הגנה על הענן ושלחת דוגמאות באנטי Microsoft Defender Antivirus
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- האנטי-וירוס של Microsoft Defender
פלטפורמות
Windows
Macos
לינוקס
שרת Windows
Microsoft Defender-וירוס משתמשת במנגנונים חכמים רבים כדי לזהות תוכנות זדוניות. אחת היכולות החזקות ביותר היא היכולת להחיל את העוצמה של הענן לזהות תוכנות זדוניות ולבצע ניתוח מהיר. הגנה על הענן ושלחת דוגמאות אוטומטית פועלות יחד עם Microsoft Defender אנטי-וירוס כדי להגן מפני איומים חדשים ומתעוררים.
אם זוהה קובץ חשוד או זדוני, מדגם נשלח לשירות הענן לצורך ניתוח Microsoft Defender האנטי-וירוס חוסם את הקובץ. ברגע שמתבצעת קביעה, מה שקורה במהירות, הקובץ מופץ או נחסם על-ידי Microsoft Defender אנטי-וירוס.
מאמר זה מספק מבט כולל על הגנה בענן ושליחת דוגמאות אוטומטית ב- Microsoft Defender אנטי-וירוס. לקבלת מידע נוסף על הגנה בענן, ראה הגנה בענן ו- Microsoft Defender אנטי-וירוס.
כיצד הגנה על הענן ושלחת דוגמאות פועלות יחד
כדי להבין כיצד הגנה על הענן פועלת יחד עם שליחת דוגמאות, כדאי להבין כיצד Defender for Endpoint מגן מפני איומים. Microsoft Intelligent Security Graph מנטר נתוני איומים מרשת רחבה של חיישנים. Microsoft שכבות מודלים מבוססי-ענן של למידת מכונה, אשר יכולים להעריך קבצים בהתבסס על אותות מהלקוח והרשת העצום של חיישנים ונתונים ב- Intelligent Security Graph. גישה זו מעניקה ל- Defender for Endpoint את היכולת לחסום איומים רבים שלא ראו מעולם.
התמונה הבאה מתארת את זרימת ההגנה על הענן ושליחת דוגמאות עם Microsoft Defender אנטי-וירוס:
Microsoft Defender אנטי-וירוס והגנה בענן חוסם באופן אוטומטי את האיומים החדשים ביותר שלא נראה מעולם במבט ראשון באמצעות השיטות הבאות:
מודלים קלים של למידת מכונה המבוססים על לקוח, חוסמים תוכנות זדוניות חדשות ולא ידועות.
ניתוח התנהגותי מקומי, מפסיק מתקפות מבוססות קבצים ופחות קבצים.
אנטי-וירוס מדויק במיוחד, זיהוי תוכנות זדוניות נפוצות באמצעות טכניקות כלליות ויורדניות.
הגנה מתקדמת מבוססת ענן מסופקת עבור מקרים שבהם Microsoft Defender אנטי-וירוס הפועל ב נקודת הקצה זקוק לבינה נוספת כדי לאמת את המטרה של קובץ חשוד.
במקרה שהאנטי Microsoft Defender-וירוס לא יכול לקבוע באופן ברור, המטה-נתונים של הקובץ נשלחים לשירות ההגנה על הענן. לעתים קרובות באלפיות שניה, שירות ההגנה בענן יכול לקבוע בהתבסס על המטה-נתונים אם הקובץ זדוני או לא מהווה איום.
- שאילתת הענן של מטה-נתונים של קבצים יכולה להיות תוצאה של אופן פעולה, סימון של האינטרנט או מאפיינים אחרים שבהם לא נקבעת גזר דין ברור.
- תוכן מנה קטן של מטה-נתונים נשלח, כדי להגיע לסיום דין דין של תוכנות זדוניות או לא איום. המטה-נתונים אינם כוללים מידע המאפשר זיהוי אישי (PII). פעולת Hash של מידע כגון שמות קבצים.
- יכול להיות סינכרוני או אסינכרוני. באופן סינכרוני, הקובץ לא ייפתח עד שהענן יעובד על פסק דין. עבור אסינכרוני, הקובץ נפתח בזמן שהגנת הענן מבצעת את הניתוח שלו.
- מטה-נתונים יכולים לכלול תכונות PE, תכונות קובץ סטטיות, תכונות דינאמיות הקשריות ועוד (ראה דוגמאות של מטה-נתונים שנשלחו לשירות ההגנה בענן).
