Vue d’ensemble des exclusions
Microsoft Defender pour point de terminaison et Defender for Business incluent un large éventail de fonctionnalités pour prévenir, détecter, examiner et répondre aux cybermenaces avancées. Microsoft préconfigure le produit pour qu’il fonctionne correctement sur le système d’exploitation qu’il est installé. Aucune autre modification ne doit être nécessaire. Malgré les paramètres préconfigurés, des comportements inattendus se produisent parfois. Voici quelques exemples :
- Faux positifs : Les fichiers, dossiers ou processus qui ne sont pas réellement une menace peuvent être détectés comme malveillants par Defender pour point de terminaison ou Microsoft Defender Antivirus. Ces entités peuvent être bloquées ou envoyées en quarantaine, même si elles ne constituent pas une menace.
- Problèmes de performances : les systèmes subissent un impact inattendu sur les performances lors de l’exécution avec Defender pour point de terminaison
- Problèmes de compatibilité des applications : les applications rencontrent un comportement inattendu lors de l’exécution avec Defender pour point de terminaison
La création d’une exclusion est une approche possible pour résoudre ces types de problèmes. Mais il y a souvent d’autres étapes que vous pouvez prendre. En plus de fournir une vue d’ensemble des indicateurs et des exclusions, cet article inclut des alternatives à la création d’exclusions et d’autorisations d’indicateurs.
Notes
La création d’un indicateur ou d’une exclusion ne doit être envisagée qu’après avoir bien compris la cause racine du comportement inattendu.
Exemple de scénario | Étapes à prendre en compte |
---|---|
Faux positif : une entité, telle qu’un fichier ou un processus, a été détectée et identifiée comme malveillante, même si l’entité n’est pas une menace. | 1. Examinez et classifiez les alertes générées à la suite de l’entité détectée. 2. Supprimer une alerte pour une entité connue. 3. Passez en revue les actions de correction qui ont été effectuées pour l’entité détectée. 4. Envoyez le faux positif à Microsoft pour analyse. 5. Définissez un indicateur ou une exclusion pour l’entité (uniquement si nécessaire). |
Problèmes de performances tels que l’un des problèmes suivants : - Un système rencontre des problèmes d’utilisation élevée du processeur ou d’autres problèmes de performances. - Un système rencontre des problèmes de fuite de mémoire. - Le chargement d’une application est lent sur les appareils. - Une application est lente à ouvrir un fichier sur les appareils. |
1. Collectez les données de diagnostic pour Microsoft Defender Antivirus. 2. Si vous utilisez une solution antivirus non-Microsoft, case activée avec le fournisseur pour voir s’il existe des problèmes connus avec les produits antivirus. 3. Analysez le journal de protection Microsoft pour voir l’impact estimé sur les performances. Pour les problèmes spécifiques aux performances liés à Microsoft Defender Antivirus, utilisez l’Analyseur de performances pour Microsoft Defender Antivirus. 4. Définissez une exclusion pour Microsoft Defender Antivirus (si nécessaire). 5. Créez un indicateur pour Defender pour point de terminaison (uniquement si nécessaire). |
Problèmes de compatibilité avec les produits antivirus non-Microsoft. Exemple : Defender pour point de terminaison s’appuie sur des mises à jour de veille de sécurité pour les appareils, qu’ils exécutent Microsoft Defender Antivirus ou une solution antivirus non-Microsoft. |
1. Si vous utilisez un produit antivirus non-Microsoft comme solution antivirus/anti-programme malveillant principal, définissez Microsoft Defender Antivirus en mode passif. 2. Si vous passez d’une solution antivirus/anti-programme malveillant non-Microsoft à Defender pour point de terminaison, consultez Passer à Defender pour point de terminaison. Ce guide se compose de : - Les exclusions que vous devrez peut-être définir pour la solution antivirus/anti-programme malveillant non-Microsoft ; - Les exclusions que vous devrez peut-être définir pour Microsoft Defender Antivirus ; et - Informations de résolution des problèmes (au cas où un problème se produit lors de la migration). |
Compatibilité avec les applications. Exemple : les applications se bloquent ou rencontrent des comportements inattendus après l’intégration d’un appareil à Microsoft Defender pour point de terminaison. |
Consultez Résoudre les comportements indésirables dans Microsoft Defender pour point de terminaison avec des exclusions, des indicateurs et d’autres techniques. |
La création d’une exclusion ou d’un indicateur d’autorisation crée un écart de protection. Ces techniques ne doivent être utilisées qu’après avoir déterminé la cause racine du problème. Jusqu’à ce que cette décision soit prise, envisagez les solutions suivantes :
- Envoyer un fichier à Microsoft pour analyse
- Supprimer une alerte
Si vous pensez que vous avez un fichier détecté à tort comme un programme malveillant (un faux positif) ou un fichier que vous pensez être un programme malveillant même s’il n’a pas été détecté (faux négatif), vous pouvez soumettre le fichier à Microsoft pour analyse. Votre soumission est analysée immédiatement et sera ensuite examinée par les analystes de sécurité Microsoft. Vous pouvez case activée le status de votre soumission sur la page d’historique des soumissions.
L’envoi de fichiers à des fins d’analyse permet de réduire les faux positifs et les faux négatifs pour tous les clients. Pour en savoir plus, reportez-vous aux articles suivants :
- Envoyer des fichiers à des fins d’analyse (disponible pour tous les clients)
- Envoyer des fichiers à l’aide du nouveau portail de soumission unifié dans Defender pour point de terminaison (disponible pour les clients disposant de Defender pour point de terminaison Plan 2 ou Microsoft Defender XDR)
Si vous recevez des alertes dans le portail Microsoft Defender pour des outils ou des processus dont vous savez qu’ils ne sont pas réellement une menace, vous pouvez supprimer ces alertes. Pour supprimer une alerte, vous créez une règle de suppression et spécifiez les actions à effectuer pour cette alerte sur d’autres alertes identiques. Vous pouvez créer des règles de suppression pour une alerte spécifique sur un seul appareil ou pour toutes les alertes qui ont le même titre dans votre organization.
Pour en savoir plus, reportez-vous aux articles suivants :
- Supprimer les alertes
- Blog de la communauté technique : Présentation de la nouvelle expérience de suppression des alertes (pour Defender pour point de terminaison)
Il existe plusieurs types d’exclusions à prendre en compte. Certains types d’exclusions affectent plusieurs fonctionnalités dans Defender pour point de terminaison, tandis que d’autres types sont spécifiques à Microsoft Defender Antivirus.
- Exclusions personnalisées : il s’agit d’exclusions que vous définissez pour des cas d’usage ou des scénarios spécifiques, et pour certains systèmes d’exploitation, tels que Mac, Linux et Windows.
- Exclusions antivirus préconfigurées : il s’agit d’exclusions que vous n’avez pas besoin de définir, telles que les exclusions automatiques de rôle serveur et lesexclusions antivirus intégrées. Même si vous n’avez pas besoin de les définir, il est utile de savoir ce qu’ils sont et comment ils fonctionnent.
- Exclusions de réduction de la surface d’attaque : il s’agit d’exclusions pour empêcher les fonctionnalités de réduction de la surface d’attaque de bloquer les applications légitimes que votre organization peut utiliser.
- Exclusions de dossiers Automation : il s’agit d’exclusions que vous définissez pour empêcher les fonctionnalités d’investigation et de correction automatisées de s’appliquer à des fichiers ou dossiers spécifiques.
- Exclusions d’accès contrôlé aux dossiers : il s’agit d’exclusions permettant à certaines applications ou exécutables d’accéder à des dossiers protégés.
- Actions de correction personnalisées : il s’agit d’actions que vous spécifiez pour Microsoft Defender Antivirus lors de certains types de détections.
Pour plus d’informations sur les indicateurs, consultez Vue d’ensemble des indicateurs dans Microsoft Defender pour point de terminaison.
Microsoft Defender pour point de terminaison vous permet de configurer des exclusions personnalisées pour optimiser les performances et éviter les faux positifs. Les types d’exclusions que vous pouvez définir varient selon les fonctionnalités de Defender pour point de terminaison et les systèmes d’exploitation.
Le tableau suivant récapitule les types d’exclusions personnalisées que vous pouvez définir. Notez l’étendue de chaque type d’exclusion.
