Résoudre les comportements indésirables dans Microsoft Defender pour point de terminaison

La fonction principale de Microsoft Defender pour point de terminaison est d’empêcher et de détecter l’accès aux processus et fichiers malveillants. Defender pour point de terminaison protège les personnes de votre organization contre les menaces tout en conservant la productivité avec les paramètres et stratégies de sécurité par défaut. Parfois, des comportements indésirables peuvent se produire, tels que :

Faux positifs : un faux positif est quand une entité, telle qu’un fichier ou un processus, a été détectée et identifiée comme malveillante, même si l’entité n’est pas une menace
Performances médiocres : les applications rencontrent des problèmes de performances lorsque certaines fonctionnalités de Defender pour point de terminaison sont activées
Incompatibilité d’application : les applications ne fonctionnent pas correctement lorsque certaines fonctionnalités de Defender pour point de terminaison sont activées

Cet article explique comment traiter ces types de comportements indésirables et inclut quelques exemples de scénarios.

Remarque

La création d’un indicateur ou d’une exclusion ne doit être envisagée qu’après avoir bien compris la cause racine du comportement inattendu.

Processus général pour traiter les comportements indésirables

À un niveau élevé, le processus de résolution d’un comportement indésirable dans Defender pour point de terminaison est le suivant :

Identifiez la fonctionnalité à l’origine du comportement indésirable. Pour prendre votre décision, déterminez s’il existe une configuration incorrecte avec Microsoft Defender’antivirus, la détection et la réponse des points de terminaison, la réduction de la surface d’attaque ou l’accès contrôlé aux dossiers. Utilisez les informations dans le portail Microsoft Defender ou sur l’appareil.

Lieu	Procédure
Portail Microsoft Defender	Pour vous aider à identifier ce qui se passe, effectuez une ou plusieurs des actions suivantes : - Examiner les alertes - Utiliser la chasse avancée - Afficher les rapports
Sur l’appareil	Pour identifier le problème, effectuez une ou plusieurs des étapes suivantes : - Utiliser les outils de l’analyseur de performances - Examiner les journaux des événements et les codes d’erreur - Vérifier votre historique de protection

Selon les résultats de l’étape précédente, vous pouvez effectuer une ou plusieurs des actions suivantes :
La protection contre les falsifications détermine si les exclusions peuvent être modifiées ou ajoutées. Voir Que se passe-t-il lorsque la protection contre les falsifications est activée.
Vérifiez que vos modifications ont résolu le problème.

Exemples de comportements indésirables

Cette section inclut plusieurs exemples de scénarios qui peuvent être traités à l’aide d’exclusions et d’indicateurs. Pour plus d’informations sur les exclusions, consultez Vue d’ensemble des exclusions.

Une application est détectée par Microsoft Defender Antivirus quand l’application s’exécute

Dans ce scénario, chaque fois qu’un utilisateur exécute une certaine application, l’application est détectée par Microsoft Defender Antivirus comme une menace potentielle.

Comment traiter : créez un indicateur « autoriser » pour Microsoft Defender pour point de terminaison. Par exemple, vous pouvez créer un indicateur « autoriser » pour un fichier, tel qu’un fichier exécutable. Consultez Créer des indicateurs pour les fichiers.

Une application personnalisée auto-signée est détectée par Microsoft Defender Antivirus lors de l’exécution de l’application

Dans ce scénario, Microsoft Defender Antivirus détecte une application personnalisée comme une menace potentielle. L’application est mise à jour régulièrement et auto-signée.

Comment traiter : créez des indicateurs « autoriser » pour les certificats ou les fichiers. Consultez les articles suivants :

Une application personnalisée accède à un ensemble de types de fichiers détectés comme malveillants lors de l’exécution de l’application

Dans ce scénario, une application personnalisée accède à un ensemble de types de fichiers, et l’ensemble est détecté comme malveillant par Microsoft Defender Antivirus chaque fois que l’application s’exécute.

Comment observer : Lorsque l’application est en cours d’exécution, la surveillance du comportement dans Microsoft Defender Antivirus la détecte.

Guide pratique pour résoudre les problèmes : Définissez des exclusions pour Microsoft Defender Antivirus, telles qu’une exclusion de fichier ou de chemin d’accès qui peut inclure des caractères génériques. Ou définissez une exclusion de chemin d’accès de fichier personnalisé. Consultez les articles suivants :

Une application est détectée par Microsoft Defender Antivirus comme détection de « comportement »

Dans ce scénario, Microsoft Defender Antivirus détecte une application en raison d’un certain comportement, même si l’application n’est pas une menace.

Comment traiter : définir une exclusion de processus. Consultez les articles suivants :

Une application est considérée comme une application potentiellement indésirable (PUA)

Dans ce scénario, une application est détectée comme puA et vous souhaitez l’autoriser à s’exécuter.

Guide pratique pour traiter : définissez une exclusion pour l’application. Consultez les articles suivants :

Une application ne peut pas écrire dans un dossier protégé

Dans ce scénario, une application légitime ne peut pas écrire dans des dossiers protégés par un accès contrôlé aux dossiers.

Comment traiter : ajoutez l’application à la liste « autorisée » pour l’accès contrôlé aux dossiers. Consultez Autoriser des applications spécifiques à apporter des modifications aux dossiers contrôlés.

Une application tierce est détectée comme malveillante par Microsoft Defender Antivirus

Dans ce scénario, une application tierce qui n’est pas une menace est détectée et identifiée comme malveillante par Microsoft Defender Antivirus.

Comment traiter : soumettre l’application à Microsoft pour analyse. Consultez Comment envoyer un fichier à Microsoft à des fins d’analyse.

Une application est détectée de manière incorrecte et identifiée comme malveillante par Defender pour point de terminaison

Dans ce scénario, une application légitime est détectée et identifiée comme malveillante par une règle de réduction de la surface d’attaque (ASR) dans Microsoft Defender Antivirus. La règle ASR Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé bloque tout contenu téléchargé lorsque l’utilisateur tente d’utiliser l’application.

Pour connaître les méthodes disponibles pour voir les détections de règles ASR dans Defender pour point de terminaison, consultez Surveiller l’activité des règles de réduction de la surface d’attaque (ASR).

Comment traiter :

Utilisez le rapport Règles de réduction de la surface d’attaque pour voir les détections, les appareils affectés et les fichiers affectés. En particulier, vous pouvez télécharger les informations complètes sur le fichier et le chemin d’accès des fichiers concernés à exclure de la règle ASR sous l’onglet Ajouter des exclusions du rapport.

Pour connaître les méthodes disponibles pour configurer les exclusions de règles ASR, consultez Exclusions de fichiers et de dossiers pour les règles ASR.

Word les modèles qui contiennent des macros qui lancent d’autres applications sont bloqués

Dans ce scénario, la règle ASR Bloquer les appels d’API Win32 à partir des macros Office bloque microsoft Word lorsqu’un utilisateur ouvre des documents créés à partir de Microsoft Word modèles contenant des macros, et que ces macros lancent d’autres applications.