Protezione cloud e invio di esempi in Microsoft Defender Antivirus
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
Piattaforme
Windows
macOS
Linux
Server Windows
Microsoft Defender Antivirus usa molti meccanismi intelligenti per il rilevamento del malware. Una delle funzionalità più potenti è la possibilità di applicare la potenza del cloud per rilevare il malware ed eseguire un'analisi rapida. La protezione cloud e l'invio automatico di campioni interagiscono con Microsoft Defender Antivirus per proteggere da minacce nuove ed emergenti.
Se viene rilevato un file sospetto o dannoso, viene inviato un esempio al servizio cloud per l'analisi mentre Microsoft Defender Antivirus blocca il file. Non appena viene effettuata una determinazione, che si verifica rapidamente, il file viene rilasciato o bloccato da Microsoft Defender Antivirus.
Questo articolo offre una panoramica della protezione cloud e dell'invio automatico di esempi in Microsoft Defender Antivirus. Per altre informazioni sulla protezione cloud, vedere Protezione cloud e Microsoft Defender Antivirus.
Funzionamento della protezione cloud e dell'invio di esempi
Per comprendere il funzionamento della protezione cloud insieme all'invio di esempi, può essere utile comprendere in che modo Defender per endpoint protegge dalle minacce. Microsoft Intelligent Security Graph monitora i dati sulle minacce provenienti da una vasta rete di sensori. Microsoft layera i modelli di Machine Learning basati sul cloud in grado di valutare i file in base ai segnali provenienti dal client e alla vasta rete di sensori e dati nel grafico di sicurezza intelligente. Questo approccio offre a Defender per endpoint la possibilità di bloccare molte minacce mai viste prima.
L'immagine seguente illustra il flusso di protezione cloud e l'invio di esempi con Microsoft Defender Antivirus:
Microsoft Defender Antivirus e la protezione cloud bloccano automaticamente la maggior parte delle nuove minacce mai viste prima a prima vista usando i metodi seguenti:
Modelli di Machine Learning basati su client leggeri, che bloccano malware nuovi e sconosciuti.
Analisi comportamentale locale, arresto degli attacchi basati su file e senza file.
Antivirus ad alta precisione, che rileva il malware comune tramite tecniche generiche ed euristiche.
La protezione avanzata basata sul cloud viene fornita per i casi in cui Microsoft Defender Antivirus in esecuzione nell'endpoint richiede maggiore intelligenza per verificare la finalità di un file sospetto.
Nel caso in cui Microsoft Defender Antivirus non sia in grado di stabilire in modo chiaro, i metadati dei file vengono inviati al servizio di protezione cloud. Spesso entro millisecondi, il servizio di protezione cloud può determinare in base ai metadati se il file è dannoso o meno una minaccia.
- La query cloud dei metadati dei file può essere il risultato di comportamento, contrassegno del Web o altre caratteristiche in cui non viene determinato un verdetto chiaro.
- Viene inviato un piccolo payload di metadati, con l'obiettivo di raggiungere un verdetto di malware o non una minaccia. I metadati non includono informazioni personali. Le informazioni, ad esempio i nomi di file, vengono hash.
- Può essere sincrono o asincrono. Per la modalità sincrona, il file non verrà aperto fino a quando il cloud non esegue il rendering di un verdetto. Per i dati asincroni, il file viene aperto mentre la protezione cloud esegue l'analisi.
- I metadati possono includere attributi PE, attributi di file statici, attributi dinamici e contestuali e altro ancora (vedere Esempi di metadati inviati al servizio di protezione cloud).
Dopo aver esaminato i metadati, se la protezione cloud di Microsoft Defender Antivirus non riesce a raggiungere un verdetto conclusivo, può richiedere un campione del file per un'ulteriore ispezione. Questa richiesta rispetta la configurazione delle impostazioni per l'invio di esempio:
Inviare automaticamente campioni sicuri
- Gli esempi sicuri sono esempi che in genere non contengono dati personali, ad esempio: .bat, .scr, .dll, .exe.
- Se è probabile che il file contenga informazioni personali, l'utente riceve una richiesta per consentire l'invio di esempi di file.
- Questa opzione è l'impostazione predefinita in Windows, macOS e Linux.
Richiedi sempre conferma
- Se configurato, all'utente viene sempre richiesto il consenso prima dell'invio del file
- Questa impostazione non è disponibile nella protezione cloud macOS e Linux
Inviare tutti gli esempi automaticamente
- Se configurato, tutti gli esempi vengono inviati automaticamente
- Se si desidera che l'invio di esempi includa macro incorporate nella documentazione di Word, è necessario scegliere "Invia automaticamente tutti gli esempi"
- Questa impostazione non è disponibile in macOS Cloud Protection
Non inviare
- Impedisce "blocca al primo rilevamento" in base all'analisi di esempio di file
- "Non inviare" equivale all'impostazione "Disabilitato" nei criteri macOS e "Nessuno" nei criteri Linux.
- I metadati vengono inviati per i rilevamenti anche quando l'invio di campioni è disabilitato
Dopo l'invio dei file alla protezione cloud, i file inviati possono essere analizzati, detonati ed elaborati tramite modelli di Machine Learning per l'analisi dei Big Data per raggiungere un verdetto. La disattivazione della protezione fornita dal cloud limita l'analisi solo a ciò che il client può fornire tramite modelli di Machine Learning locali e funzioni simili.
Importante
Block at first sight (BAFS) fornisce detonazione e analisi per determinare se un file o un processo è sicuro. BAFS può ritardare momentaneamente l'apertura di un file finché non viene raggiunto un verdetto. Se si disabilita l'invio di esempi, anche BAFS viene disabilitato e l'analisi dei file è limitata solo ai metadati. È consigliabile mantenere abilitati l'invio di esempi e BAFS. Per altre informazioni, vedere Che cos'è "blocco al primo rilevamento"?
Livelli di protezione cloud
La protezione cloud è abilitata per impostazione predefinita in Microsoft Defender Antivirus. È consigliabile mantenere abilitata la protezione cloud, anche se è possibile configurare il livello di protezione per l'organizzazione. Vedere Specificare il livello di protezione fornito dal cloud per Microsoft Defender Antivirus.
Impostazioni di invio di esempio
Oltre a configurare il livello di protezione cloud, è possibile configurare le impostazioni di invio di esempio. È possibile scegliere tra diverse opzioni:
- Inviare automaticamente esempi sicuri (comportamento predefinito)
- Inviare tutti gli esempi automaticamente
- Non inviare esempi
Consiglio
L'uso dell'opzione Send all samples automatically offre una maggiore sicurezza, perché gli attacchi di phishing vengono usati per una quantità elevata di attacchi di accesso iniziali.
Per informazioni sulle opzioni di configurazione con Intune, Configuration Manager, Criteri di gruppo o PowerShell, vedere Attivare la protezione cloud in Microsoft Defender Antivirus.
Esempi di metadati inviati al servizio di protezione cloud
Nella tabella seguente sono elencati esempi di metadati inviati per l'analisi tramite protezione cloud:
| Tipo | Attributo |
|---|---|
| Attributi del computer | OS version Processor Security settings |
| Attributi dinamici e contestuali |
Processo e installazione ProcessName ParentProcess TriggeringSignature TriggeringFile Download IP and url HashedFullPath Vpath RealPath Parent/child relationships Comportamentale Connection IPs System changes API calls Process injection Impostazioni locali Locale setting Geographical location |
| Attributi di file statici |
Hash parziali e completi ClusterHash Crc16 Ctph ExtendedKcrcs ImpHash Kcrc3n Lshash LsHashs PartialCrc1 PartialCrc2 PartialCrc3 Sha1 Sha256 Proprietà file FileName FileSize Informazioni sul firmatario AuthentiCodeHash Issuer IssuerHash Publisher Signer SignerHash |
Gli esempi vengono trattati come dati dei clienti
Nel caso in cui ci si stia chiedendo cosa accade con gli invii di esempio, Defender per endpoint considera tutti gli esempi di file come dati dei clienti. Microsoft rispetta le scelte geografiche e di conservazione dei dati selezionate dall'organizzazione durante l'onboarding in Defender per endpoint.
Inoltre, Defender per endpoint ha ricevuto più certificazioni di conformità, a dimostrazione della continua conformità a un set sofisticato di controlli di conformità:
- ISO 27001
- ISO 27018
- SOC I, II, III
- PCI
Per ulteriori informazioni, vedere le seguenti risorse:
- Offerte di conformità di Azure
- Service Trust Portal
- Archiviazione e privacy dei dati di Microsoft Defender per endpoint
Altri scenari di invio di esempi di file
Esistono altri due scenari in cui Defender per endpoint potrebbe richiedere un esempio di file non correlato alla protezione cloud in Microsoft Defender Antivirus. Questi scenari sono descritti nella tabella seguente:
| Scenario | Descrizione |
|---|---|
| Raccolta manuale di esempi di file nel portale di Microsoft Defender | Quando si esegue l'onboarding dei dispositivi in Defender per endpoint, è possibile configurare le impostazioni per il rilevamento e la risposta degli endpoint (EDR).When onboarding devices to Defender for Endpoint, you can configure settings for endpoint detection and response (EDR). Ad esempio, è disponibile un'impostazione per abilitare le raccolte di esempio dal dispositivo, che possono essere facilmente confuse con le impostazioni di invio di esempio descritte in questo articolo. L'impostazione EDR controlla la raccolta di esempi di file dai dispositivi quando richiesto tramite il portale di Microsoft Defender ed è soggetta ai ruoli e alle autorizzazioni già stabiliti. Questa impostazione può consentire o bloccare la raccolta di file dall'endpoint per funzionalità come l'analisi approfondita nel portale di Microsoft Defender. Se questa impostazione non è configurata, l'impostazione predefinita consiste nell'abilitare la raccolta di esempi. Informazioni sulle impostazioni di configurazione di Defender per endpoint, vedere: Strumenti e metodi di onboarding per i dispositivi Windows 10 in Defender per endpoint |
| Analisi automatizzata del contenuto di analisi e risposta | Quando le indagini automatizzate sono in esecuzione nei dispositivi (se configurate per l'esecuzione automatica in risposta a un avviso o a un'esecuzione manuale), i file identificati come sospetti possono essere raccolti dagli endpoint per un'ulteriore ispezione. Se necessario, la funzionalità di analisi del contenuto dei file per le indagini automatizzate può essere disabilitata nel portale di Microsoft Defender. I nomi delle estensioni di file possono anche essere modificati per aggiungere o rimuovere estensioni per altri tipi di file che verranno inviati automaticamente durante un'indagine automatizzata. Per altre informazioni, vedere Gestire i caricamenti di file di automazione. |
Consiglio
Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:
- Impostare le preferenze per Microsoft Defender per endpoint su macOS
- Microsoft Defender per endpoint su Mac
- Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
- Impostare le preferenze per Microsoft Defender per endpoint su Linux
- Microsoft Defender per Endpoint su Linux
- Funzionalità di configurazione di Microsoft Defender per endpoint su Android
- Funzionalità di configurazione di Microsoft Defender per endpoint su iOS
Vedere anche
Panoramica sulla protezione di ultima generazione
Configurare la correzione per i rilevamenti di Microsoft Defender Antivirus.
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.