הגנה על הענן ושלחת דוגמאות באנטי-וירוס של Microsoft Defender

מאמר
04/26/2024

חל על:

Microsoft Defender עבור תוכנית 1 של נקודת קצה
Microsoft Defender עבור תוכנית 2 של נקודת קצה
האנטי-וירוס של Microsoft Defender

פלטפורמות

Windows
macOS
לינוקס (Linux)
שרת Windows

האנטי-וירוס של Microsoft Defender משתמש במנגנונים חכמים רבים כדי לזהות תוכנות זדוניות. אחת היכולות החזקות ביותר היא היכולת להחיל את העוצמה של הענן לזהות תוכנות זדוניות ולבצע ניתוח מהיר. הגנה על הענן ושלחת דוגמאות אוטומטית פועלות יחד עם האנטי-וירוס של Microsoft Defender כדי לסייע בהגנה מפני איומים חדשים ומתעוררים.

אם זוהה קובץ חשוד או זדוני, מדגם נשלח לשירות הענן לצורך ניתוח בזמן שהאנטי-וירוס של Microsoft Defender חוסם את הקובץ. ברגע שמתבצעת קביעה, מה שקורה במהירות, הקובץ מופץ או נחסם על-ידי האנטי-וירוס של Microsoft Defender.

מאמר זה מספק מבט כולל על הגנה בענן ושליחת דוגמאות אוטומטית באנטי-וירוס של Microsoft Defender. לקבלת מידע נוסף על הגנה בענן, ראה הגנה בענן והאנטי-וירוס של Microsoft Defender.

כיצד הגנה על הענן ושלחת דוגמאות פועלות יחד

כדי להבין כיצד הגנה על הענן פועלת יחד עם שליחת דוגמאות, כדאי להבין כיצד Defender for Endpoint מגן מפני איומים. Microsoft Intelligent Security Graph מנטר נתוני איומים מרשת רחבה של חיישנים. Microsoft שכבות מודלים מבוססי-ענן של למידת מכונה, אשר יכולים להעריך קבצים בהתבסס על אותות מהלקוח והרשת העצום של חיישנים ונתונים ב- Intelligent Security Graph. גישה זו מעניקה ל- Defender for Endpoint את היכולת לחסום איומים רבים שלא ראו מעולם.

התמונה הבאה מתארת את זרימת ההגנה בענן ושליחת דוגמאות עם האנטי-וירוס של Microsoft Defender:

האנטי-וירוס וההגנה בענן של Microsoft Defender חוסמיים באופן אוטומטי את רוב האיומים החדשים שמעולם לא נראהו במבט ראשון באמצעות השיטות הבאות:

מודלים קלים של למידת מכונה המבוססים על לקוח, חוסמים תוכנות זדוניות חדשות ולא ידועות.
ניתוח התנהגותי מקומי, מפסיק מתקפות מבוססות קבצים ופחות קבצים.
אנטי-וירוס מדויק במיוחד, זיהוי תוכנות זדוניות נפוצות באמצעות טכניקות כלליות ויורדניות.
הגנה מתקדמת מבוססת ענן מסופקת עבור מקרים שבהם האנטי-וירוס של Microsoft Defender פועל ב נקודת הקצה זקוק לבינה נוספת כדי לאמת את המטרה של קובץ חשוד.
1. במקרה שהאנטי-וירוס של Microsoft Defender אינו יכול לקבוע באופן ברור, המטה-נתונים של הקובץ נשלחים לשירות ההגנה על הענן. לעתים קרובות באלפיות שניה, שירות ההגנה בענן יכול לקבוע בהתבסס על המטה-נתונים אם הקובץ זדוני או לא מהווה איום.
  - שאילתת הענן של מטה-נתונים של קבצים יכולה להיות תוצאה של אופן פעולה, סימון של האינטרנט או מאפיינים אחרים שבהם לא נקבעת גזר דין ברור.
  - תוכן מנה קטן של מטה-נתונים נשלח, כדי להגיע לסיום דין דין של תוכנות זדוניות או לא איום. המטה-נתונים אינם כוללים מידע המאפשר זיהוי אישי (PII). פעולת Hash של מידע כגון שמות קבצים.
  - יכול להיות סינכרוני או אסינכרוני. באופן סינכרוני, הקובץ לא ייפתח עד שהענן יעובד על פסק דין. עבור אסינכרוני, הקובץ נפתח בזמן שהגנת הענן מבצעת את הניתוח שלו.
  - מטה-נתונים יכולים לכלול תכונות PE, תכונות קובץ סטטיות, תכונות דינאמיות הקשריות ועוד (ראה דוגמאות של מטה-נתונים שנשלחו לשירות ההגנה בענן).
2. לאחר בחינת המטה-נתונים, אם הגנת הענן של האנטי-וירוס של Microsoft Defender אינה יכולה להגיע לפסק דין חד-משמעי, הוא יכול לבקש דגימה של הקובץ לבדיקה נוספת. בקשה זו מכבדת את תצורת ההגדרות לשליחה לדוגמה:
  1. שלח דוגמאות בטוחות באופן אוטומטי
    - דוגמאות בטוחות הן דוגמאות שנחשבות אינן מכילות בדרך כלל נתוני PII כגון: .bat, .scr, .dll, .exe.
    - אם יש להניח שהקובץ מכיל PII, המשתמש מקבל בקשה לאפשר שליחת דוגמת קובץ.
    - אפשרות זו היא ברירת המחדל ב- Windows, macOS ו- Linux.
  2. הצג בקשה תמיד
    - אם נקבעה תצורה, המשתמש תמיד יתבקש לספק הסכמה לפני שליחת קובץ
    - הגדרה זו אינה זמינה בהגנה על ענן macOS ו- Linux
  3. שלח את כל הדוגמאות באופן אוטומטי
    - אם התצורה נקבעה, כל הדוגמאות נשלחות באופן אוטומטי
    - אם ברצונך ששליחה לדוגמה תכלול פקודות מאקרו המוטבעות במסמכי Word, עליך לבחור באפשרות 'שלח את כל הדוגמאות באופן אוטומטי'
    - הגדרה זו אינה זמינה בהגנה על ענן macOS
  4. אל תשלח
    - מונע "חסימה במבט ראשון" בהתבסס על ניתוח דוגמאות קבצים
    - "אל תשלח" היא המקבילה להגדרה 'לא זמין' במדיניות macOS ולהגדרה 'ללא' במדיניות Linux.
    - מטה-נתונים נשלחים לגילויים גם כאשר שליחה לדוגמה אינה זמינה
3. לאחר שליחת הקבצים להגנה על הענן, ניתן לסרוק, להפעיל ולעובד את הקבצים שנשלחו באמצעות מודלים גדולים של למידת מכונה לניתוח נתונים כדי להגיע לפסק דין. ביטול ניתוח של מגבלות הגנה המסופקות על-ידי הענן רק למה שהלקוח יכול לספק באמצעות מודלים מקומיים של למידת מכונה ופונקציות דומות.

חשוב

חסימה במבט ראשון (BAFS) מספקת נפץ וניתוח כדי לקבוע אם קובץ או תהליך בטוחים. BAFS יכול להשהות את פתיחת הקובץ באופן רגעי עד לגשת לפסק הדין. אם תהפוך שליחה לדוגמה ללא זמינה, גם BAFS לא יהיה זמין וניתוח קבצים יהיה מוגבל למטה-נתונים בלבד. אנו ממליצים לשמור על שליחת דוגמאות ו- BAFS זמינים. לקבלת מידע נוסף, ראה מהו "חסימה במבט ראשון"?

רמות הגנה בענן

הגנה בענן מופעלת כברירת מחדל באנטי-וירוס של Microsoft Defender. מומלץ להשאיר את ההגנה בענן מופעלת, על אף שניתן לקבוע את התצורה של רמת ההגנה עבור הארגון שלך. ראה ציון רמת ההגנה שסופקה על-ידי הענן עבור האנטי-וירוס של Microsoft Defender.

הגדרות שליחה לדוגמה

בנוסף לקביעת התצורה של רמת ההגנה בענן, באפשרותך לקבוע את תצורת הגדרות ההגשה לדוגמה. באפשרותך לבחור מבין כמה אפשרויות:

שלח דוגמאות בטוחות באופן אוטומטי (אופן הפעולה המוגדר כברירת מחדל)
שלח את כל הדוגמאות באופן אוטומטי
אל תשלח דוגמאות

עצה

השימוש באפשרות Send all samples automatically מספק אבטחה טובה יותר, מכיוון שתקיפות דיוג משמשות לכמות גבוהה של תקיפות גישה ראשוניות. לקבלת מידע אודות אפשרויות תצורה באמצעות Intune, מנהל התצורה, מדיניות קבוצתית או PowerShell, ראה הפעלת הגנה בענן באנטי-וירוס של Microsoft Defender.

דוגמאות של מטה-נתונים שנשלחו לשירות ההגנה בענן

הטבלה הבאה מפרטת דוגמאות של מטה-נתונים שנשלחו לניתוח על-ידי הגנה בענן:

סוג	תכונה
תכונות מחשב	`OS version` `Processor` `Security settings`
תכונות דינאמיות והקשריות	תהליך והתקנה `ProcessName` `ParentProcess` `TriggeringSignature` `TriggeringFile` `Download IP and url` `HashedFullPath` `Vpath` `RealPath` `Parent/child relationships` התנהגותית `Connection IPs` `System changes` `API calls` `Process injection` אזור `Locale setting` `Geographical location`
תכונות קובץ סטטי	קוד Hash חלקי מלא `ClusterHash` `Crc16` `Ctph` `ExtendedKcrcs` `ImpHash` `Kcrc3n` `Lshash` `LsHashs` `PartialCrc1` `PartialCrc2` `PartialCrc3` `Sha1` `Sha256` מאפייני קובץ `FileName` `FileSize` פרטי חותם `AuthentiCodeHash` `Issuer` `IssuerHash` `Publisher` `Signer` `SignerHash`

דוגמאות מטופלות בנתוני לקוח

במקרה שאתה תוהה מה קורה עם שליחות לדוגמה, Defender for Endpoint מתייחס לכל דוגמאות הקבצים בנתוני לקוחות. Microsoft מכבדת הן את הבחירות הגיאוגרפיות והן את אפשרויות שמירת הנתונים שהארגון שלך בחר בעת קליטתם ל- Defender for Endpoint.

בנוסף, Defender for Endpoint קיבל אישורי תאימות מרובים, המפגין המשך התצייתות לערכה מתוחכמת של בקרות תאימות:

ISO 27001
ISO 27018
SOC I, II, III
מחשב PCI

לקבלת פרטים נוספים, עיינו במקורות הבאים:

תרחישים אחרים של שליחת דוגמאות קבצים

קיימים שני תרחישים נוספים שבהם Defender for Endpoint עשוי לבקש דוגמת קובץ שאינה קשורה להגנה בענן באנטי-וירוס של Microsoft Defender. תרחישים אלה מתוארים בטבלה הבאה:

תרחיש	תיאור
אוסף דוגמאות של קבצים ידניים בפורטל Microsoft Defender	בעת צירוף מכשירים ל- Defender for Endpoint, באפשרותך לקבוע הגדרות עבור זיהוי נקודות קצה ותגובה (EDR). לדוגמה, קיימת הגדרה המאפשרת הפעלה של אוספים לדוגמה מהמכשיר, שניתן לבלבל בקלות עם הגדרות ההגשה לדוגמה המתוארות במאמר זה. הגדרת EDR שולטת באוסף לדוגמה של קבצים ממכשירים לפי בקשתם באמצעות פורטל Microsoft Defender, והיא כפופה לתפקידים ולהרשאות שכבר נקבעו. הגדרה זו יכולה לאפשר או לחסום איסוף קבצים מתוך נקודת הקצה עבור תכונות כגון ניתוח עמוק בפורטל Microsoft Defender. אם הגדרה זו אינה מוגדרת, ברירת המחדל היא להפוך אוסף לדוגמה לזמין. קבל מידע על הגדרות התצורה של Defender for Endpoint, ראה: כלים ושיטות קליטת נתונים עבור מכשירי Windows 10 ב- Defender for Endpoint
בדיקה אוטומטית וניתוח תוכן תגובה	כאשר חקירות אוטומטיות פועלות במכשירים (כאשר הן מוגדרות לפעול באופן אוטומטי בתגובה להתראה או להפעלה ידנית), ניתן לאסוף קבצים המזוהים כחשודים מ נקודות הקצה לבדיקה נוספת. במידת הצורך, ניתן להפוך את תכונת ניתוח התוכן של הקבצים לבדיקה אוטומטית ללא זמינה בפורטל Microsoft Defender. ניתן לשנות את שמות סיומות הקבצים גם כדי להוסיף או להסיר סיומות עבור סוגי קבצים אחרים ש יישלחו באופן אוטומטי במהלך חקירה אוטומטית. לקבלת מידע נוסף, ראה ניהול העלאות של קבצי אוטומציה.

תרחיש

תיאור

אוסף דוגמאות של קבצים ידניים בפורטל Microsoft Defender

בעת צירוף מכשירים ל- Defender for Endpoint, באפשרותך לקבוע הגדרות עבור זיהוי נקודות קצה ותגובה (EDR). לדוגמה, קיימת הגדרה המאפשרת הפעלה של אוספים לדוגמה מהמכשיר, שניתן לבלבל בקלות עם הגדרות ההגשה לדוגמה המתוארות במאמר זה.

הגדרת EDR שולטת באוסף לדוגמה של קבצים ממכשירים לפי בקשתם באמצעות פורטל Microsoft Defender, והיא כפופה לתפקידים ולהרשאות שכבר נקבעו. הגדרה זו יכולה לאפשר או לחסום איסוף קבצים מתוך נקודת הקצה עבור תכונות כגון ניתוח עמוק בפורטל Microsoft Defender. אם הגדרה זו אינה מוגדרת, ברירת המחדל היא להפוך אוסף לדוגמה לזמין.

קבל מידע על הגדרות התצורה של Defender for Endpoint, ראה: כלים ושיטות קליטת נתונים עבור מכשירי Windows 10 ב- Defender for Endpoint

בדיקה אוטומטית וניתוח תוכן תגובה

כאשר חקירות אוטומטיות פועלות במכשירים (כאשר הן מוגדרות לפעול באופן אוטומטי בתגובה להתראה או להפעלה ידנית), ניתן לאסוף קבצים המזוהים כחשודים מ נקודות הקצה לבדיקה נוספת. במידת הצורך, ניתן להפוך את תכונת ניתוח התוכן של הקבצים לבדיקה אוטומטית ללא זמינה בפורטל Microsoft Defender.

ניתן לשנות את שמות סיומות הקבצים גם כדי להוסיף או להסיר סיומות עבור סוגי קבצים אחרים ש יישלחו באופן אוטומטי במהלך חקירה אוטומטית.

לקבלת מידע נוסף, ראה ניהול העלאות של קבצי אוטומציה.

עצה

אם אתה מחפש מידע הקשור לאנטי-וירוס עבור פלטפורמות אחרות, ראה:

למידע נוסף

מבט כולל על הגנה מהדור הבא

קבע תצורה של תיקון עבור זיהויי אנטי-וירוס של Microsoft Defender.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.

שתף באמצעות