לאחר בחינת המטה-נתונים, אם Microsoft Defender בענן של אנטי-וירוס אינה יכולה להגיע לפסק דין חד משמעי, הוא יכול לבקש דגימה של הקובץ לבדיקה נוספת. בקשה זו מכבדת את תצורת ההגדרות לשליחה לדוגמה:
שלח דוגמאות בטוחות באופן אוטומטי
- דוגמאות בטוחות הן דוגמאות שנחשבות אינן מכילות בדרך כלל נתוני PII כגון: .bat, .scr, .dll, .exe.
- אם יש להניח שהקובץ מכיל PII, המשתמש מקבל בקשה לאפשר שליחת דוגמת קובץ.
- אפשרות זו היא ברירת המחדל ב- Windows, macOS ו- Linux.
הצג בקשה תמיד
- אם נקבעה תצורה, המשתמש תמיד יתבקש לספק הסכמה לפני שליחת קובץ
- הגדרה זו אינה זמינה בהגנה על ענן macOS ו- Linux
שלח את כל הדוגמאות באופן אוטומטי
- אם התצורה נקבעה, כל הדוגמאות נשלחות באופן אוטומטי
- אם ברצונך ששליחה לדוגמה תכלול פקודות מאקרו המוטבעות במסמכים Word שלך, עליך לבחור באפשרות 'שלח את כל הדוגמאות באופן אוטומטי'
- הגדרה זו אינה זמינה בהגנה על ענן macOS
אל תשלח
- מונע "חסימה במבט ראשון" בהתבסס על ניתוח דוגמאות קבצים
- "אל תשלח" היא המקבילה להגדרה 'לא זמין' במדיניות macOS ולהגדרה 'ללא' במדיניות Linux.
- מטה-נתונים נשלחים לגילויים גם כאשר שליחה לדוגמה אינה זמינה
לאחר שליחת הקבצים להגנה על הענן, ניתן לסרוק, להפעיל ולעובד את הקבצים שנשלחו באמצעות מודלים גדולים של למידת מכונה לניתוח נתונים כדי להגיע לפסק דין. ביטול ניתוח של מגבלות הגנה המסופקות על-ידי הענן רק למה שהלקוח יכול לספק באמצעות מודלים מקומיים של למידת מכונה ופונקציות דומות.
חשוב
חסימה במבט ראשון (BAFS) מספקת נפץ וניתוח כדי לקבוע אם קובץ או תהליך בטוחים. BAFS יכול להשהות את פתיחת הקובץ באופן רגעי עד לגשת לפסק הדין. אם תהפוך שליחה לדוגמה ללא זמינה, גם BAFS לא יהיה זמין וניתוח קבצים יהיה מוגבל למטה-נתונים בלבד. אנו ממליצים לשמור על שליחת דוגמאות ו- BAFS זמינים. לקבלת מידע נוסף, ראה מהו "חסימה במבט ראשון"?
רמות הגנה בענן
הגנה בענן מופעלת כברירת מחדל ב- Microsoft Defender אנטי-וירוס. מומלץ להשאיר את ההגנה בענן מופעלת, על אף שניתן לקבוע את התצורה של רמת ההגנה עבור הארגון שלך. ראה ציון רמת ההגנה שסופקה על-ידי הענן עבור Microsoft Defender אנטי-וירוס.
הגדרות שליחה לדוגמה
בנוסף לקביעת התצורה של רמת ההגנה בענן, באפשרותך לקבוע את תצורת הגדרות ההגשה לדוגמה. באפשרותך לבחור מבין כמה אפשרויות:
- שלח דוגמאות בטוחות באופן אוטומטי (אופן הפעולה המוגדר כברירת מחדל)
- שלח את כל הדוגמאות באופן אוטומטי
- אל תשלח דוגמאות
עצה
השימוש באפשרות Send all samples automatically
מספק אבטחה טובה יותר, מכיוון שתקיפות דיוג משמשות לכמות גבוהה של תקיפות גישה ראשוניות.
לקבלת מידע אודות אפשרויות תצורה באמצעות Intune, Configuration Manager, מדיניות קבוצתית או PowerShell, ראה הפעלת הגנה בענן ב- Microsoft Defender אנטי-וירוס.
