A végponthoz készült Microsoft Defenderben észlelt téves pozitív/negatív eredmények kezelése

  • Cikk

Érintett szolgáltatás:

Platformok

  • A Windows

A végpontvédelmi megoldásokban a hamis pozitív egy entitás, például egy fájl vagy egy folyamat, amelyet a rendszer rosszindulatúként észlelt és azonosított annak ellenére, hogy az entitás valójában nem fenyegetés. A hamis negatív egy olyan entitás, amelyet nem észleltek fenyegetésként, annak ellenére, hogy valójában rosszindulatú. Hamis pozitív/negatív értékek fordulhatnak elő bármilyen fenyegetésvédelmi megoldással, beleértve a Végponthoz készült Defendert is.

A téves pozitív és negatív értékek meghatározása a Microsoft Defender portálon

Szerencsére lépéseket lehet tenni az ilyen típusú problémák megoldásához és csökkentéséhez. Ha a Végponthoz készült Defenderben hamis pozitív/negatív értékeket lát, a biztonsági műveletek az alábbi eljárással kezelhetik azokat:

  1. Riasztások áttekintése és besorolása
  2. A végrehajtott szervizelési műveletek áttekintése
  3. Kizárások áttekintése és meghatározása
  4. Entitás elküldése elemzésre
  5. A veszélyforrások elleni védelem beállításainak áttekintése és módosítása

Ha a cikkben ismertetett feladatok elvégzése után továbbra is problémákat tapasztal a téves pozitív/negatív értékekkel kapcsolatban, segítséget kaphat. Lásd : Továbbra is segítségre van szüksége?

A vakriasztások és negatívumok kezelésére vonatkozó lépések

Megjegyzés:

Ez a cikk útmutatásként szolgál a Végponthoz készült Defendert használó biztonsági operátorok és biztonsági rendszergazdák számára.

1. rész: Riasztások áttekintése és besorolása

Ha olyan riasztást lát, amely azért merült fel, mert valami kártékonynak vagy gyanúsnak tűnt, és nem szabad, letilthatja az adott entitásra vonatkozó riasztást. Azokat a riasztásokat is letilthatja, amelyek nem feltétlenül hamis pozitívak, de nem lényegesek. Javasoljuk, hogy a riasztásokat is osztályozza.

A riasztások kezelése és az igaz/hamis pozitívok besorolása segít betanítani a fenyegetésvédelmi megoldást, és idővel csökkentheti a hamis vagy hamis negatív értékek számát. Ezeknek a lépéseknek a végrehajtása segít csökkenteni a zajt az üzenetsorban, hogy a biztonsági csapat a magasabb prioritású munkaelemekre összpontosíthasson.

Annak megállapítása, hogy egy riasztás pontos-e

Mielőtt besorol vagy letilt egy riasztást, állapítsa meg, hogy a riasztás pontos, hamis pozitív vagy jóindulatú.

  1. A Microsoft Defender portál navigációs paneljén válassza az Incidensek & riasztások, majd a Riasztások lehetőséget.

  2. Válasszon ki egy riasztást a további részletek megtekintéséhez. (A feladattal kapcsolatos segítségért lásd: Riasztások áttekintése a Végponthoz készült Defenderben.)

  3. A riasztás állapotától függően hajtsa végre a következő táblázatban leírt lépéseket:

    Riasztás állapota Teendők
    A riasztás pontos Rendelje hozzá a riasztást, majd vizsgálja meg tovább.
    A riasztás hamis pozitív 1. Sorolja be a riasztást hamis pozitívként.

    2. Tiltsa le a riasztást.

    3. Létrehozás Végponthoz készült Microsoft Defender mutatót.

    4. Küldjön el egy fájlt a Microsoftnak elemzés céljából.
    A riasztás pontos, de jóindulatú (nem lényeges) Sorolja be a riasztást valódi pozitívként, majd tiltsa le a riasztást.

Riasztás besorolása

A riasztások a Microsoft Defender portálon hamis vagy valódi pozitívként osztályozhatók. A riasztások besorolása segít betanítani a Végponthoz készült Defendert, így idővel több igaz riasztást és kevesebb hamis riasztást fog látni.

  1. A Microsoft Defender portál navigációs ablaktábláján válassza az Incidensek & riasztások lehetőséget, válassza a Riasztások lehetőséget, majd válasszon ki egy riasztást.

  2. A kiválasztott riasztáshoz válassza a Riasztás kezelése lehetőséget. Ekkor megnyílik egy úszó panel.

  3. A Riasztás kezelése szakasz Besorolás mezőjében sorolja be a riasztást (Igaz pozitív, Tájékoztató, várt tevékenység vagy Hamis pozitív).

Tipp

További információ a riasztások letiltásáról: Végponthoz készült Defender-riasztások kezelése. Ha pedig a szervezet biztonsági információ- és eseménykezelési (SIEM) kiszolgálót használ, itt is definiáljon letiltási szabályt.

Riasztás mellőzése

Ha olyan riasztásai vannak, amelyek hamis pozitívak vagy valódi pozitívak, de nem lényeges események esetén, ezeket a riasztásokat letilthatja a Microsoft Defender XDR. A riasztások mellőzése segít csökkenteni az üzenetsor zaját.

  1. A Microsoft Defender portál navigációs paneljén válassza az Incidensek & riasztások, majd a Riasztások lehetőséget.

  2. Válassza ki a letiltani kívánt riasztást a Részletek panel megnyitásához.

  3. A Részletek panelen válassza a három pontot (...), majd Létrehozás mellőzési szabályt.

  4. Adja meg a mellőzési szabály összes beállítását, majd válassza a Mentés lehetőséget.

Tipp

Segítségre van szüksége a letiltási szabályokkal kapcsolatban? Lásd: Riasztás mellőzése és új mellőzési szabály létrehozása.

2. rész: Szervizelési műveletek áttekintése

A szervizelési műveletek, például egy fájl karanténba helyezése vagy egy folyamat leállítása, fenyegetésként észlelt entitásokon (például fájlokon) hajthatók végre. Számos típusú szervizelési művelet automatikusan, automatizált vizsgálat és Microsoft Defender víruskereső segítségével történik:

  • Fájl karanténba helyezése
  • Beállításkulcs eltávolítása
  • Folyamat leállítása
  • Szolgáltatás leállítása
  • Illesztőprogram letiltása
  • Ütemezett tevékenység eltávolítása

Más műveletek, például egy víruskereső vizsgálatának indítása vagy egy vizsgálati csomag gyűjtése manuálisan vagy élő válaszon keresztül történnek. Az élő válaszon keresztül végrehajtott műveletek nem vonhatók vissza.

A riasztások áttekintése után a következő lépés a javítási műveletek áttekintése. Ha bármilyen műveletet hamis pozitív eredmények eredményeztek, a legtöbb javítási műveletet visszavonhatja. Konkrétan a következőt teheti:

Ha végzett a vakriasztások eredményeként végrehajtott műveletek áttekintésével és visszavonásával, folytassa a kizárások áttekintésével vagy meghatározásával.

Befejezett műveletek áttekintése

  1. A Microsoft Defender portálon válassza a Műveletek & beküldések, majd a Műveletközpont lehetőséget.

  2. Válassza az Előzmények lapot a végrehajtott műveletek listájának megtekintéséhez.

  3. Válasszon ki egy elemet a végrehajtott szervizelési művelet további részleteinek megtekintéséhez.

Karanténba helyezett fájl visszaállítása a Műveletközpontból

  1. A Microsoft Defender portálon válassza a Műveletek & beküldések, majd a Műveletközpont lehetőséget.

  2. Az Előzmények lapon válassza ki a visszavonni kívánt műveletet.

  3. Az úszó panelen válassza a Visszavonás lehetőséget. Ha a művelet nem vonható vissza ezzel a módszerrel, nem jelenik meg a Visszavonás gomb. (További információ: Befejezett műveletek visszavonása.)

Egyszerre több művelet visszavonása

  1. A Microsoft Defender portálon válassza a Műveletek & beküldések, majd a Műveletközpont lehetőséget.

  2. Az Előzmények lapon válassza ki a visszavonni kívánt műveleteket.

  3. A képernyő jobb oldalán lévő úszó panelen válassza a Visszavonás lehetőséget.

Fájl eltávolítása több eszköz karanténjából

A karanténfájl

  1. A Microsoft Defender portálon válassza a Műveletek & beküldések, majd a Műveletközpont lehetőséget.

  2. Az Előzmények lapon válassza ki azt a fájlt, amelynek Művelet típusa Karantén fájl.

  3. A képernyő jobb oldalán található panelen válassza a Fájl További X példányra alkalmaz, majd a Visszavonás lehetőséget.

Karanténba helyezett üzenetek áttekintése

  1. A Microsoft Defender portál navigációs ablakában, az együttműködés Email & területen válassza az Exchange-üzenetkövetés lehetőséget.

  2. A részletek megtekintéséhez jelöljön ki egy üzenetet.

Fájl visszaállítása karanténból

Ha egy vizsgálat után megállapította, hogy tiszta, visszaállíthatja és eltávolíthatja a fájlokat a karanténból. Futtassa a következő parancsot minden olyan eszközön, amelyen a fájl karanténba lett helyezve.

  1. Nyissa meg a parancssort rendszergazdaként az eszközön:

    1. Nyissa meg a Start menüt , és írja be a cmd parancsot.
    2. Kattintson a jobb gombbal a Parancssor elemre , és válassza a Futtatás rendszergazdaként parancsot.

  2. Írja be a következő parancsot, és nyomja le az Enter billentyűt:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All

    Fontos

    Bizonyos esetekben a ThreatName a következőként jelenhet meg: EUS:Win32/CustomEnterpriseBlock!cl. A Végponthoz készült Defender visszaállítja az összes egyéni letiltott fájlt, amely az elmúlt 30 napban karanténba lett helyezve az eszközön. Előfordulhat, hogy egy potenciális hálózati fenyegetésként karanténba helyezett fájl nem állítható helyre. Ha egy felhasználó karanténba helyezés után megpróbálja visszaállítani a fájlt, előfordulhat, hogy a fájl nem érhető el. Ennek az lehet az oka, hogy a rendszer már nem rendelkezik hálózati hitelesítő adatokkal a fájl eléréséhez. Ez általában egy rendszerbe vagy megosztott mappába való ideiglenes bejelentkezés eredménye, és a hozzáférési jogkivonatok lejártak.

  3. A képernyő jobb oldalán található panelen válassza a Fájl További X példányra alkalmaz, majd a Visszavonás lehetőséget.

3. rész: Kizárások áttekintése vagy meghatározása

Figyelem!

Mielőtt meghatároz egy kizárást, tekintse át a Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásainak kezelése című témakör részletes információit. Ne feledje, hogy minden meghatározott kizárás csökkenti a védelem szintjét.

A kizárás olyan entitás, például fájl vagy URL, amelyet kivételként ad meg a szervizelési műveletekhez. A kizárt entitást továbbra is észlelheti a rendszer, de nem hajt végre javítási műveleteket az adott entitáson. Vagyis az észlelt fájlt vagy folyamatot nem állítja le, nem küldi karanténba, nem távolítja el vagy más módon nem módosítja a Végponthoz készült Microsoft Defender.

A kizárások Végponthoz készült Microsoft Defender való meghatározásához hajtsa végre a következő feladatokat:

Megjegyzés:

Microsoft Defender A víruskereső kizárásai csak a víruskeresőre vonatkoznak, más Végponthoz készült Microsoft Defender képességekre nem. A fájlok széles körű kizárásához használjon kizárásokat a Microsoft Defender víruskeresőhöz, valamint az Végponthoz készült Microsoft Defender egyéni mutatóit.

Az ebben a szakaszban ismertetett eljárások a kizárások és a mutatók meghatározását írják le.

Kizárások Microsoft Defender víruskeresőhöz

Általánosságban elmondható, hogy nem kell kizárásokat meghatároznia Microsoft Defender víruskeresőhöz. Ügyeljen arra, hogy a kizárásokat csak takarékosan határozza meg, és csak azokat a fájlokat, mappákat, folyamatokat és folyamatmegnyitási fájlokat foglalja bele, amelyek téves pozitív eredményt adnak. Emellett rendszeresen tekintse át a definiált kizárásokat. Javasoljuk, hogy a Microsoft Intune használatával definiálja vagy szerkessze a víruskereső kizárásait, de más módszereket is használhat, például Csoportházirend (lásd: Végponthoz készült Microsoft Defender kezelése.

Tipp

Segítségre van szüksége a víruskereső kizárásával kapcsolatban? Lásd: Kizárások konfigurálása és érvényesítése Microsoft Defender víruskeresőhöz.

A Intune használata a víruskereső kizárásainak kezeléséhez (meglévő szabályzatok esetén)

  1. A Microsoft Intune Felügyeleti központban válassza a Végpontbiztonság>víruskereső lehetőséget, majd válasszon ki egy meglévő szabályzatot. (Ha nem rendelkezik meglévő szabályzattal, vagy új szabályzatot szeretne létrehozni, ugorjon a Use Intune to create a new antivirus policy with exclusions (Új vírusvédelmi szabályzat létrehozása Intune kizárásokkal) című részre.)

  2. Válassza a Tulajdonságok lehetőséget, majd a Konfigurációs beállítások mellett válassza a Szerkesztés lehetőséget.

  3. Bontsa ki Microsoft Defender Víruskereső kizárások elemet, majd adja meg a kizárásokat.

    • A kizárt bővítmények fájltípus-kiterjesztéssel definiált kizárások. Ezek a kiterjesztések minden olyan fájlnévre vonatkoznak, amelynek a fájlelérési útja vagy mappája nélkül van megadva a megadott kiterjesztés. A lista minden fájltípusát el kell különíteni egy | karakterrel. Használja például a lib|obj címet. További információ: ExcludedExtensions.
    • A kizárt elérési utak a helyük (elérési út) alapján meghatározott kizárások. Ezeket a kizárási típusokat fájl- és mappakizárásoknak is nevezik. A lista minden elérési útját különítse el egy | karakterrel. Használja például a C:\Example|C:\Example1 címet. További információ: ExcludedPaths.
    • A kizárt folyamatok bizonyos folyamatok által megnyitott fájlok kizárásai. A lista minden fájltípusát különítse el egy | karakterrel. Használja például a C:\Example. exe|C:\Example1.exe címet. Ezek a kizárások nem a tényleges folyamatokhoz tartoznak. A folyamatok kizárásához fájl- és mappakizárásokat használhat. További információ: ExcludedProcesses.

  4. Válassza a Véleményezés + mentés, majd a Mentés lehetőséget.

Új víruskereső szabályzat létrehozása kizárásokkal a Intune használatával

  1. A Microsoft Intune Felügyeleti központban válassza az Endpoint Security>Antivirus>+ Létrehozás Policy lehetőséget.

  2. Válasszon platformot (például Windows 10, Windows 11 és Windows Server).

  3. A Profil mezőben válassza Microsoft Defender Víruskereső kizárások lehetőséget, majd válassza a Létrehozás lehetőséget.

  4. A profil Létrehozás lépésben adja meg a profil nevét és leírását, majd válassza a Tovább gombot.

  5. A Konfigurációs beállítások lapon adja meg a víruskereső kizárásait, majd válassza a Tovább gombot.

    • A kizárt bővítmények fájltípus-kiterjesztéssel definiált kizárások. Ezek a kiterjesztések minden olyan fájlnévre vonatkoznak, amelynek a fájlelérési útja vagy mappája nélkül van megadva a megadott kiterjesztés. A lista minden fájltípusát különítse el egy | karakterrel. Használja például a lib|obj címet. További információ: ExcludedExtensions.
    • A kizárt elérési utak a helyük (elérési út) alapján meghatározott kizárások. Ezeket a kizárási típusokat fájl- és mappakizárásoknak is nevezik. A lista minden elérési útját különítse el egy | karakterrel. Használja például a C:\Example|C:\Example1 címet. További információ: ExcludedPaths.
    • A kizárt folyamatok bizonyos folyamatok által megnyitott fájlok kizárásai. A lista minden fájltípusát különítse el egy | karakterrel. Használja például a C:\Example. exe|C:\Example1.exe címet. Ezek a kizárások nem a tényleges folyamatokhoz tartoznak. A folyamatok kizárásához fájl- és mappakizárásokat használhat. További információ: ExcludedProcesses.

  6. Ha a hatókörcímkéket a szervezetében használja, a Hatókörcímkék lapon adja meg a létrehozott szabályzat hatókörcímkéinek megadását. (Lásd: Hatókörcímkék.)

  7. A Hozzárendelések lapon adja meg azokat a felhasználókat és csoportokat, akikre alkalmazni szeretné a szabályzatot, majd válassza a Tovább gombot. (Ha segítségre van szüksége a hozzárendelésekkel kapcsolatban, olvassa el a Felhasználói és eszközprofilok hozzárendelése a Microsoft Intune-ben című témakört.)

  8. A Véleményezés + létrehozás lapon tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

A Végponthoz készült Defender mutatói

A jelzők (konkrétan a biztonsági műveletekért felelős csapat számára a biztonsági műveletekért felelős csapat számára) lehetővé teszik az entitások észlelésének, megelőzésének és kizárásának meghatározását. Megadhat például bizonyos fájlokat, amelyeket ki szeretne hagyni a Végponthoz készült Microsoft Defender vizsgálatából és szervizelési műveleteiből. A jelzőkkel riasztások hozhatók létre bizonyos fájlokhoz, IP-címekhez vagy URL-címekhez.

Ha az entitásokat kizárásként szeretné megadni a Végponthoz készült Defenderhez, hozzon létre "engedélyezés" jelzőket ezekhez az entitásokhoz. Az ilyen "engedélyezés" jelzők a következő generációs védelemre és az automatizált vizsgálatra & szervizelésre vonatkoznak.

Az "Engedélyezés" jelzők a következőhöz hozhatók létre:

A mutatótípusok

Fájlok mutatói

Amikor létrehoz egy "engedélyezés" jelzőt egy fájlhoz, például egy végrehajtható fájlhoz, azzal megakadályozhatja, hogy a szervezet által használt fájlok le legyenek tiltva. A fájlok tartalmazhatnak hordozható végrehajtható (PE) fájlokat, például .exe és .dll fájlokat.

Mielőtt jelzőket hoz létre a fájlokhoz, győződjön meg arról, hogy a következő követelmények teljesülnek:

IP-címek, URL-címek vagy tartományok mutatói

Amikor létrehoz egy "engedélyezés" jelzőt egy IP-címhez, URL-címhez vagy tartományhoz, azzal megakadályozhatja, hogy a szervezet által használt webhelyek vagy IP-címek le legyenek tiltva.

Mielőtt jelzőket hozna létre az IP-címekhez, URL-címekhez vagy tartományokhoz, győződjön meg arról, hogy a következő követelmények teljesülnek:

  • A végponthoz készült Defender hálózati védelme blokk módban van engedélyezve (lásd: Hálózatvédelem engedélyezése)
  • A kártevőirtó ügyfél verziója 4.18.1906.x vagy újabb
  • Az eszközök Windows 10, 1709-es vagy újabb verziót vagy Windows 11

Az egyéni hálózati jelzők be vannak kapcsolva a Microsoft Defender XDR. További információ: Speciális funkciók.

Alkalmazástanúsítványok mutatói

Amikor "engedélyezés" jelzőt hoz létre egy alkalmazástanúsítványhoz, azzal megakadályozhatja, hogy a szervezet által használt alkalmazások, például a belső fejlesztésű alkalmazások le legyenek tiltva. .CER vagy .PEM fájlkiterjesztések támogatottak.

Mielőtt jelzőket hoz létre az alkalmazástanúsítványokhoz, győződjön meg arról, hogy a következő követelmények teljesülnek:

  • Microsoft Defender víruskereső úgy van konfigurálva, hogy engedélyezve van a felhőalapú védelem (lásd: Felhőalapú védelem kezelése
  • Kártevőirtó ügyfélverzió: 4.18.1901.x vagy újabb
  • Az eszközök Windows 10, 1703-es vagy újabb verziót vagy Windows 11; Windows Server 2012 R2 és Windows Server 2016 a Végponthoz készült Defender, a Windows Server 2019 vagy a Windows Server 2022 modern egységes megoldásával
  • A vírus- és veszélyforrások elleni védelem definíciói naprakészek

Tipp

Jelzők létrehozásakor egyenként definiálhatja őket, vagy egyszerre több elemet is importálhat. Ne feledje, hogy egyetlen bérlő esetében legfeljebb 15 000 mutató lehet. Előfordulhat, hogy először bizonyos adatokat, például a fájlkivonattal kapcsolatos információkat kell összegyűjtenie. A mutatók létrehozása előtt mindenképpen tekintse át az előfeltételeket.

4. rész: Fájl elküldése elemzésre

Elemzés céljából elküldhet entitásokat, például fájlokat és fájl nélküli észleléseket a Microsoftnak. A Microsoft biztonsági kutatói elemzik az összes beküldést, és eredményeik segítenek tájékoztatni a Végponthoz készült Defender veszélyforrások elleni védelmi képességeit. Amikor bejelentkezik a beküldési webhelyen, nyomon követheti a beküldött fájlokat.

Fájl elküldése elemzésre

Ha olyan fájllal rendelkezik, amelyet helytelenül észleltek rosszindulatúként, vagy elmulasztotta, az alábbi lépéseket követve küldje el a fájlt elemzésre.

  1. Tekintse át az itt található irányelveket: Fájlok elküldése elemzésre.

  2. Küldje el a fájlokat a Végponthoz készült Defenderben, vagy látogasson el a Microsoft biztonsági intelligencia beküldési webhelyére, és küldje el a fájlokat.

Fájl nélküli észlelés elküldése elemzéshez

Ha a rendszer viselkedése alapján kártevőként észlelt valamit, és nincs fájlja, elküldheti a Mpsupport.cab fájlt elemzésre. A .cab fájlt a Microsoft Malware Protection Command-Line Utility (MPCmdRun.exe) eszközzel szerezheti be Windows 10 vagy Windows 11.

  1. Nyissa meg a C:\ProgramData\Microsoft\Windows Defender\Platform\<version>elemet, majd futtassa a parancsot MpCmdRun.exe rendszergazdaként.

  2. Írja be mpcmdrun.exe -GetFiles, majd nyomja le az Enter billentyűt.

    A rendszer létrehoz egy .cab fájlt, amely különböző diagnosztikai naplókat tartalmaz. A fájl helye a parancssor kimenetében van megadva. Alapértelmezés szerint a hely a következő C:\ProgramData\Microsoft\Microsoft Defender\Support\MpSupportFiles.cab: .

  3. Tekintse át az itt található irányelveket: Fájlok elküldése elemzésre.

  4. Látogasson el a Microsoft biztonsági intelligencia beküldési webhelyére (https://www.microsoft.com/wdsi/filesubmission), és küldje el a .cab fájlokat.

Mi történik egy fájl elküldése után?

Rendszereink azonnal ellenőrzik a beküldött adatokat, hogy a legfrissebb döntést hozhassuk még azelőtt, hogy egy elemző elkezdené kezelni az esetét. Lehetséges, hogy egy elemző már elküldte és feldolgozta a fájlt. Ezekben az esetekben a meghatározás gyorsan megtörténik.

A még fel nem dolgozott beküldések esetében a rendszer a következőképpen rangsorolt elemzésre:

  • Az olyan elterjedt fájlok, amelyek nagy számú számítógépet érintenek, magasabb prioritást kapnak.
  • A hitelesített ügyfelek, különösen az érvényes Frissítési Garancia azonosítókkal (SAID-k) rendelkező vállalati ügyfelek magasabb prioritást kapnak.
  • Az SAID-tulajdonosok által magas prioritásúként megjelölt beadványok azonnali figyelmet kapnak.

A beküldéssel kapcsolatos frissítések kereséséhez jelentkezzen be a Microsoft biztonsági intelligencia beküldési webhelyen.

Tipp

További információ: Fájlok elküldése elemzésre.

5. rész: A veszélyforrások elleni védelem beállításainak áttekintése és módosítása

A Végponthoz készült Defender számos lehetőséget kínál, beleértve a különböző funkciók és képességek beállításainak finomhangolását. Ha számos téves riasztást kap, mindenképpen tekintse át a szervezet fenyegetésvédelmi beállításait. Előfordulhat, hogy módosítania kell az alábbiakat:

Felhőben nyújtott védelem

Ellenőrizze a Microsoft Defender víruskereső felhőben biztosított védelmi szintjét. Alapértelmezés szerint a felhőben biztosított védelem Nincs konfigurálva értékre van állítva; azonban javasoljuk, hogy kapcsolja be. A felhőben nyújtott védelem konfigurálásával kapcsolatos további információkért lásd: A felhővédelem bekapcsolása Microsoft Defender víruskeresőben.

A felhőalapú védelmi beállítások szerkesztéséhez vagy beállításához használhat Intune vagy más módszereket, például Csoportházirend.

Lásd: A felhővédelem bekapcsolása Microsoft Defender víruskeresőben.

Potenciálisan nemkívánatos alkalmazások szervizelése

A potenciálisan nemkívánatos alkalmazások (PUA) olyan szoftverkategóriák, amelyek miatt az eszközök lassan futnak, váratlan hirdetéseket jeleníthetnek meg, vagy más, váratlan vagy nemkívánatos szoftvereket telepíthetnek. A PUA-k közé tartoznak például a hirdetési szoftverek, a kötegelő szoftverek és a biztonsági termékekkel eltérően viselkedő kijátszási szoftverek. Bár a PUA nem tekinthető kártevőnek, bizonyos szoftverek viselkedésük és hírnevük alapján PUA-nak minősülnek.

További információ a PUA-ról: Potenciálisan nemkívánatos alkalmazások észlelése és letiltása.

A szervezet által használt alkalmazásoktól függően előfordulhat, hogy a PUA védelmi beállításai hamis pozitív eredményt kapnak. Ha szükséges, fontolja meg a PUA-védelem naplózási módban való futtatását, vagy alkalmazza a PUA-védelmet a szervezet eszközeinek egy részhalmazára. A PUA-védelem konfigurálható a Microsoft Edge böngészőhöz és a Microsoft Defender víruskeresőhöz.

Javasoljuk, hogy Intune használatával szerkessze vagy állítsa be a PUA védelmi beállításait, de más módszereket is használhat, például Csoportházirend.

Lásd: PUA-védelem konfigurálása Microsoft Defender víruskeresőben.

Automatizált vizsgálat és szervizelés

Az automatizált vizsgálati és szervizelési (AIR) képességeket úgy tervezték, hogy megvizsgálják a riasztásokat, és azonnali lépéseket tegyen a biztonsági incidensek megoldása érdekében. A riasztások aktiválásakor és az automatizált vizsgálat lefuttatásakor minden vizsgált bizonyítékhoz létre lesz hozva egy ítélet. Az ítéletek lehetnek rosszindulatúak, gyanúsak vagy nem találhatók fenyegetések.

A szervezetéhez beállított automatizálási szinttől és más biztonsági beállításoktól függően a szervizelési műveletek rosszindulatúnak vagy gyanúsnak minősülő összetevőkön hajthatók végre. Bizonyos esetekben a szervizelési műveletek automatikusan történnek; más esetekben a szervizelési műveleteket manuálisan vagy csak a biztonsági üzemeltetési csapat jóváhagyásával hajtja végre.

Fontos

Javasoljuk, hogy a teljes automatizálást használja az automatizált vizsgálathoz és szervizeléshez. Ne kapcsolja ki ezeket a képességeket hamis pozitív érték miatt. Ehelyett használjon "engedélyezés" jelzőket a kivételek meghatározásához, és tartsa meg az automatizált vizsgálatot és szervizelést, hogy automatikusan végrehajtsa a megfelelő műveleteket. Ez az útmutató segít csökkenteni a biztonsági üzemeltetési csapat által kezelt riasztások számát.

További segítségre van szüksége?

Ha végigjárta a cikk összes lépését, és továbbra is segítségre van szüksége, forduljon a műszaki támogatási szolgálathoz.

  1. A Microsoft Defender portál jobb felső sarkában válassza a kérdőjelet (?), majd a Microsoft ügyfélszolgálatát.

  2. A Támogatási segéd ablakban írja le a problémát, majd küldje el az üzenetet. Innen megnyithat egy szolgáltatáskérést.

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.