Types d’exclusion | Portée | Cas d'utilisation |
---|---|---|
Exclusions de Defender pour point de terminaison personnalisées | Antivirus Règles de réduction des surfaces d'attaque Defender pour point de terminaison Protection réseau |
Un fichier, un dossier ou un processus est identifié comme malveillant, même s’il ne s’agit pas d’une menace. Une application rencontre un problème inattendu de performances ou de compatibilité d’application lors de l’exécution avec Defender pour point de terminaison |
Exclusions de réduction de la surface d’attaque defender pour point de terminaison | Règles de réduction des surfaces d'attaque | Une règle de réduction de la surface d’attaque entraîne un comportement inattendu. |
Exclusions de dossiers d’automatisation de Defender pour point de terminaison | Enquêtes et réponses automatisées | L’investigation et la correction automatisées prennent des mesures sur un fichier, une extension ou un répertoire qui doivent être effectués manuellement. |
Exclusions d’accès contrôlé aux dossiers defender pour point de terminaison | Accès contrôlé aux dossiers | L’accès contrôlé aux dossiers empêche une application d’accéder à un dossier protégé. |
Indicateurs d’autorisation de fichier et de certificat Defender pour point de terminaison | Antivirus Règles de réduction des surfaces d'attaque Accès contrôlé aux dossiers |
Un fichier ou un processus signé par un certificat est identifié comme malveillant, même si ce n’est pas le cas. |
Indicateurs de domaine/URL et d’adresse IP Defender pour point de terminaison | Protection réseau SmartScreen Filtrage de contenu web |
SmartScreen signale un faux positif. Vous souhaitez remplacer un bloc de filtrage de contenu web sur un site spécifique. |
Notes
La protection du réseau est directement affectée par les exclusions de processus sur toutes les plateformes. Une exclusion de processus sur n’importe quel système d’exploitation (Windows, MacOS, Linux) empêche la protection réseau d’inspecter le trafic ou d’appliquer des règles pour ce processus spécifique.
Pour macOS, vous pouvez définir des exclusions qui s’appliquent aux analyses à la demande, à la protection en temps réel et à la surveillance. Les types d’exclusion pris en charge sont les suivants :
- Extension de fichier : excluez tous les fichiers avec une extension spécifique.
- Fichier : excluez un fichier spécifique identifié par son chemin d’accès complet.
- Dossier : excluez tous les fichiers d’un dossier spécifié de manière récursive.
- Processus : excluez un processus spécifique et tous les fichiers ouverts par celui-ci.
Pour plus d’informations, consultez Configurer et valider des exclusions pour Microsoft Defender pour point de terminaison sur macOS.
Sur Linux, vous pouvez configurer des exclusions antivirus et globales.
- Exclusions antivirus : s’appliquent aux analyses à la demande, à la protection en temps réel (RTP) et à la surveillance du comportement (BM).
- Exclusions globales : s’appliquent à la protection en temps réel (RTP), à la surveillance du comportement (BM) et à la détection et à la réponse des points de terminaison (EDR), en arrêtant toutes les détections antivirus et alertes EDR associées.
Pour plus d’informations, consultez Configurer et valider les exclusions pour Microsoft Defender pour point de terminaison sur Linux.
Microsoft Defender antivirus peut être configuré pour exclure des combinaisons de processus, de fichiers et d’extensions des analyses planifiées, des analyses à la demande et de la protection en temps réel. Consultez Configurer des exclusions personnalisées pour Microsoft Defender Antivirus.
Pour un contrôle plus précis qui permet de réduire les écarts de protection, envisagez d’utiliser des exclusions de fichiers et de processus contextuels.
Ces types d’exclusion sont préconfigurés dans Microsoft Defender pour point de terminaison pour Microsoft Defender Antivirus.
Types d’exclusion | Configuration | Description |
---|---|---|
Exclusions automatiques Microsoft Defender Antivirus | Automatic | Exclusions automatiques pour les rôles et fonctionnalités de serveur dans Windows Server. Lorsque vous installez un rôle sur Windows Server 2016 ou une version ultérieure, Microsoft Defender Antivirus inclut des exclusions automatiques pour le rôle serveur et tous les fichiers ajoutés lors de l’installation du rôle. Ces exclusions concernent uniquement les rôles actifs sur Windows Server 2016 et versions ultérieures. |
Exclusions d’antivirus Microsoft Defender intégrées | Automatic | Microsoft Defender Antivirus inclut des exclusions intégrées pour les fichiers du système d’exploitation sur toutes les versions de Windows. |
Les exclusions automatiques de rôles serveur incluent des exclusions pour les rôles de serveur et les fonctionnalités dans Windows Server 2016 et versions ultérieures. Ces exclusions ne sont pas analysées par la protection en temps réel , mais elles sont toujours soumises à des analyses antivirus rapides, complètes ou à la demande.
Les exemples incluent :
- Service de réplication de fichiers (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- Serveur DNS
- Serveur d’impression
- Serveur web
- Windows Server Update Services
- ... et bien plus encore.
Notes
Les exclusions automatiques pour les rôles de serveur ne sont pas prises en charge sur Windows Server 2012 R2. Pour les serveurs exécutant Windows Server 2012 R2 avec le rôle serveur services de domaine Active Directory (AD DS) installé, les exclusions pour les contrôleurs de domaine doivent être spécifiées manuellement. Consultez Exclusions Active Directory.
Pour plus d’informations, consultez Exclusions automatiques de rôles serveur.
Les exclusions antivirus intégrées incluent certains fichiers de système d’exploitation exclus par Microsoft Defender Antivirus sur toutes les versions de Windows (y compris Windows 10, Windows 11 et Windows Server).
Les exemples incluent :
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb
%allusersprofile%\NTUser.pol
- Windows Update fichiers
- Sécurité Windows fichiers
- ... et bien plus encore.
La liste des exclusions intégrées dans Windows est mise à jour à mesure que le paysage des menaces change. Pour en savoir plus sur ces exclusions, consultez Microsoft Defender Exclusions antivirus sur Windows Server : exclusions intégrées.
Les règles de réduction de la surface d’attaque (également appelées règles ASR) ciblent certains comportements logiciels, tels que :
- Lancement de fichiers exécutables et de scripts qui tentent de télécharger ou d’exécuter des fichiers
- Exécution de scripts qui semblent obfusqués ou suspects
- Exécution de comportements que les applications n’initient généralement pas pendant le travail quotidien normal
Parfois, les applications légitimes présentent des comportements logiciels qui peuvent être bloqués par des règles de réduction de la surface d’attaque. Si cela se produit dans votre organization, vous pouvez définir des exclusions pour certains fichiers et dossiers. Ces exclusions sont appliquées à toutes les règles de réduction de la surface d’attaque. Consultez Activer les règles de réduction de la surface d’attaque.
Notes
Les règles de réduction de la surface d’attaque respectent les exclusions de processus, mais toutes les règles de réduction de la surface d’attaque respectent Microsoft Defender exclusions antivirus. Consultez Informations de référence sur les règles de réduction de la surface d’attaque - Microsoft Defender Exclusions antivirus et règles ASR.
Les exclusions de dossier Automation s’appliquent à l’investigation et à la correction automatisées dans Defender pour point de terminaison, qui est conçu pour examiner les alertes et prendre des mesures immédiates pour résoudre les violations détectées. Au fur et à mesure que des alertes sont déclenchées et qu’une enquête automatisée s’exécute, un verdict (Malveillant, Suspect ou Aucune menace trouvée) est atteint pour chaque élément de preuve examiné. Selon le niveau d’automatisation et les autres paramètres de sécurité, les actions de correction peuvent se produire automatiquement ou uniquement après approbation par votre équipe des opérations de sécurité.
Vous pouvez spécifier des dossiers, des extensions de fichier dans un répertoire spécifique et des noms de fichiers à exclure des fonctionnalités d’investigation et de correction automatisées. Ces exclusions de dossier Automation s’appliquent à tous les appareils intégrés à Defender pour point de terminaison. Ces exclusions sont toujours soumises à des analyses antivirus.
Pour plus d’informations, consultez Gérer les exclusions de dossiers Automation.
L’accès contrôlé aux dossiers surveille les applications pour détecter les activités détectées comme malveillantes et protège le contenu de certains dossiers (protégés) sur les appareils Windows. L’accès contrôlé aux dossiers permet uniquement aux applications approuvées d’accéder aux dossiers protégés, tels que les dossiers système courants (y compris les secteurs de démarrage) et d’autres dossiers que vous spécifiez. Vous pouvez autoriser certaines applications ou exécutables signés à accéder à des dossiers protégés en définissant des exclusions.
Pour plus d’informations, consultez Personnaliser l’accès contrôlé aux dossiers.
Quand Microsoft Defender Antivirus détecte une menace potentielle lors de l’exécution d’une analyse, il tente de corriger ou de supprimer la menace détectée. Vous pouvez définir des actions de correction personnalisées pour configurer la façon dont Microsoft Defender Antivirus doit traiter certaines menaces, si un point de restauration doit être créé avant la correction et quand les menaces doivent être supprimées.
Pour plus d’informations, consultez Configurer des actions de correction pour les détections d’antivirus Microsoft Defender.
La plupart des organisations ont plusieurs types d’exclusions et d’indicateurs différents pour déterminer si les utilisateurs doivent être en mesure d’accéder à un fichier ou d’un processus et de l’utiliser. Les exclusions et les indicateurs sont traités dans un ordre particulier afin que les conflits de stratégie soient gérés systématiquement.
Voici le principe de fonctionnement :
Si un fichier/processus détecté n’est pas autorisé par le contrôle d’application Windows Defender et AppLocker, il est bloqué. Sinon, il passe à Microsoft Defender Antivirus.
Si le fichier/processus détecté ne fait pas partie d’une exclusion pour Microsoft Defender Antivirus, il est bloqué. Sinon, Defender pour point de terminaison recherche un indicateur personnalisé pour le fichier/processus.
Si le fichier/processus détecté a un indicateur Bloquer ou Avertir, cette action est effectuée. Sinon, le fichier/processus est autorisé et passe à l’évaluation par les règles de réduction de la surface d’attaque, l’accès contrôlé aux dossiers et la protection SmartScreen.
Si le fichier/processus détecté n’est pas bloqué par les règles de réduction de la surface d’attaque, l’accès contrôlé aux dossiers ou la protection SmartScreen, il passe à Microsoft Defender Antivirus.
Si le fichier/processus détecté n’est pas autorisé par Microsoft Defender Antivirus, une action est vérifiée en fonction de son ID de menace.
Dans les cas où les indicateurs Defender pour point de terminaison sont en conflit, voici à quoi s’attendre :
S’il existe des indicateurs de fichier en conflit, l’indicateur qui utilise le hachage le plus sécurisé est appliqué. Par exemple, SHA256 est prioritaire sur SHA-1, qui est prioritaire sur MD5.
S’il existe des indicateurs d’URL en conflit, l’indicateur le plus strict est utilisé. Pour Microsoft Defender SmartScreen, un indicateur qui utilise le chemin d’URL le plus long est appliqué. Par exemple,
www.dom.ain/admin/
est prioritaire surwww.dom.ain
. (La protection réseau s’applique aux domaines, plutôt qu’aux sous-pages au sein d’un domaine.)S’il existe des indicateurs similaires pour un fichier ou un processus qui ont des actions différentes, l’indicateur qui est limité à un groupe d’appareils spécifique est prioritaire sur un indicateur qui cible tous les appareils.
Les fonctionnalités d’investigation et de correction automatisées dans Defender pour point de terminaison déterminent d’abord un verdict pour chaque élément de preuve, puis prennent une action en fonction des indicateurs Defender pour point de terminaison. Ainsi, un fichier/processus peut obtenir un verdict de « bon » (ce qui signifie qu’aucune menace n’a été détectée) et être toujours bloqué s’il existe un indicateur avec cette action. De même, une entité peut obtenir un verdict de « mauvais » (ce qui signifie qu’elle est considérée comme malveillante) et être toujours autorisée s’il existe un indicateur avec cette action.
Pour plus d’informations, consultez Investigation et correction automatisées et indicateurs.
Si votre organization utilise d’autres charges de travail de serveur, telles que Exchange Server, SharePoint Server ou SQL Server, gardez à l’esprit que seuls les rôles serveur intégrés (qui peuvent être des prérequis pour les logiciels que vous installerez ultérieurement) sur Windows Server sont exclus par la fonctionnalité d’exclusion automatique de rôle serveur (et uniquement lors de l’utilisation de leur emplacement d’installation par défaut). Vous devrez probablement définir des exclusions antivirus pour ces autres charges de travail ou pour toutes les charges de travail si vous désactivez les exclusions automatiques.
Voici quelques exemples de documentation technique pour identifier et implémenter les exclusions dont vous avez besoin :
- Exécution d’un logiciel antivirus sur Exchange Server
- Dossiers à exclure des analyses antivirus sur SharePoint Server
- Choix d’un logiciel antivirus pour SQL Server
Selon ce que vous utilisez, vous devrez peut-être vous reporter à la documentation de cette charge de travail de serveur.
- Résoudre les scénarios courants de faux positifs avec des exclusions
- Configurer des exclusions pour Microsoft Defender Antivirus
- Erreurs courantes à éviter lors de la définition d’exclusions
- Vue d’ensemble des indicateurs dans Microsoft Defender pour point de terminaison
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.