Gérer les exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender

  • Article

S’applique à :

Plateformes

  • Windows

Remarque

En tant que MVP Microsoft, Fabian Bader a contribué et fourni des commentaires matériels pour cet article.

Microsoft Defender pour point de terminaison comprend un large éventail de fonctionnalités pour prévenir, détecter, examiner et répondre aux cybermenaces avancées. Ces fonctionnalités incluent la protection de nouvelle génération (qui inclut Microsoft Defender Antivirus). Comme avec n’importe quelle solution antivirus ou protection de point de terminaison, parfois les fichiers, dossiers ou processus qui ne sont pas réellement une menace peuvent être détectés comme malveillants par Defender pour point de terminaison ou Microsoft Defender Antivirus. Ces entités peuvent être bloquées ou envoyées en quarantaine, même si elles ne sont pas vraiment une menace.

Vous pouvez prendre certaines mesures pour empêcher les faux positifs et les problèmes similaires de se produire. Ces actions incluent :

Cet article explique le fonctionnement de ces actions et décrit les différents types d’exclusions qui peuvent être définis pour Defender pour point de terminaison et antivirus Microsoft Defender.

Attention

La définition d’exclusions réduit le niveau de protection offert par Defender pour point de terminaison et antivirus Microsoft Defender. Utilisez les exclusions en dernier recours et veillez à définir uniquement les exclusions nécessaires. Veillez à examiner régulièrement vos exclusions et supprimez celles dont vous n’avez plus besoin. Consultez Points importants sur les exclusions et Erreurs courantes à éviter.

Soumissions, suppressions et exclusions

Lorsque vous avez affaire à des faux positifs ou à des entités connues qui génèrent des alertes, vous n’avez pas nécessairement besoin d’ajouter une exclusion. Parfois, la classification et la suppression d’une alerte sont suffisantes. Nous vous recommandons également d’envoyer des faux positifs (et des faux négatifs) à Microsoft à des fins d’analyse. Le tableau suivant décrit certains scénarios et les étapes à suivre en ce qui concerne les envois de fichiers, les suppressions d’alertes et les exclusions.

Scénario Étapes à prendre en compte
Faux positif : une entité, telle qu’un fichier ou un processus, a été détectée et identifiée comme malveillante, même si l’entité n’est pas une menace. 1. Examinez et classifiez les alertes générées à la suite de l’entité détectée.
2. Supprimer une alerte pour une entité connue.
3. Passez en revue les actions de correction qui ont été effectuées pour l’entité détectée.
4. Envoyez le faux positif à Microsoft pour analyse.
5. Définissez une exclusion pour l’entité (uniquement si nécessaire).
Problèmes de performances tels que l’un des problèmes suivants :
- Un système rencontre des problèmes d’utilisation élevée du processeur ou d’autres problèmes de performances.
- Un système rencontre des problèmes de fuite de mémoire.
- Le chargement d’une application est lent sur les appareils.
- Une application est lente à ouvrir un fichier sur les appareils.		 1. Collectez les données de diagnostic pour Microsoft Defender Antivirus.
2. Si vous utilisez une solution antivirus non-Microsoft, case activée avec le fournisseur pour toutes les exclusions nécessaires.
3. Analysez le journal de protection Microsoft pour voir l’impact estimé sur les performances.
4. Définissez une exclusion pour Microsoft Defender Antivirus (si nécessaire).
5. Create un indicateur pour Defender pour point de terminaison (uniquement si nécessaire).
Problèmes de compatibilité avec les produits antivirus non-Microsoft.
Exemple : Defender pour point de terminaison s’appuie sur des mises à jour de veille de sécurité pour les appareils, qu’ils exécutent Microsoft Defender Antivirus ou une solution antivirus non-Microsoft.		 1. Si vous utilisez un produit antivirus non-Microsoft comme solution antivirus/anti-programme malveillant principal, définissez Microsoft Defender Antivirus en mode passif.
2. Si vous passez d’une solution antivirus/anti-programme malveillant non-Microsoft à Defender pour point de terminaison, consultez Passer à Defender pour point de terminaison. Ce guide se compose de :
- Les exclusions que vous devrez peut-être définir pour la solution antivirus/anti-programme malveillant non-Microsoft ;
- Les exclusions que vous devrez peut-être définir pour Microsoft Defender Antivirus ; et
- Informations de résolution des problèmes (au cas où un problème se produit lors de la migration).