דוגמאות של מטה-נתונים שנשלחו לשירות ההגנה בענן
הטבלה הבאה מפרטת דוגמאות של מטה-נתונים שנשלחו לניתוח על-ידי הגנה בענן:
סוג | תכונה |
---|---|
תכונות מחשב | OS version Processor Security settings |
תכונות דינאמיות והקשריות | תהליך והתקנה ProcessName ParentProcess TriggeringSignature TriggeringFile Download IP and url HashedFullPath Vpath RealPath Parent/child relationships התנהגותית Connection IPs System changes API calls Process injection אזור Locale setting Geographical location |
תכונות קובץ סטטי | קוד Hash חלקי מלא ClusterHash Crc16 Ctph ExtendedKcrcs ImpHash Kcrc3n Lshash LsHashs PartialCrc1 PartialCrc2 PartialCrc3 Sha1 Sha256 מאפייני קובץ FileName FileSize פרטי חותם AuthentiCodeHash Issuer IssuerHash Publisher Signer SignerHash |
דוגמאות מטופלות בנתוני לקוח
במקרה שאתה תוהה מה קורה עם שליחות לדוגמה, Defender for Endpoint מתייחס לכל דוגמאות הקבצים בנתוני לקוחות. Microsoft מכבדת הן את הבחירות הגיאוגרפיות והן את אפשרויות שמירת הנתונים שהארגון שלך בחר בעת קליטתם ל- Defender for Endpoint.
בנוסף, Defender for Endpoint קיבל אישורי תאימות מרובים, המפגין המשך התצייתות לערכה מתוחכמת של בקרות תאימות:
- ISO 27001
- ISO 27018
- SOC I, II, III
- Pci
לקבלת פרטים נוספים, עיינו במקורות הבאים:
תרחישים אחרים של שליחת דוגמאות קבצים
קיימים שני תרחישים נוספים שבהם Defender for Endpoint עשוי לבקש דוגמת קובץ שאינה קשורה להגנה בענן ב- Microsoft Defender Antivirus. תרחישים אלה מתוארים בטבלה הבאה:
תרחיש | תיאור |
---|---|
אוסף דוגמאות של קבצים ידניים בפורטל Microsoft Defender שלך | בעת צירוף מכשירים ל- Defender for Endpoint, באפשרותך לקבוע הגדרות עבור זיהוי נקודות קצה ותגובה (EDR). לדוגמה, קיימת הגדרה המאפשרת הפעלה של אוספים לדוגמה מהמכשיר, שניתן לבלבל בקלות עם הגדרות ההגשה לדוגמה המתוארות במאמר זה. הגדרת EDR שולטת באוסף לדוגמה של קבצים ממכשירים כאשר תתבקש לעשות זאת באמצעות פורטל Microsoft Defender, והיא כפופה לתפקידים ולהרשאות שכבר נקבעו. הגדרה זו יכולה לאפשר או לחסום איסוף קבצים נקודת הקצה עבור תכונות כגון ניתוח עמוק בפורטל Microsoft Defender שלך. אם הגדרה זו אינה מוגדרת, ברירת המחדל היא להפוך אוסף לדוגמה לזמין. קבל מידע על הגדרות התצורה של Defender for Endpoint, ראה: כלים ושיטות קליטת נתונים עבור Windows 10 ב- Defender for Endpoint |
בדיקה אוטומטית וניתוח תוכן תגובה | כאשר חקירות אוטומטיות פועלות במכשירים (כאשר הן מוגדרות לפעול באופן אוטומטי בתגובה להתראה או להפעלה ידנית), ניתן לאסוף קבצים המזוהים כחשודים מ נקודות הקצה לבדיקה נוספת. במידת הצורך, ניתן להפוך את תכונת ניתוח התוכן של הקובץ לבדיקה אוטומטית ללא זמינה בפורטל Microsoft Defender אוטומטי. ניתן לשנות את שמות סיומות הקבצים גם כדי להוסיף או להסיר סיומות עבור סוגי קבצים אחרים ש יישלחו באופן אוטומטי במהלך חקירה אוטומטית. לקבלת מידע נוסף, ראה ניהול העלאות של קבצי אוטומציה. |
עצה
אם אתה מחפש מידע הקשור לאנטי-וירוס עבור פלטפורמות אחרות, ראה:
- הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- macOS
- Microsoft Defender עבור נקודת קצה ב- Mac
- הגדרות מדיניות אנטי-וירוס של macOS עבור אנטי-וירוס של Microsoft Defender עבור Intune
- הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- Linux
- בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux
- קביעת התצורה של Defender עבור נקודת קצה בתכונות Android
- קביעת התצורה של Microsoft Defender עבור נקודת קצה בתכונות iOS
למידע נוסף
קבע תצורה של תיקון עבור Microsoft Defender אנטי-וירוס.
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור