טיפול בתוצאות חיוביות/שליליות מוטעות ב- Microsoft Defender עבור נקודת קצה

חל על:

• תוכנית 1 של Defender עבור נקודת קצה
• Defender for Endpoint Plan 2
• האנטי-וירוס של Microsoft Defender

פלטפורמות

• Windows

בפתרונות להגנה על נקודות קצה, תוצאה חיובית מוטעית היא ישות, כגון קובץ או תהליך שזוהה וזיהה תוכנות זדוניות למרות שהישות אינה מהווה למעשה איום. תוצאה שלילית מוטעית היא ישות שלא זוהתה כאיום, למרות שהיא למעשה זדונית. תוצאות חיוביות/שליליות מוטעות עשויות להתרחש עם כל פתרון הגנה מפני איומים, כולל Defender for Endpoint.

למרבה המזל, ניתן לבצע שלבים כדי לטפל בבעיות מסוגים אלה ולהפחית ןן. אם אתה רואה תוצאות חיוביות/שליליות מוטעות המתרחשות ב- Defender for Endpoint, פעולות האבטחה שלך יכולות לבצע פעולות כדי לטפל בהן באמצעות התהליך הבא:

1. סקירה וסווג של התראות
2. סקור פעולות תיקון שבוצעו
3. סקירה והגדרה של פריטים שאינם נכללים
4. שליחת ישות לצורך ניתוח
5. סקור והתאם את הגדרות ההגנה מפני איומים

תוכל לקבל עזרה אם אתה עדיין נתקל בבעיות עם תוצאות חיוביות/שליליות מוטעות לאחר ביצוע המשימות המתוארות במאמר זה. ראה עדיין זקוק לעזרה?

הערה

מאמר זה מיועד להדרכה עבור מפעילי אבטחה ומנהלי אבטחה המשתמשים ב- Defender for Endpoint.

חלק 1: סקירה וסווג של התראות

אם אתה רואה התראה שמופיעה מכיוון שפריט כלשהו זוהה כסדון או חשוד והוא לא אמור להיות, באפשרותך להעלים את ההתראה עבור ישות זו. באפשרותך גם להעלים התראות שאינן בהכרח תוצאות חיוביות מוטעות, אך אינן יעילות. מומלץ גם לסווג התראות.

ניהול ההתראות שלך וסווג תוצאות חיוביות מוטעות/True עוזרות לאמן את פתרון ההגנה מפני איומים, ובאפשרותך לצמצם את מספר תוצאה חיובית מוטעית או תוצאות שליליות מוטעות לאורך זמן. נקיטת שלבים אלה גם עוזרת להפחית את הרעשים בתור, כך שצוות האבטחה שלך יוכל להתמקד בפריטים בעבודה בעדיפות גבוהה יותר.

קביעה אם התראה מדויקת

לפני שאתה מסווג או מעלים התראה, קבע אם ההתראה מדויקת, תוצאה חיובית מוטעית או חיובית.

1. בפורטל Microsoft Defender, בחלונית הניווט, בחר מקרים & התראות ולאחר מכן בחר התראות.

2. בחר התראה כדי להציג פרטים נוספים לגביה. (לקבלת עזרה עבור משימה זו, ראה סקירת התראות ב- Defender for Endpoint.)

3. בהתאם למצב ההתראה, בצע את השלבים המתוארים בטבלה הבאה:

   מצב התראה	מה ניתן לעשות
   ההתראה מדויקת	הקצה את ההתראה ולאחר מכן בדוק אותה עוד יותר.
   ההתראה היא חיובית מוטעית	1. סיווג ההתראה כתוצאה חיובית מוטעית. 2. העלם את ההתראה. 3. Create מחוון עבור Microsoft Defender עבור נקודת קצה. 4. שלח קובץ ל- Microsoft לצורך ניתוח.
   ההתראה מדויקת, אך מועילה (לא משנה)	סמן את ההתראה כתוצאת חיובית אמיתית ולאחר מכן העלם את ההתראה.