Importante

Un indicateur « allow » est le type d’exclusion le plus fort que vous pouvez définir dans Defender pour point de terminaison. Veillez à utiliser les indicateurs avec parcimonie (uniquement si nécessaire) et examinez régulièrement toutes les exclusions.

Envoi de fichiers à des fins d’analyse

Si vous pensez que vous avez un fichier détecté à tort comme un programme malveillant (un faux positif) ou un fichier que vous pensez être un programme malveillant même s’il n’a pas été détecté (faux négatif), vous pouvez soumettre le fichier à Microsoft pour analyse. Votre soumission est analysée immédiatement et sera ensuite examinée par les analystes de sécurité Microsoft. Vous pouvez case activée le status de votre soumission sur la page d’historique des soumissions.

L’envoi de fichiers à des fins d’analyse permet de réduire les faux positifs et les faux négatifs pour tous les clients. Pour en savoir plus, reportez-vous aux articles suivants :

Suppression d’alertes

Si vous recevez des alertes dans le portail Microsoft Defender pour des outils ou des processus dont vous savez qu’ils ne sont pas réellement une menace, vous pouvez supprimer ces alertes. Pour supprimer une alerte, vous créez une règle de suppression et spécifiez les actions à effectuer pour cette alerte sur d’autres alertes identiques. Vous pouvez créer des règles de suppression pour une alerte spécifique sur un seul appareil ou pour toutes les alertes qui ont le même titre dans votre organization.

Pour en savoir plus, reportez-vous aux articles suivants :

Exclusions et indicateurs

Parfois, le terme exclusions est utilisé pour faire référence aux exceptions qui s’appliquent à Defender pour point de terminaison et Microsoft Defender Antivirus. Une façon plus précise de décrire ces exceptions est la suivante :

Le tableau suivant récapitule les types d’exclusion qui peuvent être définis pour Defender pour point de terminaison et Microsoft Defender Antivirus.

Conseil

Produit/service Types d’exclusion
Antivirus Microsoft Defender
Defender pour point de terminaison Plan 1 ou Plan 2		 - Exclusions automatiques (pour les rôles actifs sur Windows Server 2016 et versions ultérieures)
- Exclusions intégrées (pour les fichiers de système d’exploitation dans Windows)
- Exclusions personnalisées, telles que les exclusions basées sur les processus, les exclusions basées sur l’emplacement du dossier, les exclusions d’extension de fichier ou les exclusions contextuelles de fichiers et de dossiers
- Actions de correction personnalisées basées sur la gravité des menaces ou pour des menaces spécifiques

Les versions autonomes de Defender pour point de terminaison Plan 1 et Plan 2 n’incluent pas de licences serveur. Pour intégrer des serveurs, vous avez besoin d’une autre licence, telle que Microsoft Defender pour point de terminaison pour les serveurs ou Microsoft Defender pour les serveurs Plan 1 ou 2. Pour plus d’informations, consultez Intégration de Defender pour point de terminaison à Windows Server.

Si vous êtes une petite ou moyenne entreprise utilisant Microsoft Defender pour entreprises, vous pouvez obtenir Microsoft Defender for Business pour les serveurs.
Defender pour point de terminaison Plan 1 ou Plan 2 - Indicateurs pour les fichiers, certificats ou adresses IP, URL/domaines
- Exclusions de réduction de la surface d’attaque
- Exclusions d’accès contrôlé aux dossiers
Defender pour Endpoint Plan 2 Exclusions de dossiers Automation (pour l’investigation et la correction automatisées)

Les sections suivantes décrivent ces exclusions plus en détail :

Exclusions de l’antivirus Microsoft Defender

Microsoft Defender exclusions antivirus peuvent s’appliquer aux analyses antivirus et/ou à la protection en temps réel. Ces exclusions sont les suivantes :

Exclusions automatiques

Les exclusions automatiques (également appelées exclusions automatiques de rôle serveur) incluent des exclusions pour les rôles de serveur et les fonctionnalités dans Windows Server. Ces exclusions ne sont pas analysées par la protection en temps réel , mais elles sont toujours soumises à des analyses antivirus rapides, complètes ou à la demande.

Les exemples incluent :

  • Service de réplication de fichiers (FRS)
  • Hyper-V
  • SYSVOL
  • Active Directory
  • Serveur DNS
  • Serveur d’impression
  • Serveur web
  • Windows Server Update Services
  • ... et bien plus encore.

Remarque

Les exclusions automatiques pour les rôles de serveur ne sont pas prises en charge sur Windows Server 2012 R2. Pour les serveurs exécutant Windows Server 2012 R2 avec le rôle serveur services de domaine Active Directory (AD DS) installé, les exclusions pour les contrôleurs de domaine doivent être spécifiées manuellement. Consultez Exclusions Active Directory.

Pour plus d’informations, consultez Exclusions automatiques de rôles serveur.

Exclusions intégrées

Les exclusions intégrées incluent certains fichiers de système d’exploitation exclus par Microsoft Defender Antivirus sur toutes les versions de Windows (y compris Windows 10, Windows 11 et Windows Server).

Les exemples incluent :

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • Windows Update fichiers
  • Sécurité Windows fichiers
  • ... et bien plus encore.

La liste des exclusions intégrées dans Windows est mise à jour à mesure que le paysage des menaces change. Pour en savoir plus sur ces exclusions, consultez Microsoft Defender Exclusions antivirus sur Windows Server : exclusions intégrées.

Exclusions personnalisées

Les exclusions personnalisées incluent les fichiers et dossiers que vous spécifiez. Les exclusions pour les fichiers, dossiers et processus seront ignorées par les analyses planifiées, les analyses à la demande et la protection en temps réel. Les exclusions pour les fichiers ouverts par processus ne seront pas analysées par la protection en temps réel , mais elles sont toujours soumises à des analyses antivirus rapides, complètes ou à la demande.

Actions de correction personnalisées

Quand Microsoft Defender Antivirus détecte une menace potentielle lors de l’exécution d’une analyse, il tente de corriger ou de supprimer la menace détectée. Vous pouvez définir des actions de correction personnalisées pour configurer la façon dont Microsoft Defender Antivirus doit traiter certaines menaces, si un point de restauration doit être créé avant la correction et quand les menaces doivent être supprimées. Configurez des actions de correction pour Microsoft Defender détections antivirus.

Indicateurs Defender pour point de terminaison

Vous pouvez définir des indicateurs avec des actions spécifiques pour des entités, telles que des fichiers, des adresses IP, des URL/domaines et des certificats. Dans Defender pour point de terminaison, les indicateurs sont appelés indicateurs de compromission (IoC) et, moins souvent, indicateurs personnalisés. Lorsque vous définissez vos indicateurs, vous pouvez spécifier l’une des actions suivantes :

  • Autoriser : Defender pour point de terminaison ne bloque pas les fichiers, les adresses IP, les URL/domaines ou les certificats qui ont des indicateurs Autoriser. (Utilisez cette action avec prudence.)

  • Audit : les fichiers, les adresses IP et les URL/domaines avec des indicateurs d’audit sont surveillés, et lorsque les utilisateurs y accèdent, des alertes d’information sont générées dans le portail Microsoft Defender.

  • Bloquer et corriger : les fichiers ou certificats avec les indicateurs Bloquer et Corriger sont bloqués et mis en quarantaine lorsqu’ils sont détectés.

  • Exécution de bloc : les adresses IP et les URL/domaines avec des indicateurs d’exécution de bloc sont bloqués. Les utilisateurs ne peuvent pas accéder à ces emplacements.

  • Avertir : les adresses IP et les URL/domaines avec des indicateurs d’avertissement entraînent l’affichage d’un message d’avertissement lorsqu’un utilisateur tente d’accéder à ces emplacements. Les utilisateurs peuvent choisir de contourner l’avertissement et de passer à l’adresse IP ou à l’URL/domaine.

Importante

Vous pouvez avoir jusqu’à 15 000 indicateurs dans votre locataire.

Le tableau suivant récapitule les types d’IoC et les actions disponibles :

Type d’indicateur Actions disponibles
Files -Permettre
-Audit
-Avertir
- Bloquer l’exécution
- Bloquer et corriger
Adresses IP et URL/domaines -Permettre
-Audit
-Avertir
- Bloquer l’exécution
Certificats -Permettre
- Bloquer et corriger

Conseil

Pour en savoir plus sur les indicateurs, consultez les ressources suivantes :

Exclusions de réduction de la surface d’attaque

Les règles de réduction de la surface d’attaque (également appelées règles ASR) ciblent certains comportements logiciels, tels que :

  • Lancement de fichiers exécutables et de scripts qui tentent de télécharger ou d’exécuter des fichiers
  • Exécution de scripts qui semblent obfusqués ou suspects
  • Exécution de comportements que les applications n’initient généralement pas pendant le travail quotidien normal

Parfois, les applications légitimes présentent des comportements logiciels qui peuvent être bloqués par des règles de réduction de la surface d’attaque. Si cela se produit dans votre organization, vous pouvez définir des exclusions pour certains fichiers et dossiers. Ces exclusions sont appliquées à toutes les règles de réduction de la surface d’attaque. Consultez Activer les règles de réduction de la surface d’attaque.

Notez également que bien que la plupart des exclusions de règles ASR soient indépendantes des exclusions d’antivirus Microsoft Defender, certaines règles ASR respectent certaines exclusions Microsoft Defender antivirus. Consultez Informations de référence sur les règles de réduction de la surface d’attaque - Microsoft Defender Exclusions antivirus et règles ASR.

Exclusions d’accès contrôlé aux dossiers

L’accès contrôlé aux dossiers surveille les applications pour détecter les activités détectées comme malveillantes et protège le contenu de certains dossiers (protégés) sur les appareils Windows. L’accès contrôlé aux dossiers permet uniquement aux applications approuvées d’accéder aux dossiers protégés, tels que les dossiers système courants (y compris les secteurs de démarrage) et d’autres dossiers que vous spécifiez. Vous pouvez autoriser certaines applications ou exécutables signés à accéder à des dossiers protégés en définissant des exclusions. Consultez Personnaliser l’accès contrôlé aux dossiers.

Exclusions de dossiers Automation

Les exclusions de dossier Automation s’appliquent à l’investigation et à la correction automatisées dans Defender pour point de terminaison, qui est conçu pour examiner les alertes et prendre des mesures immédiates pour résoudre les violations détectées. Au fur et à mesure que des alertes sont déclenchées et qu’une enquête automatisée s’exécute, un verdict (Malveillant, Suspect ou Aucune menace trouvée) est atteint pour chaque élément de preuve examiné. Selon le niveau d’automatisation et les autres paramètres de sécurité, les actions de correction peuvent se produire automatiquement ou uniquement après approbation par votre équipe des opérations de sécurité.

Vous pouvez spécifier des dossiers, des extensions de fichier dans un répertoire spécifique et des noms de fichiers à exclure des fonctionnalités d’investigation et de correction automatisées. Ces exclusions de dossier Automation s’appliquent à tous les appareils intégrés à Defender pour point de terminaison. Ces exclusions sont toujours soumises à des analyses antivirus. Consultez Gérer les exclusions de dossiers Automation.

Comment les exclusions et les indicateurs sont évalués

La plupart des organisations ont plusieurs types d’exclusions et d’indicateurs différents pour déterminer si les utilisateurs doivent être en mesure d’accéder à un fichier ou d’un processus et de l’utiliser. Les exclusions et les indicateurs sont traités dans un ordre particulier afin que les conflits de stratégie soient gérés systématiquement.

L’image suivante résume la façon dont les exclusions et les indicateurs sont gérés dans Defender pour point de terminaison et Microsoft Defender Antivirus :

Capture d’écran montrant l’ordre dans lequel les exclusions et les indicateurs sont évalués.

Voici le principe de fonctionnement :

  1. Si un fichier/processus détecté n’est pas autorisé par Windows Defender Contrôle d’application et AppLocker, il est bloqué. Sinon, il passe à Microsoft Defender Antivirus.

  2. Si le fichier/processus détecté ne fait pas partie d’une exclusion pour Microsoft Defender Antivirus, il est bloqué. Sinon, Defender pour point de terminaison recherche un indicateur personnalisé pour le fichier/processus.

  3. Si le fichier/processus détecté a un indicateur Bloquer ou Avertir, cette action est effectuée. Sinon, le fichier/processus est autorisé et passe à l’évaluation par les règles de réduction de la surface d’attaque, l’accès contrôlé aux dossiers et la protection SmartScreen.

  4. Si le fichier/processus détecté n’est pas bloqué par les règles de réduction de la surface d’attaque, l’accès contrôlé aux dossiers ou la protection SmartScreen, il passe à Microsoft Defender Antivirus.

  5. Si le fichier/processus détecté n’est pas autorisé par Microsoft Defender Antivirus, une action est vérifiée en fonction de son ID de menace.

Gestion des conflits de stratégie

Dans les cas où les indicateurs Defender pour point de terminaison sont en conflit, voici à quoi s’attendre :

  • S’il existe des indicateurs de fichier en conflit, l’indicateur qui utilise le hachage le plus sécurisé est appliqué. Par exemple, SHA256 est prioritaire sur SHA-1, qui est prioritaire sur MD5.

  • S’il existe des indicateurs d’URL en conflit, l’indicateur le plus strict est utilisé. Pour Microsoft Defender SmartScreen, un indicateur qui utilise le chemin d’URL le plus long est appliqué. Par exemple, www.dom.ain/admin/ est prioritaire sur www.dom.ain. (La protection réseau s’applique aux domaines, plutôt qu’aux sous-pages au sein d’un domaine.)

  • S’il existe des indicateurs similaires pour un fichier ou un processus qui ont des actions différentes, l’indicateur qui est limité à un groupe d’appareils spécifique est prioritaire sur un indicateur qui cible tous les appareils.

Fonctionnement de l’investigation et de la correction automatisées avec les indicateurs

Les fonctionnalités d’investigation et de correction automatisées dans Defender pour point de terminaison déterminent d’abord un verdict pour chaque élément de preuve, puis prennent une action en fonction des indicateurs Defender pour point de terminaison. Ainsi, un fichier/processus peut obtenir un verdict de « bon » (ce qui signifie qu’aucune menace n’a été détectée) et être toujours bloqué s’il existe un indicateur avec cette action. De même, une entité peut obtenir un verdict de « mauvais » (ce qui signifie qu’elle est considérée comme malveillante) et être toujours autorisée s’il existe un indicateur avec cette action.

Le diagramme suivant montre comment l’investigation et la correction automatisées fonctionnent avec les indicateurs :

Capture d’écran montrant l’investigation et la correction automatisées et les indicateurs.

Autres charges de travail et exclusions de serveur

Si votre organization utilise d’autres charges de travail serveur, telles que Exchange Server, SharePoint Server ou SQL Server, sachez que seuls les rôles serveur intégrés (qui peuvent être des prérequis pour les logiciels que vous installerez ultérieurement) sur Windows Server sont exclus par la fonctionnalité d’exclusions automatiques (et uniquement lors de l’utilisation de leur emplacement d’installation par défaut). Vous devrez probablement définir des exclusions antivirus pour ces autres charges de travail ou pour toutes les charges de travail si vous désactivez les exclusions automatiques.

Voici quelques exemples de documentation technique pour identifier et implémenter les exclusions dont vous avez besoin :

Selon ce que vous utilisez, vous devrez peut-être vous reporter à la documentation de cette charge de travail de serveur.

Conseil

Conseil sur les performances En raison de divers facteurs, Microsoft Defender Antivirus, comme d’autres logiciels antivirus, peut entraîner des problèmes de performances sur les appareils de point de terminaison. Dans certains cas, vous devrez peut-être régler les performances de Microsoft Defender Antivirus pour atténuer ces problèmes de performances. L’analyseur de performances de Microsoft est un outil en ligne de commande PowerShell qui permet de déterminer quels fichiers, chemins d’accès de fichiers, processus et extensions de fichier peuvent être à l’origine de problèmes de performances . voici quelques exemples :

  • Principaux chemins d’accès qui ont un impact sur la durée d’analyse
  • Principaux fichiers qui ont un impact sur la durée de l’analyse
  • Principaux processus qui ont un impact sur le temps d’analyse
  • Principales extensions de fichier qui ont un impact sur la durée de l’analyse
  • Combinaisons, telles que :
    • fichiers principaux par extension
    • principaux chemins d’accès par extension
    • principaux processus par chemin d’accès
    • principales analyses par fichier
    • principales analyses par fichier et par processus

Vous pouvez utiliser les informations collectées à l’aide de l’Analyseur de performances pour mieux évaluer les problèmes de performances et appliquer des actions de correction. Consultez : Analyseur de performances pour Microsoft Defender Antivirus.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.