Felhővédelem és mintabeküldés a Microsoft Defender víruskeresőnél
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender víruskereső
Platformok
A Windows
macOS
Linux
Windows Server
A Microsoft Defender víruskereső számos intelligens mechanizmust használ a kártevők észleléséhez. Az egyik leghatékonyabb képesség a felhő képességeinek alkalmazása a kártevők észlelésére és gyors elemzésre. A felhővédelem és az automatikus mintabeküldés együttműködik a Microsoft Defender víruskeresővel az új és a felmerülő fenyegetések elleni védelem érdekében.
Ha gyanús vagy rosszindulatú fájlt észlel, a rendszer elemzés céljából elküld egy mintát a felhőszolgáltatásnak, miközben a Microsoft Defender víruskereső blokkolja a fájlt. Amint meghatározta, ami gyorsan megtörténik, a fájlt a Microsoft Defender víruskereső kiadja vagy letiltja.
Ez a cikk áttekintést nyújt a felhővédelemről és az automatikus mintaküldésről a Microsoft Defender víruskeresőben. A felhővédelemmel kapcsolatos további információkért lásd: Felhővédelem és Microsoft Defender víruskereső.
A felhővédelem és a mintabeküldés együttműködése
A felhővédelem és a mintabeküldés működésének megértéséhez hasznos lehet megérteni, hogy a Végponthoz készült Defender hogyan véd a fenyegetések ellen. A Microsoft Intelligent Security Graph az érzékelők hatalmas hálózatából figyeli a fenyegetések adatait. A Microsoft olyan felhőalapú gépi tanulási modelleket rétegz, amelyek az ügyféltől érkező jelek, valamint az intelligens biztonsági gráfban található érzékelők és adatok hatalmas hálózata alapján értékelik a fájlokat. Ez a megközelítés lehetővé teszi a Végponthoz készült Defender számára, hogy számos soha nem látott fenyegetést blokkoljon.
Az alábbi kép a felhővédelem folyamatát és a Microsoft Defender víruskeresővel történő mintaküldést mutatja be:
A Microsoft Defender víruskereső és a felhővédelem az alábbi módszerekkel automatikusan letiltja a legtöbb új, még nem látott fenyegetést:
Egyszerűsített ügyfélalapú gépi tanulási modellek, amelyek blokkolják az új és ismeretlen kártevőket.
Helyi viselkedéselemzés, fájlalapú és fájl nélküli támadások leállítása.
Nagy pontosságú víruskereső, amely általános és heurisztikus technikákkal észleli a gyakori kártevőket.
Speciális felhőalapú védelem érhető el olyan esetekben, amikor a végponton futó Microsoft Defender víruskeresőnek több intelligenciára van szüksége egy gyanús fájl szándékának ellenőrzéséhez.
Ha a Microsoft Defender víruskereső nem tud egyértelmű meghatározást végezni, a rendszer elküldi a fájl metaadatait a felhővédelmi szolgáltatásnak. A felhővédelmi szolgáltatás gyakran ezredmásodpercben képes meghatározni a metaadatok alapján, hogy a fájl kártékony-e vagy sem.
- A fájl metaadatainak felhőbeli lekérdezése viselkedés, a webjel vagy más olyan jellemzők eredménye lehet, ahol a rendszer nem határoz meg egyértelmű ítéletet.
- A rendszer kis mennyiségű metaadat-hasznos adat küldését célul tűzi ki, amelynek célja, hogy kártevőt vagy fenyegetést hozzon. A metaadatok nem tartalmaznak személyazonosításra alkalmas adatokat (PII). Az olyan információk, mint a fájlnevek kivonatolása.
- Lehet szinkron vagy aszinkron. Szinkron esetén a fájl csak akkor nyílik meg, ha a felhő ítéletet jelenít meg. Aszinkron esetben a fájl megnyílik, miközben a felhővédelem elvégzi az elemzést.
- A metaadatok tartalmazhatnak PE-attribútumokat, statikus fájlattribútumokat, dinamikus és környezetfüggő attribútumokat stb. (lásd: Példák a felhővédelmi szolgáltatásnak küldött metaadatokra).
A metaadatok vizsgálata után, ha a Microsoft Defender víruskereső felhővédelem nem tud meggyőző ítéletet elérni, további vizsgálat céljából mintafájlt kérhet a fájlból. Ez a kérés figyelembe veszi a mintaküldés beállításkonfigurációját:
Biztonságos minták automatikus küldése
- A biztonságos minták olyan minták, amelyek általában nem tartalmaznak PII-adatokat, például: .bat, .scr, .dll, .exe.
- Ha a fájl valószínűleg TARTALMAZ PII-t, a felhasználó kérést kap a fájlminta beküldésének engedélyezésére.
- Ez az alapértelmezett beállítás Windows, macOS és Linux rendszeren.
Mindig rákérdezés
- Ha konfigurálva van, a rendszer mindig hozzájárulást kér a felhasználótól a fájlbeküldés előtt
- Ez a beállítás macOS- és Linux-felhővédelemben nem érhető el
Az összes minta automatikus küldése
- Ha konfigurálva van, a rendszer automatikusan elküldi az összes mintát
- Ha azt szeretné, hogy a mintabeküldés a Word-dokumentumokba beágyazott makrókat is tartalmazzon, válassza az "Összes minta automatikus küldése" lehetőséget.
- Ez a beállítás nem érhető el a macOS-felhővédelemben
Ne küldjön
- Megakadályozza a "blokk első látásra" a fájlminta elemzése alapján
- A "Ne küldjön" a macOS-szabályzat "Letiltva" és a Linux-szabályzat "Nincs" beállításának felel meg.
- A rendszer akkor is elküldi a metaadatokat az észlelésekhez, ha a mintaküldés le van tiltva
A fájlok felhővédelmére való elküldése után a beküldött fájlok megvizsgálhatók, detonálhatók és feldolgozhatók big data-elemzésigépi tanulási modelleken keresztül, hogy elérjék az ítéletet. A felhőben biztosított védelmi korlátok elemzésének kikapcsolása csak arra, amit az ügyfél a helyi gépi tanulási modelleken és hasonló funkciókon keresztül tud biztosítani.
Fontos
A blokk első látásra (BAFS) detonációt és elemzést biztosít annak megállapításához, hogy egy fájl vagy folyamat biztonságos-e. A BAFS késleltetheti egy fájl megnyitását, amíg el nem éri az ítéletet. Ha letiltja a mintaküldést, a BAFS is le van tiltva, és a fájlelemzés csak metaadatokra korlátozódik. Javasoljuk, hogy hagyja engedélyezve a mintaküldést és a BAFS-t. További információ: Mi a "blokk első látásra"?
Felhővédelmi szintek
A felhővédelem alapértelmezés szerint engedélyezve van a Microsoft Defender víruskeresőben. Javasoljuk, hogy hagyja engedélyezve a felhővédelmet, de konfigurálhatja a szervezet védelmi szintjét. Lásd: A Microsoft Defender víruskereső felhőben biztosított védelmi szintjének megadása.
Mintabeküldési beállítások
A felhővédelmi szint konfigurálása mellett a mintaküldési beállításokat is konfigurálhatja. Több lehetőség közül választhat:
- Biztonságos minták automatikus küldése (az alapértelmezett viselkedés)
- Az összes minta automatikus küldése
- Ne küldjön mintákat
Tipp
Send all samples automatically
A beállítás használata nagyobb biztonságot nyújt, mivel az adathalász támadások nagy mennyiségű kezdeti hozzáférési támadáshoz használatosak.
Az Intune, a Configuration Manager, a Csoportházirend vagy a PowerShell használatával elérhető konfigurációs lehetőségekről a Felhővédelem bekapcsolása a Microsoft Defender víruskeresőben című témakörben talál további információt.
Példák a felhővédelmi szolgáltatásnak küldött metaadatokra
Az alábbi táblázat a felhővédelem által elemzésre küldött metaadatok példáit sorolja fel:
Típus | Attribútum |
---|---|
Gépattribútumok | OS version Processor Security settings |
Dinamikus és környezetfüggő attribútumok |
Feldolgozás és telepítés ProcessName ParentProcess TriggeringSignature TriggeringFile Download IP and url HashedFullPath Vpath RealPath Parent/child relationships Viselkedési Connection IPs System changes API calls Process injection Színhely Locale setting Geographical location |
Statikus fájlattribútumok |
Részleges és teljes kivonatok ClusterHash Crc16 Ctph ExtendedKcrcs ImpHash Kcrc3n Lshash LsHashs PartialCrc1 PartialCrc2 PartialCrc3 Sha1 Sha256 Fájltulajdonságok FileName FileSize Aláíró adatai AuthentiCodeHash Issuer IssuerHash Publisher Signer SignerHash |
A minták ügyféladatokként vannak kezelve
Ha kíváncsi arra, hogy mi történik a mintabeküldésekkel, a Végponthoz készült Defender az összes fájlmintát ügyféladatként kezeli. A Microsoft figyelembe veszi a végponthoz készült Defender előkészítésekor kiválasztott földrajzi és adatmegőrzési lehetőségeket is.
Emellett a Végponthoz készült Defender több megfelelőségi tanúsítványt is kapott, amelyek igazolják a megfelelőségi vezérlők kifinomult készletének folyamatos betartását:
- ISO 27001
- ISO 27018
- SOC I, II, III
- PCI
További információt a következő források tartalmaznak:
- Azure-megfelelőségi ajánlatok
- Szolgáltatásmegbízhatósági portál
- Végponthoz készült Microsoft Defender adattárolása és adatvédelme
Egyéb fájlbeküldési forgatókönyvek
A Végponthoz készült Defender két további esetben kérhet olyan fájlmintát, amely nem kapcsolódik a Microsoft Defender víruskereső felhővédelméhez. Ezeket a forgatókönyveket az alábbi táblázatban ismertetjük:
Forgatókönyv | Leírás |
---|---|
Manuális fájlminta-gyűjtemény a Microsoft Defender portálon | Amikor eszközöket regisztrál a Végponthoz készült Defenderbe, konfigurálhatja a végpontészlelés és -válasz (EDR) beállításait. Van például egy beállítás, amely engedélyezi az eszközről származó mintagyűjteményeket, ami könnyen összetéveszthető az ebben a cikkben ismertetett mintaküldési beállításokkal. Az EDR-beállítás szabályozza az eszközökről származó fájlminták gyűjtését, amikor a Microsoft Defender portálon keresztül kérik, és a már létrehozott szerepkörök és engedélyek vonatkoznak rá. Ez a beállítás engedélyezheti vagy letilthatja a végpontról származó fájlgyűjtést olyan funkciók esetében, mint például a Microsoft Defender portál részletes elemzése. Ha ez a beállítás nincs konfigurálva, az alapértelmezett beállítás a mintagyűjtés engedélyezése. További információ a Végponthoz készült Defender konfigurációs beállításairól: Eszközök és módszerek előkészítése Windows 10-eszközökhöz a Végponthoz készült Defenderben |
Automatizált vizsgálat és választartalom-elemzés | Ha az eszközökön automatizált vizsgálat fut (ha úgy van konfigurálva, hogy riasztásra válaszul automatikusan fusson, vagy manuálisan fut), a gyanúsként azonosított fájlok további vizsgálat céljából összegyűjthetők a végpontokról. Szükség esetén az automatikus vizsgálatok fájltartalom-elemzési funkciója le is tiltható a Microsoft Defender portálon. A fájlkiterjesztések nevei is módosíthatók más fájltípusok bővítményeinek hozzáadásához vagy eltávolításához, amelyeket a rendszer automatikusan elküld egy automatikus vizsgálat során. További információ: Automation-fájlfeltöltések kezelése. |
Tipp
Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:
- Végponthoz készült Microsoft Defender beállítása macOS rendszeren
- Végponthoz készült Microsoft Defender Macen
- MacOS víruskereső házirend-beállításai az Intune-hoz készült Microsoft Defender víruskeresőhöz
- Végponthoz készült Microsoft Defender beállítása Linux rendszeren
- Végponthoz készült Microsoft Defender Linuxon
- Végponthoz készült Defender konfigurálása Android-funkciókon
- Végponthoz készült Microsoft Defender konfigurálása iOS-funkciókon
Lásd még
Következő generációs védelem áttekintése
Konfigurálja a Szervizelést a Microsoft Defender víruskereső észleléseihez.
Tipp
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: