemisia viimeisenä keinona ja varmista, että määrität vain tarpeelliset poikkeukset. Tarkista poikkeukset säännöllisesti ja poista ne, joita et enää tarvitse. Katso Tärkeitä kohtia poissulkemisista ja yleisistä virheistä.
Lähetykset, tukahduttaminen ja poissulkemiset
Kun käsittelet vääriä positiivisia kohteita tai tunnettuja entiteettejä, jotka tuottavat ilmoituksia, sinun ei välttämättä tarvitse lisätä poissulkemista. Joskus hälytyksen luokitteleminen ja piilottaminen riittää. Suosittelemme, että lähetät Microsoftille myös false-positiiviset (ja false-negatiiviset) analyysia varten. Seuraavassa taulukossa kuvataan joitakin skenaarioita ja mitä toimia on suoritettava tiedostojen lähettämisen, ilmoitusten estojen ja poissulkemisten suhteen.
| Skenaario | Huomioon otettavat vaiheet |
|---|---|
| Epätosi-positiivinen: Entiteetti, kuten tiedosto tai prosessi, havaittiin ja tunnistettiin haitalliseksi, vaikka entiteetti ei ole uhka. | 1. Tarkista ja luokittele hälytykset , jotka on luotu havaitun entiteetin tuloksena. 2. Piilota tunnetun entiteetin ilmoitus. 3. Tarkista tunnistettuun entiteettiin tehdyt korjaustoiminnot . 4. Lähetä false-positiivinen Microsoftille analyysia varten. 5. Määritä entiteetille poikkeus (vain tarvittaessa). |
|
Suorituskykyongelmia , kuten jokin seuraavista ongelmista: - Järjestelmässä on suuri suoritinkäyttö tai muita suorituskykyongelmia. - Järjestelmässä on muistivuoto-ongelmia. - Sovelluksen lataaminen laitteisiin on hidasta. - Sovelluksen tiedoston avaaminen laitteissa on hidasta. |
1. Kerää Microsoft Defender virustentorjuntaohjelman diagnostiikkatietoja. 2. Jos käytät muuta kuin Microsoftin virustentorjuntaratkaisua, kysy toimittajalta tarvittavia poissulkemisia. 3. Analysoi Microsoftin suojausloki nähdäksesi arvioidun suorituskyvyn vaikutuksen. 4. Määritä Microsoft Defender virustentorjuntaohjelmalle poikkeus (tarvittaessa). 5. Luo ilmaisin Defender for Endpointille (vain tarvittaessa). |
|
Yhteensopivuusongelmia muiden kuin Microsoftin virustentorjuntatuotteiden kanssa. Esimerkki: Defender for Endpoint on riippuvainen laitteiden suojaustietojen päivityksistä riippumatta siitä, onko käytössä Microsoft Defender virustentorjuntaohjelma vai muu kuin Microsoftin virustentorjuntaratkaisu. |
1. Jos käytät virustentorjuntaohjelmana muuta kuin Microsoftin virustentorjuntaohjelmaa, aseta Microsoft Defender virustentorjunta passiivitilaan. 2. Jos olet vaihtamassa ei-Microsoftin virustentorjunta-/haittaohjelmistontorjuntaratkaisusta Defender for Endpointiin, katso Kohta Siirtyminen Defender for Endpointiin. Näitä ohjeita ovat seuraavat: - Poissulkemiset, jotka sinun on ehkä määritettävä muille kuin Microsoftin virustentorjunta- tai haittaohjelmien torjuntaratkaisuille. - Poissulkemiset, jotka sinun on ehkä määritettävä virustentorjuntaa Microsoft Defender varten, ja - Vianmääritystiedot (siltä varalta, että jokin menee vikaan siirrettäessä). |
Tärkeää
"Salli"-ilmaisin on vahvin poissulkemisen tyyppi, jonka voit määrittää Defender for Endpointissa. Muista käyttää ilmaisimia säästeliäästi (vain tarvittaessa) ja tarkista kaikki poikkeukset säännöllisesti.
Tiedostojen lähettäminen analyysia varten
Jos sinulla on tiedosto, joka on mielestäsi virheellisesti havaittu haittaohjelmaksi (väärä positiivinen) tai tiedosto, jonka epäilet olevan haittaohjelma, vaikka sitä ei olisi havaittu (väärä negatiivinen), voit lähettää tiedoston Microsoftille analyysia varten. Lähetyksesi tarkistetaan välittömästi, ja Microsoftin tietoturva-analyytikot tarkistavat sen. Voit tarkistaa lähetyksesi tilan lähetyshistoriasivulla.
Tiedostojen lähettäminen analyysia varten auttaa vähentämään false-positiivisia ja false-negatiivisia arvoja kaikille asiakkaille. Lisätietoja on seuraavissa artikkeleissa:
- Lähetä tiedostot analyysia varten (kaikkien asiakkaiden käytettävissä)
- Lähetä tiedostoja Defender for Endpointin uuden yhdistetyn lähetysportaalin avulla (saatavilla asiakkaille, joilla on Defender for Endpoint -palvelupaketti 2 tai Microsoft Defender XDR)
Ilmoitusten estäminen
Jos saat Microsoft Defender portaalissa ilmoituksia työkaluista tai prosesseista, joiden tiedät olevan uhka, voit estää ilmoitukset. Jos haluat estää ilmoituksen näyttämisen, luo piilotussääntö ja määritä, mitä toimintoja sille suoritetaan muissa identtisissä ilmoituksista. Voit luoda piilotussääntöjä tietylle ilmoituksille yhdessä laitteessa tai kaikille ilmoituksille, joilla on sama otsikko koko organisaatiossasi.
Lisätietoja on seuraavissa artikkeleissa:
- Piilota ilmoitukset
- Esittelyssä uusi ilmoitusten estämisen kokemus (Defender for Endpoint)
Poissulkemisten ja indikaattorien käyttäminen
Joskus termiä poissulkemiset käytetään viittaamaan poikkeuksiin, jotka koskevat Defender for Endpointia ja Microsoft Defender virustentorjuntaa. Tarkempi tapa kuvata näitä poikkeuksia on seuraava:
- Defenderin päätepisteen ilmaisimet; (joka koskee Kaikkia Defenderin päätepisteitä ja Microsoft Defender virustentorjuntaa) ja
- Virustentorjuntaa Microsoft Defender koskevat poikkeukset.
Lisätietoja on kohdassa Poissulkemisten yleiskatsaus.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Tärkeät poissulkemisia koskevat seikat
- Yleisiä virheitä, joita kannattaa välttää poissulkemisia määritettäessä
- Blogikirjoitus: Lifterin opas poissulkemisten Microsoft Defender for Endpoint
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.