הגנה על הענן ושלחת דוגמאות באנטי Microsoft Defender Antivirus

מאמר
04/26/2024

חל על:

Microsoft Defender עבור תוכנית 1 של נקודת קצה
Microsoft Defender עבור תוכנית 2 של נקודת קצה
האנטי-וירוס של Microsoft Defender

פלטפורמות

Windows
Macos
לינוקס
שרת Windows

Microsoft Defender-וירוס משתמשת במנגנונים חכמים רבים כדי לזהות תוכנות זדוניות. אחת היכולות החזקות ביותר היא היכולת להחיל את העוצמה של הענן לזהות תוכנות זדוניות ולבצע ניתוח מהיר. הגנה על הענן ושלחת דוגמאות אוטומטית פועלות יחד עם Microsoft Defender אנטי-וירוס כדי להגן מפני איומים חדשים ומתעוררים.

אם זוהה קובץ חשוד או זדוני, מדגם נשלח לשירות הענן לצורך ניתוח Microsoft Defender האנטי-וירוס חוסם את הקובץ. ברגע שמתבצעת קביעה, מה שקורה במהירות, הקובץ מופץ או נחסם על-ידי Microsoft Defender אנטי-וירוס.

מאמר זה מספק מבט כולל על הגנה בענן ושליחת דוגמאות אוטומטית ב- Microsoft Defender אנטי-וירוס. לקבלת מידע נוסף על הגנה בענן, ראה הגנה בענן ו- Microsoft Defender אנטי-וירוס.

כיצד הגנה על הענן ושלחת דוגמאות פועלות יחד

כדי להבין כיצד הגנה על הענן פועלת יחד עם שליחת דוגמאות, כדאי להבין כיצד Defender for Endpoint מגן מפני איומים. Microsoft Intelligent Security Graph מנטר נתוני איומים מרשת רחבה של חיישנים. Microsoft שכבות מודלים מבוססי-ענן של למידת מכונה, אשר יכולים להעריך קבצים בהתבסס על אותות מהלקוח והרשת העצום של חיישנים ונתונים ב- Intelligent Security Graph. גישה זו מעניקה ל- Defender for Endpoint את היכולת לחסום איומים רבים שלא ראו מעולם.

התמונה הבאה מתארת את זרימת ההגנה על הענן ושליחת דוגמאות עם Microsoft Defender אנטי-וירוס:

Microsoft Defender אנטי-וירוס והגנה בענן חוסם באופן אוטומטי את האיומים החדשים ביותר שלא נראה מעולם במבט ראשון באמצעות השיטות הבאות:

מודלים קלים של למידת מכונה המבוססים על לקוח, חוסמים תוכנות זדוניות חדשות ולא ידועות.
ניתוח התנהגותי מקומי, מפסיק מתקפות מבוססות קבצים ופחות קבצים.
אנטי-וירוס מדויק במיוחד, זיהוי תוכנות זדוניות נפוצות באמצעות טכניקות כלליות ויורדניות.
הגנה מתקדמת מבוססת ענן מסופקת עבור מקרים שבהם Microsoft Defender אנטי-וירוס הפועל ב נקודת הקצה זקוק לבינה נוספת כדי לאמת את המטרה של קובץ חשוד.
1. במקרה שהאנטי Microsoft Defender-וירוס לא יכול לקבוע באופן ברור, המטה-נתונים של הקובץ נשלחים לשירות ההגנה על הענן. לעתים קרובות באלפיות שניה, שירות ההגנה בענן יכול לקבוע בהתבסס על המטה-נתונים אם הקובץ זדוני או לא מהווה איום.
  - שאילתת הענן של מטה-נתונים של קבצים יכולה להיות תוצאה של אופן פעולה, סימון של האינטרנט או מאפיינים אחרים שבהם לא נקבעת גזר דין ברור.
  - תוכן מנה קטן של מטה-נתונים נשלח, כדי להגיע לסיום דין דין של תוכנות זדוניות או לא איום. המטה-נתונים אינם כוללים מידע המאפשר זיהוי אישי (PII). פעולת Hash של מידע כגון שמות קבצים.
  - יכול להיות סינכרוני או אסינכרוני. באופן סינכרוני, הקובץ לא ייפתח עד שהענן יעובד על פסק דין. עבור אסינכרוני, הקובץ נפתח בזמן שהגנת הענן מבצעת את הניתוח שלו.
  - מטה-נתונים יכולים לכלול תכונות PE, תכונות קובץ סטטיות, תכונות דינאמיות הקשריות ועוד (ראה דוגמאות של מטה-נתונים שנשלחו לשירות ההגנה בענן).
2. לאחר בחינת המטה-נתונים, אם Microsoft Defender בענן של אנטי-וירוס אינה יכולה להגיע לפסק דין חד משמעי, הוא יכול לבקש דגימה של הקובץ לבדיקה נוספת. בקשה זו מכבדת את תצורת ההגדרות לשליחה לדוגמה:
  1. שלח דוגמאות בטוחות באופן אוטומטי
    - דוגמאות בטוחות הן דוגמאות שנחשבות אינן מכילות בדרך כלל נתוני PII כגון: .bat, .scr, .dll, .exe.
    - אם יש להניח שהקובץ מכיל PII, המשתמש מקבל בקשה לאפשר שליחת דוגמת קובץ.
    - אפשרות זו היא ברירת המחדל ב- Windows, macOS ו- Linux.
  2. הצג בקשה תמיד
    - אם נקבעה תצורה, המשתמש תמיד יתבקש לספק הסכמה לפני שליחת קובץ
    - הגדרה זו אינה זמינה בהגנה על ענן macOS ו- Linux
  3. שלח את כל הדוגמאות באופן אוטומטי
    - אם התצורה נקבעה, כל הדוגמאות נשלחות באופן אוטומטי
    - אם ברצונך ששליחה לדוגמה תכלול פקודות מאקרו המוטבעות במסמכים Word שלך, עליך לבחור באפשרות 'שלח את כל הדוגמאות באופן אוטומטי'
    - הגדרה זו אינה זמינה בהגנה על ענן macOS
  4. אל תשלח
    - מונע "חסימה במבט ראשון" בהתבסס על ניתוח דוגמאות קבצים
    - "אל תשלח" היא המקבילה להגדרה 'לא זמין' במדיניות macOS ולהגדרה 'ללא' במדיניות Linux.
    - מטה-נתונים נשלחים לגילויים גם כאשר שליחה לדוגמה אינה זמינה
3. לאחר שליחת הקבצים להגנה על הענן, ניתן לסרוק, להפעיל ולעובד את הקבצים שנשלחו באמצעות מודלים גדולים של למידת מכונה לניתוח נתונים כדי להגיע לפסק דין. ביטול ניתוח של מגבלות הגנה המסופקות על-ידי הענן רק למה שהלקוח יכול לספק באמצעות מודלים מקומיים של למידת מכונה ופונקציות דומות.

חשוב

חסימה במבט ראשון (BAFS) מספקת נפץ וניתוח כדי לקבוע אם קובץ או תהליך בטוחים. BAFS יכול להשהות את פתיחת הקובץ באופן רגעי עד לגשת לפסק הדין. אם תהפוך שליחה לדוגמה ללא זמינה, גם BAFS לא יהיה זמין וניתוח קבצים יהיה מוגבל למטה-נתונים בלבד. אנו ממליצים לשמור על שליחת דוגמאות ו- BAFS זמינים. לקבלת מידע נוסף, ראה מהו "חסימה במבט ראשון"?

רמות הגנה בענן

הגנה בענן מופעלת כברירת מחדל ב- Microsoft Defender אנטי-וירוס. מומלץ להשאיר את ההגנה בענן מופעלת, על אף שניתן לקבוע את התצורה של רמת ההגנה עבור הארגון שלך. ראה ציון רמת ההגנה שסופקה על-ידי הענן עבור Microsoft Defender אנטי-וירוס.

הגדרות שליחה לדוגמה

בנוסף לקביעת התצורה של רמת ההגנה בענן, באפשרותך לקבוע את תצורת הגדרות ההגשה לדוגמה. באפשרותך לבחור מבין כמה אפשרויות:

שלח דוגמאות בטוחות באופן אוטומטי (אופן הפעולה המוגדר כברירת מחדל)
שלח את כל הדוגמאות באופן אוטומטי
אל תשלח דוגמאות

עצה

השימוש באפשרות Send all samples automatically מספק אבטחה טובה יותר, מכיוון שתקיפות דיוג משמשות לכמות גבוהה של תקיפות גישה ראשוניות. לקבלת מידע אודות אפשרויות תצורה באמצעות Intune, Configuration Manager, מדיניות קבוצתית או PowerShell, ראה הפעלת הגנה בענן ב- Microsoft Defender אנטי-וירוס.

דוגמאות של מטה-נתונים שנשלחו לשירות ההגנה בענן

הטבלה הבאה מפרטת דוגמאות של מטה-נתונים שנשלחו לניתוח על-ידי הגנה בענן:

סוג	תכונה
תכונות מחשב	`OS version` `Processor` `Security settings`
תכונות דינאמיות והקשריות	תהליך והתקנה `ProcessName` `ParentProcess` `TriggeringSignature` `TriggeringFile` `Download IP and url` `HashedFullPath` `Vpath` `RealPath` `Parent/child relationships` התנהגותית `Connection IPs` `System changes` `API calls` `Process injection` אזור `Locale setting` `Geographical location`
תכונות קובץ סטטי	קוד Hash חלקי מלא `ClusterHash` `Crc16` `Ctph` `ExtendedKcrcs` `ImpHash` `Kcrc3n` `Lshash` `LsHashs` `PartialCrc1` `PartialCrc2` `PartialCrc3` `Sha1` `Sha256` מאפייני קובץ `FileName` `FileSize` פרטי חותם `AuthentiCodeHash` `Issuer` `IssuerHash` `Publisher` `Signer` `SignerHash`

דוגמאות מטופלות בנתוני לקוח

במקרה שאתה תוהה מה קורה עם שליחות לדוגמה, Defender for Endpoint מתייחס לכל דוגמאות הקבצים בנתוני לקוחות. Microsoft מכבדת הן את הבחירות הגיאוגרפיות והן את אפשרויות שמירת הנתונים שהארגון שלך בחר בעת קליטתם ל- Defender for Endpoint.

בנוסף, Defender for Endpoint קיבל אישורי תאימות מרובים, המפגין המשך התצייתות לערכה מתוחכמת של בקרות תאימות:

ISO 27001
ISO 27018
SOC I, II, III
Pci

לקבלת פרטים נוספים, עיינו במקורות הבאים:

תרחישים אחרים של שליחת דוגמאות קבצים

קיימים שני תרחישים נוספים שבהם Defender for Endpoint עשוי לבקש דוגמת קובץ שאינה קשורה להגנה בענן ב- Microsoft Defender Antivirus. תרחישים אלה מתוארים בטבלה הבאה:

תרחיש	תיאור
אוסף דוגמאות של קבצים ידניים בפורטל Microsoft Defender שלך	בעת צירוף מכשירים ל- Defender for Endpoint, באפשרותך לקבוע הגדרות עבור זיהוי נקודות קצה ותגובה (EDR). לדוגמה, קיימת הגדרה המאפשרת הפעלה של אוספים לדוגמה מהמכשיר, שניתן לבלבל בקלות עם הגדרות ההגשה לדוגמה המתוארות במאמר זה. הגדרת EDR שולטת באוסף לדוגמה של קבצים ממכשירים כאשר תתבקש לעשות זאת באמצעות פורטל Microsoft Defender, והיא כפופה לתפקידים ולהרשאות שכבר נקבעו. הגדרה זו יכולה לאפשר או לחסום איסוף קבצים נקודת הקצה עבור תכונות כגון ניתוח עמוק בפורטל Microsoft Defender שלך. אם הגדרה זו אינה מוגדרת, ברירת המחדל היא להפוך אוסף לדוגמה לזמין. קבל מידע על הגדרות התצורה של Defender for Endpoint, ראה: כלים ושיטות קליטת נתונים עבור Windows 10 ב- Defender for Endpoint
בדיקה אוטומטית וניתוח תוכן תגובה	כאשר חקירות אוטומטיות פועלות במכשירים (כאשר הן מוגדרות לפעול באופן אוטומטי בתגובה להתראה או להפעלה ידנית), ניתן לאסוף קבצים המזוהים כחשודים מ נקודות הקצה לבדיקה נוספת. במידת הצורך, ניתן להפוך את תכונת ניתוח התוכן של הקובץ לבדיקה אוטומטית ללא זמינה בפורטל Microsoft Defender אוטומטי. ניתן לשנות את שמות סיומות הקבצים גם כדי להוסיף או להסיר סיומות עבור סוגי קבצים אחרים ש יישלחו באופן אוטומטי במהלך חקירה אוטומטית. לקבלת מידע נוסף, ראה ניהול העלאות של קבצי אוטומציה.

תרחיש

תיאור

אוסף דוגמאות של קבצים ידניים בפורטל Microsoft Defender שלך

בעת צירוף מכשירים ל- Defender for Endpoint, באפשרותך לקבוע הגדרות עבור זיהוי נקודות קצה ותגובה (EDR). לדוגמה, קיימת הגדרה המאפשרת הפעלה של אוספים לדוגמה מהמכשיר, שניתן לבלבל בקלות עם הגדרות ההגשה לדוגמה המתוארות במאמר זה.

הגדרת EDR שולטת באוסף לדוגמה של קבצים ממכשירים כאשר תתבקש לעשות זאת באמצעות פורטל Microsoft Defender, והיא כפופה לתפקידים ולהרשאות שכבר נקבעו. הגדרה זו יכולה לאפשר או לחסום איסוף קבצים נקודת הקצה עבור תכונות כגון ניתוח עמוק בפורטל Microsoft Defender שלך. אם הגדרה זו אינה מוגדרת, ברירת המחדל היא להפוך אוסף לדוגמה לזמין.

קבל מידע על הגדרות התצורה של Defender for Endpoint, ראה: כלים ושיטות קליטת נתונים עבור Windows 10 ב- Defender for Endpoint

בדיקה אוטומטית וניתוח תוכן תגובה

כאשר חקירות אוטומטיות פועלות במכשירים (כאשר הן מוגדרות לפעול באופן אוטומטי בתגובה להתראה או להפעלה ידנית), ניתן לאסוף קבצים המזוהים כחשודים מ נקודות הקצה לבדיקה נוספת. במידת הצורך, ניתן להפוך את תכונת ניתוח התוכן של הקובץ לבדיקה אוטומטית ללא זמינה בפורטל Microsoft Defender אוטומטי.

ניתן לשנות את שמות סיומות הקבצים גם כדי להוסיף או להסיר סיומות עבור סוגי קבצים אחרים ש יישלחו באופן אוטומטי במהלך חקירה אוטומטית.

לקבלת מידע נוסף, ראה ניהול העלאות של קבצי אוטומציה.

עצה

אם אתה מחפש מידע הקשור לאנטי-וירוס עבור פלטפורמות אחרות, ראה:

למידע נוסף

מבט כולל על הגנה מהדור הבא

קבע תצורה של תיקון עבור Microsoft Defender אנטי-וירוס.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.

שתף באמצעות