סיווג התראה

ניתן לסווג התראות כתוצאה חיובית מוטעית או כתוצאה חיובית אמיתית Microsoft Defender הפורטל. סיווג התראות עוזר להכשיר את Defender עבור נקודת קצה כך שלאורך זמן, תראה התראות נכונות יותר ופחות התראות מוטעות.

1. בפורטל Microsoft Defender, בחלונית הניווט, בחר אירועים &, בחר התראות ולאחר מכן בחר התראה.

2. עבור ההתראה שנבחרה, בחר נהל התראה. חלונית תפריט נשלף נפתחת.

3. במקטע נהל התראה, בשדה סיווג, מסווג את ההתראה (חיובית אמיתית, מידע, פעילות צפויה או תוצאות חיוביות מוטעות).

עצה

לקבלת מידע נוסף אודות העלם של התראות, ראה ניהול התראות של Defender עבור נקודות קצה. כמו כן, אם הארגון שלך משתמש בשרת של מידע אבטחה וניהול אירועים (SIEM), הקפד להגדיר גם כלל דיכוי שם.

העלם התראה

אם יש לך התראות הן תוצאות חיוביות מוטעות או תוצאות חיוביות אמתיות, אך עבור אירועים לא חשובים, באפשרותך להעלים התראות אלה ב- Microsoft Defender XDR. העלם התראות עוזר להפחית את הרעש בתור.

1. בפורטל Microsoft Defender, בחלונית הניווט, בחר מקרים & התראות ולאחר מכן בחר התראות.

2. בחר התראה שברצונך להעלים כדי לפתוח את חלונית הפרטים שלה.

3. בחלונית פרטים, בחר את שלוש הנקודות (...) ולאחר מכן בחר Create דיכוי.

4. ציין את כל ההגדרות עבור כלל ההדחקה ולאחר מכן בחר שמור.

עצה

זקוק לעזרה עם כללי דיכוי? ראה העלם התראה וצור כלל דיכוי חדש.

חלק 2: סקירת פעולות תיקון

פעולות תיקון, כגון שליחת קובץ להסגר או הפסקת תהליך, נלקחות בישויות (כגון קבצים) שזוהו כאיומים. כמה סוגים של פעולות תיקון מתרחשים באופן אוטומטי באמצעות חקירה אוטומטית Microsoft Defender אנטי-וירוס:

• העבר קובץ להסגר
• הסרת מפתח רישום
• Kill a process
• הפסקת שירות
• הפיכת מנהל התקן ללא זמין
• הסרת פעילות מתוזמנת

פעולות אחרות, כגון הפעלת סריקת אנטי-וירוס או איסוף חבילת חקירה, מתרחשות באופן ידני או באמצעות Live Response. לא ניתן לבטל פעולות שבוצעו באמצעות Live Response.

לאחר שתסיים לסקור את ההתראות שלך, השלב הבא הוא לסקור את פעולות התיקון. אם פעולות כלשהן בוצעו כתוצאה מתוצאות חיוביות מוטעות, באפשרותך לבטל את רוב הסוגים של פעולות תיקון. באופן ספציפי, באפשרותך:

• שחזור קובץ בהסגר ממרכז הפעולות
• ביטול פעולות מרובות בו-זמנית
• הסרת קובץ מהסגר במכשירים מרובים. ו-
• שחזר קובץ מהסגר

לאחר שתסיים לסקור ולבטל פעולות שבוצעו כתוצאה מהתוצאות החיוביות המוזבות, המשך לסקור או להגדיר אי-הכללות.

סקירת פעולות שהושלמו

1. בפורטל Microsoft Defender, בחר פעולות & שליחות ולאחר מכן בחר מרכז הפעולות.

2. בחר בכרטיסיה היסטוריה כדי להציג רשימה של פעולות שבוצעו.

3. בחר פריט כדי להציג פרטים נוספים אודות פעולת התיקון שבוצעה.

שחזור קובץ בהסגר ממרכז הפעולות

1. בפורטל Microsoft Defender, בחר פעולות & שליחות ולאחר מכן בחר מרכז הפעולות.

2. בכרטיסיה היסטוריה , בחר פעולה שברצונך לבטל.

3. בחלונית התפריט הנשלף, בחר בטל. אם לא ניתן לבטל את הפעולה באמצעות שיטה זו, לא תראה לחצן בטל . (לקבלת מידע נוסף, ראה ביטול פעולות שהושלמו.)

ביטול פעולות מרובות בו-זמנית

1. בפורטל Microsoft Defender, בחר פעולות & שליחות ולאחר מכן בחר מרכז הפעולות.

2. בכרטיסיה היסטוריה , בחר את הפעולות שברצונך לבטל.

3. בחלונית התפריט הנשלף בצד השמאלי של המסך, בחר בטל.

הסרת קובץ מהסגר בין מכשירים מרובים

1. בפורטל Microsoft Defender, בחר פעולות & שליחות ולאחר מכן בחר מרכז הפעולות.

2. בכרטיסיה היסטוריה, בחר קובץ הכולל את קובץ ההסגר מסוג פעולה.

3. בחלונית בצד השמאלי של המסך, בחר החל על X מופעים נוספים של קובץ זה ולאחר מכן בחר בטל.

סקירת הודעות בהסגר

1. בפורטל Microsoft Defender, בחלונית הניווט, תחת שיתוף פעולה בדואר אלקטרוני &, בחר מעקב אחר הודעות Exchange.

2. בחר הודעה כדי להציג פרטים.

שחזר קובץ מהסגר

באפשרותך לחזור ולהסיר קובץ מהסגר אם קבעת שהקובץ נקי לאחר חקירה. הפעל את הפקודה הבאה בכל מכשיר שבו הקובץ הועבר להסגר.

1. פתח את שורת הפקודה כמנהל מערכת במכשיר:

   1. עבור אל התחל והקלדcmd.
   2. לחץ באמצעות לחצן העכבר הימני על שורת הפקודה ובחר הפעל כמנהל מערכת.

2. הקלד את הפקודה הבאה והקש Enter:

   "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All
   

   חשוב

   בתרחישים מסוימים, ThreatName עשוי להופיע כ- EUS:Win32/CustomEnterpriseBlock!cl. Defender for Endpoint ישחזר את כל הקבצים החסומים המותאמים אישית שהועברו להסגר במכשיר זה ב- 30 הימים האחרונים. ייתכן שלא ניתן יהיה לשחזר קובץ שהוסגר כהסגר כהאיום הפוטנציאלי ברשת. אם משתמש מנסה לשחזר את הקובץ לאחר ההסגר, ייתכן שקובץ זה אינו נגיש. ייתכן שהבעיה נובעת מבעיית כך שאין למערכת עוד אישורי רשת כדי לגשת לקובץ. בדרך כלל, זוהי תוצאה של כניסה זמנית למערכת או לתיקיה משותפת ופג תוקפם של אסימוני הגישה.

3. בחלונית בצד השמאלי של המסך, בחר החל על X מופעים נוספים של קובץ זה ולאחר מכן בחר בטל.

חלק 3: סקירה או הגדרה של פריטים שאינם נכללים

זהירות

לפני שתגדיר אי הכללה, סקור את המידע המפורט במאמר ניהול אי-הכללות עבור Microsoft Defender עבור נקודת קצה ו- Microsoft Defender אנטי-וירוס. זכור שכל אי הכללה המוגדרת מורידה את רמת ההגנה שלך.

אי הכללה היא ישות, כגון קובץ או כתובת URL, שאתה מציין כה חריגה לפעולות תיקון. עדיין ניתן לזהות את הישות שלא נכללה, אך לא ינקטו פעולות תיקון בישות זו. לדוגמה, הקובץ או התהליך שזוהו לא יופסקו, יישלחו להסגר, יוסרו או ישנו באופן אחר על-ידי Microsoft Defender עבור נקודת קצה.

כדי להגדיר אי-הכללות בין Microsoft Defender עבור נקודת קצה, בצע את המשימות הבאות:

• הגדרת אי-הכללות עבור אנטי Microsoft Defender Antivirus
• Create מחווני "אפשר" עבור Microsoft Defender עבור נקודת קצה

הערה

Microsoft Defender של אנטי-וירוס חלים רק על הגנת אנטי-וירוס, ולא על-פני Microsoft Defender עבור נקודת קצה אחרות. כדי לא לכלול קבצים באופן נרחב, השתמש בפריטים שאינם נכללים Microsoft Defender אנטי-וירוס ומחוונים מותאמים אישית עבור Microsoft Defender עבור נקודת קצה.

ההליכים בסעיף זה מתארים כיצד להגדיר אי-הכללות ומחוונים.

פריטים שאינם נכללים באנטי Microsoft Defender Antivirus

באופן כללי, אין צורך להגדיר פריטים שאינם נכללים ב- Microsoft Defender אנטי-וירוס. הקפד להגדיר אי-הכללות לעתים רחוקות, ושתכלול רק את הקבצים, התיקיות, התהליכים והקבצים שפתחת בתהליך, והתוצאה היא תוצאות חיוביות מוטעות. בנוסף, הקפד לסקור את הפריטים שלא ייכללו באופן קבוע. אנו ממליצים להשתמש Microsoft Intune כדי להגדיר או לערוך את הפריטים שאינם נכללים באנטי-וירוס; עם זאת, באפשרותך להשתמש בשיטות אחרות, כגון מדיניות קבוצתית (ראה ניהול Microsoft Defender עבור נקודת קצה.

עצה

זקוק לעזרה עם אי הכללות של אנטי-וירוס? ראה קביעת תצורה ואימתה של פריטים שאינם נכללים Microsoft Defender אנטי-וירוס.

השתמש Intune כדי לנהל אי-הכללות של אנטי-וירוס (עבור פריטי מדיניות קיימים)

1. במרכז הניהול Microsoft Intune, בחר אנטי-וירוס לאבטחת>נקודות קצה ולאחר מכן בחר מדיניות קיימת. (אם אין לך מדיניות קיימת, או אם ברצונך ליצור מדיניות חדשה, דלג אל שימוש ב- Intune כדי ליצור מדיניות אנטי-וירוס חדשה עם אי-הכללות.)

2. בחר מאפיינים, ולצד הגדרות תצורה, בחר ערוך.

3. הרחב את Microsoft Defender של אנטי-וירוס ולאחר מכן ציין את הפריטים שלא ייכללו.

   • סיומות לא נכללות הן פריטים שאינם נכללים שאתה מגדיר לפי סיומת סוג קובץ. סיומות אלה חלות על כל שם קובץ בעל הסיומת המוגדרת ללא נתיב הקובץ או התיקיה. יש להפריד בין כל סוג קובץ ברשימה באמצעות | תו. לדוגמה: lib|obj לקבלת מידע נוסף, ראה ExcludedExtensions.
   • נתיבים שלא נכללו הם אי-הכללות שאתה מגדיר לפי המיקום שלהם (נתיב). סוגים אלה של אי-הכללות ידועים גם כפריטים שאינם נכללים בקובץ ובתיקיה. הפרד כל נתיב ברשימה באמצעות | תו. לדוגמה: C:\Example|C:\Example1 לקבלת מידע נוסף, ראה ExcludedPaths.
   • תהליכים לא נכללים אינם נכללים בקבצים שנפתחים על-ידי תהליכים מסוימים. הפרד בין כל סוג קובץ ברשימה באמצעות | תו. לדוגמה: C:\Example. exe|C:\Example1.exe אי-הכללות אלה אינן עבור התהליכים בפועל. כדי לא לכלול תהליכים, באפשרותך להשתמש בפריטים שאינם נכללים בקובץ ובתיקיה. לקבלת מידע נוסף, ראה לא נכללProcesses.

4. בחר סקירה + שמירה ולאחר מכן בחר שמור.

השתמש Intune כדי ליצור מדיניות אנטי-וירוס חדשה עם אי-הכללות

1. במרכז הניהול של Microsoft Intune, בחראנטי-וירוס של אבטחת נקודת>קצה>+ Create מדיניות.

2. בחר פלטפורמה (כגון Windows 10, Windows 11 ו- Windows Server).

3. עבור פרופיל, בחר Microsoft Defender אנטי-וירוס שאינם נכללים ולאחר מכן בחר Create.

4. בשלב Create, ציין שם ותיאור עבור הפרופיל ולאחר מכן בחר הבא.

5. בכרטיסיה הגדרות תצורה, ציין את הפריטים שאינם נכללים באנטי-וירוס ולאחר מכן בחר הבא.

   • סיומות לא נכללות הן פריטים שאינם נכללים שאתה מגדיר לפי סיומת סוג קובץ. סיומות אלה חלות על כל שם קובץ בעל הסיומת המוגדרת ללא נתיב הקובץ או התיקיה. הפרד בין כל סוג קובץ ברשימה באמצעות | תו. לדוגמה: lib|obj לקבלת מידע נוסף, ראה ExcludedExtensions.
   • נתיבים שלא נכללו הם אי-הכללות שאתה מגדיר לפי המיקום שלהם (נתיב). סוגים אלה של אי-הכללות ידועים גם כפריטים שאינם נכללים בקובץ ובתיקיה. הפרד כל נתיב ברשימה באמצעות | תו. לדוגמה: C:\Example|C:\Example1 לקבלת מידע נוסף, ראה ExcludedPaths.
   • תהליכים לא נכללים אינם נכללים בקבצים שנפתחים על-ידי תהליכים מסוימים. הפרד בין כל סוג קובץ ברשימה באמצעות | תו. לדוגמה: C:\Example. exe|C:\Example1.exe אי-הכללות אלה אינן עבור התהליכים בפועל. כדי לא לכלול תהליכים, באפשרותך להשתמש בפריטים שאינם נכללים בקובץ ובתיקיה. לקבלת מידע נוסף, ראה לא נכללProcesses.

6. בכרטיסיה תגיות טווח , אם אתה משתמש בתגיות טווח בארגון שלך, ציין תגי טווח עבור המדיניות שאתה יוצר. (ראה תגי טווח.)

7. בכרטיסיה מטלות , ציין את המשתמשים והקבוצות שלהם יש להחיל את המדיניות שלך ולאחר מכן בחר הבא. (אם אתה זקוק לעזרה עם מטלות, ראה הקצאת פרופילי משתמשים ומכשירים ב- Microsoft Intune.)

8. בכרטיסיה סקירה + יצירה, סקור את ההגדרות ולאחר מכן בחר Create.

מחוונים עבור Defender עבור נקודת קצה

מחוונים (באופן ספציפי, מחווני סכנה או רכיבי IoC) מאפשרים לצוות פעולות האבטחה להגדיר את הזיהוי, המניעה והמניעה של ישויות. לדוגמה, באפשרותך לציין קבצים מסוימים שיש להשמיט מסריקה ומפעולות תיקון ב- Microsoft Defender עבור נקודת קצה. לחלופין, ניתן להשתמש מחוונים כדי ליצור התראות עבור קבצים מסוימים, כתובות IP או כתובות URL מסוימות.

כדי לציין ישויות כפריטים שאינם נכללים ב- Defender for Endpoint, צור מחווני "allow" עבור ישויות אלה. מחווני "אפשר" כאלה חלים על הגנה מהדור הבא ופתרון & אוטומטי.

ניתן ליצור מחווני "אפשר" עבור:

• קבצים
• כתובות IP, כתובות URL ותחום
• אישורי יישום

מחוונים עבור קבצים

בעת יצירת מחוון "אפשר" עבור קובץ, כגון קובץ הפעלה, הוא מסייע במניעת חסימה של קבצים שהארגון שלך משתמש בהם. קבצים יכולים לכלול קבצי הפעלה ניידים (PE), כגון .exe קבצים .dll .

לפני שתיצור מחוונים עבור קבצים, ודא שהדרישות הבאות עומדות בדרישות:

• Microsoft Defender האנטי-וירוס מוגדר עם הגנה מבוססת ענן זמינה (ראה ניהול הגנה מבוססת ענן)
• גירסת הלקוח נגד תוכנות זדוניות היא 4.18.1901.x ואילך
• מכשירים פועלים Windows 10, גירסה 1703 ואילך או Windows 11; Windows Server 2012 R2 ו- Windows Server 2016 עם הפתרון המאוחד המודרני ב- Defender for Endpoint, או Windows Server 2019, או Windows Server 2022
• התכונה 'חסום או אפשר' מופעלת

מחוונים עבור כתובות IP, כתובות URL או תחומים

בעת יצירת מחוון "אפשר" עבור כתובת IP, כתובת URL או תחום, הוא מסייע במניעת חסימת האתרים או כתובות ה- IP שהארגון שלך משתמש בהם.

לפני שתיצור מחוונים עבור כתובות IP, כתובות URL או תחומים, ודא שהדרישות הבאות עומדות בדרישות הבאות:

• הגנת רשת ב- Defender for Endpoint זמינה במצב חסימה (ראה הפיכת הגנת רשת לזמינה)
• גירסת הלקוח נגד תוכנות זדוניות היא 4.18.1906.x ואילך
• מכשירים פועלים Windows 10, גירסה 1709 או גירסה מתקדמת יותר או Windows 11

מחווני רשת מותאמים אישית מופעלים Microsoft Defender XDR. לקבלת מידע נוסף, ראה תכונות מתקדמות.

מחוונים עבור אישורי יישום

בעת יצירת מחוון "אפשר" עבור אישור יישום, הוא מסייע במניעת חסימה של יישומים, כגון יישומים שפותחו באופן פנימי, שהארגון שלך משתמש בהם. .CER או .PEM סיומות קבצים נתמכות.

לפני שתיצור מחוונים עבור אישורי יישום, ודא שהדרישות הבאות עומדות בדרישות הבאות:

• Microsoft Defender האנטי-וירוס מוגדר עם הגנה מבוססת ענן זמינה (ראה ניהול הגנה מבוססת ענן
• גירסת הלקוח נגד תוכנות זדוניות היא 4.18.1901.x ואילך
• מכשירים פועלים Windows 10, גירסה 1703 ואילך או Windows 11; Windows Server 2012 R2 ו- Windows Server 2016 עם הפתרון המאוחד המודרני ב- Defender for Endpoint, או Windows Server 2019, או Windows Server 2022
• הגדרות ההגנה מפני וירוסים ואיומים עדכניות

עצה

בעת יצירת מחוונים, באפשרותך להגדיר אותם בזה אחר זה, או לייבא פריטים מרובים בו-זמנית. זכור שיש מגבלה של 15,000 מחוונים עבור דייר יחיד. כמו כן, ייתכן שיהיה עליך לאסוף פרטים מסוימים תחילה, כגון פרטי Hash של קובץ. הקפד לסקור את הדרישות המוקדמות לפני יצירת מחוונים.

חלק 4: שליחת קובץ לניתוח

באפשרותך לשלוח ישויות, כגון קבצים וזיהויים ללא קבצים, ל- Microsoft לצורך ניתוח. חוקרי האבטחה של Microsoft מנתחים את כל ההגשות, והתוצאות שלהם עוזרות ליידע את Defender עבור יכולות הגנה מפני איומים של נקודת קצה. כאשר אתה נכנס לאתר ההגשה, באפשרותך לעקוב אחר השליחות שלך.

שליחת קובץ לצורך ניתוח

אם יש לך קובץ שזוהה בטעות כס זדוני או שלא נענו, בצע שלבים אלה כדי לשלוח את הקובץ לצורך ניתוח.

1. סקור את הקווים המנחים כאן: שלח קבצים לניתוח.

2. שלח קבצים ב- Defender for Endpoint או בקר בינת אבטחה של Microsoft שליחת הקבצים שלך ושלח את הקבצים שלך.

שליחת זיהוי ללא קובץ לצורך ניתוח

אם זוהה משהו כתוכנות זדוניות בהתבסס על אופן פעולה, והקובץ שלך אינו ברשותך, באפשרותך לשלוח את Mpsupport.cab הקובץ לצורך ניתוח. באפשרותך לקבל את קובץ.cab באמצעות הכלי Microsoft Malware Protection Command-Line Utility (MPCmdRun.exe) ב- Windows 10 או Windows 11.

1. עבור אל C:\ProgramData\Microsoft\Windows Defender\Platform\<version>, ולאחר מכן הפעל MpCmdRun.exe כמנהל מערכת.

2. הקלידו mpcmdrun.exe -GetFilesולאחר מכן הקישו Enter.

   נוצר .cab קובץ המכיל יומני אבחון שונים. מיקום הקובץ מצוין בפלט של שורת הפקודה. כברירת מחדל, המיקום הוא C:\ProgramData\Microsoft\Microsoft Defender\Support\MpSupportFiles.cab.

3. סקור את הקווים המנחים כאן: שלח קבצים לניתוח.

4. בקר באתר בינת אבטחה של Microsoft שלי (https://www.microsoft.com/wdsi/filesubmission) ושלח את קבצי .cab שלך.

מה קורה לאחר שליחת קובץ?

ההגשה שלך נסרקת באופן מיידי על-ידי המערכות שלנו כדי לתת לך את הה קביעה העדכנית ביותר גם לפני שאנליסט מתחיל לטפל במקרה שלך. ייתכן שקובץ כבר נשלח ועובד על-ידי אנליסט. במקרים אלה, נקבעת במהירות.

עבור הגשות שלא עובדו עדיין, סדר העדיפויות שלהם הוא לצורך ניתוח באופן הבא:

• קבצים נפוצים עם פוטנציאל להשפיע על מספר רב של מחשבים נתונה בעדיפות גבוהה יותר.
• לקוחות מאומתים, במיוחד לקוחות ארגוניים בעלי מזהה Software Assurance (SAD) חוקי, מקבלים עדיפות גבוהה יותר.
• הגשות שסומנו כבעלי עדיפות גבוהה על-ידי מצייני SAID מקבלות תשומת לב מיידית.

כדי לבדוק אם קיימים עדכונים בנוגע להגשה שלך, היכנס לאתר בינת אבטחה של Microsoft שלי.

עצה

לקבלת מידע נוסף, ראה שליחת קבצים לניתוח.

חלק 5: סקור והתאם את הגדרות ההגנה מפני איומים

Defender for Endpoint מציע מגוון רחב של אפשרויות, כולל היכולת לכוונן הגדרות עבור תכונות ויכולות שונות. אם אתה מקבל תוצאות חיוביות מוטעות רבות, הקפד לסקור את הגדרות ההגנה מפני איומים של הארגון שלך. ייתכן שיהיה עליך לבצע כמה התאמות כדי:

• הגנה מבוססת ענן
• תיקון עבור יישומים שעלולים להיות בלתי רצויים
• חקירה ותיקון אוטומטיים

הגנה מבוססת ענן

בדוק את רמת ההגנה מבוססת הענן לקבלת Microsoft Defender אנטי-וירוס. כברירת מחדל, הגנה מבוססת ענן מוגדרת כ'לא מוגדר'; עם זאת, מומלץ להפעיל אותו. לקבלת מידע נוסף על קביעת התצורה של ההגנה מבוססת הענן, ראה הפעלת הגנה בענן ב- Microsoft Defender אנטי-וירוס.

באפשרותך להשתמש Intune או בשיטות אחרות, כגון מדיניות קבוצתית, כדי לערוך או להגדיר את הגדרות ההגנה מבוססות הענן.

ראה הפעלת הגנה בענן ב- Microsoft Defender אנטי-וירוס.

תיקון עבור יישומים שעלולים להיות בלתי רצויים

יישומים שעלולים להיות בלתי רצויים (PUA) הם קטגוריית תוכנה שעלולה לגרום למכשירים לפעול לאט, להציג פרסומות בלתי צפויות או להתקין תוכנות אחרות שעשויות להיות בלתי צפויות או בלתי רצויות. דוגמאות ל- PUA כוללות תוכנות פרסום, תוכנות איגוד ותוכנות התחמקות הפועלות באופן שונה עם מוצרי אבטחה. למרות ש- PUA אינה נחשבת לתוכנות זדוניות, סוגים מסוימים של תוכנות הם PUA בהתבסס על אופן הפעולה והמוניטין שלהם.

לקבלת מידע נוסף על PUA, ראה זיהוי וחסימה של יישומים שעלולים להיות בלתי רצויים.

בהתאם ליישומים שבהם הארגון שלך משתמש, ייתכן שתקבל תוצאות חיוביות מוטעות כתוצאה מהגדרות ההגנה של PUA. במידת הצורך, שקול להפעיל הגנת PUA במצב ביקורת במשך זמן מה, או להחיל הגנה של PUA על קבוצת משנה של מכשירים בארגון שלך. ניתן לקבוע את התצורה של הגנת PUA עבור דפדפן Microsoft Edge Microsoft Defender אנטי-וירוס.

אנו ממליצים להשתמש Intune כדי לערוך או להגדיר הגדרות הגנה של PUA; עם זאת, באפשרותך להשתמש בשיטות אחרות, כגון מדיניות קבוצתית.

ראה קביעת תצורה של הגנת PUA ב- Microsoft Defender אנטי-וירוס.

חקירה ותיקון אוטומטיים

יכולות חקירה ותיקון אוטומטיות (AIR) מיועדות לבחון התראות ולבצע פעולה מיידית כדי לפתור הפרות. כאשר מופעלות התראות, וחקירה אוטומטית מופעלת, נוצרת גזר דין עבור כל פיסת ראיה שנחקרת. גזרי דין יכולים להיותאיומים זדוניים, חשודים או לא נמצאו איומים.

בהתאם לרמת ערכת האוטומציה עבור הארגון שלך והגדרות אבטחה אחרות, פעולות תיקון נלקחות על-ידי ממצאים שנחשבים זדוניים או חשודים. במקרים מסוימים, פעולות תיקון מתרחשות באופן אוטומטי; במקרים אחרים, פעולות תיקון ננקטות באופן ידני או רק בעת אישור של צוות פעולות האבטחה שלך.

• קבל מידע נוסף על רמות אוטומציה; ולאחר מכן
• קבע את התצורה של יכולות AIR ב- Defender for Endpoint.

חשוב

אנו ממליצים להשתמש באוטומציה מלאה לבדיקה ותיקון אוטומטיים. אל תכבה יכולות אלה עקב תוצאות חיוביות מוטעות. במקום זאת, השתמש במחווני "אפשר" כדי להגדיר חריגים, ושמור על חקירה ותיקון אוטומטיים מוגדרים לביצוע פעולות מתאימות באופן אוטומטי. הנחיות אלה עוזרות להפחית את מספר ההתראות שצוות פעולות האבטחה שלך צריך לטפל הבאות.

עדיין זקוק לעזרה?

אם עבדת על כל השלבים המפורטים במאמר זה ואתה עדיין זקוק לעזרה, פנה לתמיכה הטכנית.

1. בפורטל Microsoft Defender, בפינה השמאלית העליונה, בחר את סימן השאלה (?) ולאחר מכן בחר תמיכה של Microsoft.

2. בחלון מסייע התמיכה, תאר את הבעיה ולאחר מכן שלח את ההודעה. משם, באפשרותך לפתוח בקשת שירות.

למידע נוסף

• ניהול Defender עבור נקודת קצה
• ניהול פריטים שאינם נכללים עבור Microsoft Defender עבור נקודת קצה ואנטי Microsoft Defender וירוסים
• מבט כולל Microsoft Defender הפורטל
• Microsoft Defender עבור נקודת קצה ב- Mac
• בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux
• קביעת התצורה של Microsoft Defender עבור נקודת קצה בתכונות iOS
• קביעת התצורה של Defender עבור נקודת קצה בתכונות Android

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.