Gestire le esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender

Si applica a:

Piattaforme

  • Windows

Nota

In qualità di MVP Microsoft, Fabian Bader ha contribuito a questo articolo e ha fornito feedback materiale.

Microsoft Defender per endpoint include un'ampia gamma di funzionalità per prevenire, rilevare, analizzare e rispondere a minacce informatiche avanzate. Queste funzionalità includono la protezione di nuova generazione (che include Microsoft Defender Antivirus). Come con qualsiasi soluzione di endpoint protection o antivirus, a volte i file, le cartelle o i processi che non sono effettivamente una minaccia possono essere rilevati come dannosi da Defender per endpoint o Microsoft Defender Antivirus. Queste entità possono essere bloccate o inviate in quarantena, anche se non sono realmente una minaccia.

È possibile eseguire determinate azioni per evitare che si verifichino falsi positivi e problemi simili. Queste azioni includono:

Questo articolo illustra il funzionamento di queste azioni e descrive i vari tipi di esclusioni che possono essere definiti per Defender per endpoint e Microsoft Defender Antivirus.

Attenzione

La definizione delle esclusioni riduce il livello di protezione offerto da Defender per endpoint e Microsoft Defender Antivirus. Usare le esclusioni come ultima risorsa e assicurarsi di definire solo le esclusioni necessarie. Assicurarsi di esaminare periodicamente le esclusioni e rimuovere quelle non più necessarie. Vedere Punti importanti sulle esclusioni e sugli errori comuni da evitare.

Invii, eliminazioni ed esclusioni

Quando si tratta di falsi positivi o di entità note che generano avvisi, non è necessario aggiungere necessariamente un'esclusione. A volte la classificazione e l'eliminazione di un avviso sono sufficienti. È consigliabile inviare falsi positivi (e falsi negativi) a Microsoft anche per l'analisi. La tabella seguente descrive alcuni scenari e i passaggi da eseguire per quanto riguarda gli invii di file, le eliminazioni di avvisi e le esclusioni.

Scenario Passaggi da considerare
Falso positivo: un'entità, ad esempio un file o un processo, è stata rilevata e identificata come dannosa, anche se l'entità non è una minaccia. 1. Esaminare e classificare gli avvisi generati come risultato dell'entità rilevata.
2. Eliminare un avviso per un'entità nota.
3. Esaminare le azioni di correzione eseguite per l'entità rilevata.
4. Inviare il falso positivo a Microsoft per l'analisi .
5. Definire un'esclusione per l'entità (solo se necessario).
Problemi di prestazioni , ad esempio uno dei problemi seguenti:
- Un sistema presenta un utilizzo elevato della CPU o altri problemi di prestazioni.
- Un sistema presenta problemi di perdita di memoria.
- Il caricamento di un'app nei dispositivi è lento.
- Un'app è lenta ad aprire un file nei dispositivi.
1. Raccogliere i dati di diagnostica per Microsoft Defender Antivirus.
2. Se si usa una soluzione antivirus non Microsoft, rivolgersi al fornitore per eventuali esclusioni necessarie.
3. Analizzare il log di Microsoft Protection per visualizzare l'impatto stimato sulle prestazioni.
4. Definire un'esclusione per Microsoft Defender Antivirus (se necessario).
5. Creare un indicatore per Defender per endpoint (solo se necessario).
Problemi di compatibilità con prodotti antivirus non Microsoft.
Esempio: Defender per endpoint si basa sugli aggiornamenti dell'intelligence di sicurezza per i dispositivi, indipendentemente dal fatto che eseguano Microsoft Defender antivirus o una soluzione antivirus non Microsoft.
1. Se si usa un prodotto antivirus non Microsoft come soluzione antivirus/antimalware primaria, impostare Microsoft Defender Antivirus sulla modalità passiva.
2. Se si passa da una soluzione antivirus/antimalware non Microsoft a Defender per endpoint, vedere Passare a Defender per endpoint. Le linee guida includono:
- Esclusioni che potrebbe essere necessario definire per la soluzione antivirus/antimalware non Microsoft;
- Esclusioni che potrebbe essere necessario definire per Microsoft Defender Antivirus; e
- Risoluzione dei problemi relativi alle informazioni (nel caso in cui si verifichino problemi durante la migrazione).

Importante

Un indicatore "consenti" è il tipo di esclusione più forte che è possibile definire in Defender per endpoint. Assicurarsi di usare gli indicatori con parsimonia (solo se necessario) ed esaminare periodicamente tutte le esclusioni.

Invio di file per l'analisi

Se si dispone di un file che si ritiene erroneamente rilevato come malware (un falso positivo) o un file che si sospetta potrebbe essere malware anche se non è stato rilevato (un falso negativo), è possibile inviare il file a Microsoft per l'analisi. L'invio viene analizzato immediatamente e verrà quindi esaminato dagli analisti della sicurezza Microsoft. Puoi controllare lo stato dell'invio nella pagina della cronologia dell'invio.

L'invio di file per l'analisi consente di ridurre i falsi positivi e i falsi negativi per tutti i clienti. Per altre informazioni, vedere gli articoli seguenti:

Eliminazione degli avvisi

Se si ricevono avvisi nel portale di Microsoft Defender per strumenti o processi che non sono effettivamente una minaccia, è possibile eliminare tali avvisi. Per eliminare un avviso, creare una regola di eliminazione e specificare le azioni da eseguire in altri avvisi identici. È possibile creare regole di eliminazione per un avviso specifico in un singolo dispositivo o per tutti gli avvisi con lo stesso titolo nell'organizzazione.

Per altre informazioni, vedere gli articoli seguenti:

Esclusioni e indicatori

In alcuni casi, il termine esclusioni viene usato per fare riferimento alle eccezioni che si applicano a Defender per endpoint e Microsoft Defender Antivirus. Un modo più accurato per descrivere queste eccezioni è il seguente:

La tabella seguente riepiloga i tipi di esclusione che possono essere definiti per Defender per endpoint e Microsoft Defender Antivirus.

Consiglio

Prodotto/servizio Tipi di esclusione
Antivirus Microsoft Defender
Defender per endpoint Piano 1 o Piano 2
- Esclusioni automatiche (per i ruoli attivi in Windows Server 2016 e versioni successive)
- Esclusioni predefinite (per i file del sistema operativo in Windows)
- Esclusioni personalizzate, ad esempio esclusioni basate su processi, esclusioni basate sul percorso delle cartelle, esclusioni di estensione di file o esclusioni di file e cartelle contestuali
- Azioni di correzione personalizzate in base alla gravità della minaccia o per minacce specifiche

Le versioni autonome di Defender per Endpoint Piano 1 e Piano 2 non includono licenze server. Per eseguire l'onboarding dei server, è necessaria un'altra licenza, ad esempio Microsoft Defender per endpoint per i server o Microsoft Defender per i server piano 1 o 2. Per altre informazioni, vedere Defender per l'onboarding di Endpoint in Windows Server.

Se sei un'azienda di piccole o medie dimensioni che usa Microsoft Defender for Business, puoi ottenere Microsoft Defender for Business per server.
Defender per endpoint Piano 1 o Piano 2 - Indicatori per file, certificati o indirizzi IP, URL/domini
- Esclusioni di riduzione della superficie di attacco
- Esclusioni di accesso controllato alle cartelle
Defender per endpoint - Piano 2 Esclusioni di cartelle di automazione (per l'analisi automatizzata e la correzione)

Le sezioni seguenti descrivono in modo più dettagliato queste esclusioni:

Esclusioni di Microsoft Defender Antivirus

Microsoft Defender le esclusioni antivirus possono essere applicate alle analisi antivirus e/o alla protezione in tempo reale. Queste esclusioni includono:

Esclusioni automatiche

Le esclusioni automatiche (note anche come esclusioni automatiche dei ruoli del server) includono esclusioni per i ruoli e le funzionalità del server in Windows Server. Queste esclusioni non vengono analizzate dalla protezione in tempo reale , ma sono comunque soggette a analisi antivirus rapide, complete o su richiesta.

Alcuni esempi:

  • Servizio Replica file (FRS)
  • Hyper-V
  • SYSVOL
  • Active Directory
  • Server DNS.
  • Server di stampa
  • Server Web
  • Windows Server Update Services
  • ... e altro ancora.

Nota

Le esclusioni automatiche per i ruoli del server non sono supportate in Windows Server 2012 R2. Per i server che eseguono Windows Server 2012 R2 con il ruolo del server Active Directory Domain Services (AD DS) installato, è necessario specificare manualmente le esclusioni per i controller di dominio. Vedere Esclusioni di Active Directory.

Per altre informazioni, vedere Esclusioni automatiche dei ruoli del server.

Esclusioni predefinite

Le esclusioni predefinite includono alcuni file del sistema operativo esclusi da Microsoft Defender Antivirus in tutte le versioni di Windows (inclusi Windows 10, Windows 11 e Windows Server).

Alcuni esempi:

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • file Windows Update
  • file Sicurezza di Windows
  • ... e altro ancora.

L'elenco delle esclusioni predefinite in Windows viene mantenuto aggiornato man mano che cambia il panorama delle minacce. Per altre informazioni su queste esclusioni, vedere Microsoft Defender Esclusioni antivirus in Windows Server: esclusioni predefinite.

Esclusioni personalizzate

Le esclusioni personalizzate includono file e cartelle specificati. Le esclusioni per file, cartelle e processi verranno ignorate dalle analisi pianificate, dalle analisi su richiesta e dalla protezione in tempo reale. Le esclusioni per i file aperti al processo non verranno analizzate dalla protezione in tempo reale , ma saranno comunque soggette a analisi antivirus rapide, complete o su richiesta.

Azioni di correzione personalizzate

Quando Microsoft Defender Antivirus rileva una potenziale minaccia durante l'esecuzione di un'analisi, tenta di correggere o rimuovere la minaccia rilevata. È possibile definire azioni di correzione personalizzate per configurare il modo in cui Microsoft Defender Antivirus deve affrontare determinate minacce, se è necessario creare un punto di ripristino prima della correzione e quando le minacce devono essere rimosse. Configurare le azioni di correzione per i rilevamenti antivirus Microsoft Defender.

Indicatori di Defender per endpoint

È possibile definire indicatori con azioni specifiche per entità, ad esempio file, indirizzi IP, URL/domini e certificati. In Defender per endpoint gli indicatori vengono definiti indicatori di compromissione (IoC) e meno spesso come indicatori personalizzati. Quando si definiscono gli indicatori, è possibile specificare una delle azioni seguenti:

  • Consenti : Defender per endpoint non blocca file, indirizzi IP, URL/domini o certificati con indicatori consentiti. Usare questa azione con cautela.

  • Controllo: file, indirizzi IP e URL/domini con indicatori di controllo vengono monitorati e, quando gli utenti accedono, gli avvisi informativi vengono generati nel portale di Microsoft Defender.

  • Blocca e correggi : i file o i certificati con indicatori di blocco e correzione vengono bloccati e messi in quarantena quando vengono rilevati.

  • Blocca l'esecuzione : gli indirizzi IP e gli URL/domini con indicatori di esecuzione del blocco vengono bloccati. Gli utenti non possono accedere a tali posizioni.

  • Avvisa : gli indirizzi IP e gli URL/domini con gli indicatori Warn generano un messaggio di avviso quando un utente tenta di accedere a tali posizioni. Gli utenti possono scegliere di ignorare l'avviso e passare all'indirizzo IP o all'URL/dominio.

Importante

È possibile avere fino a 15.000 indicatori nel tenant.

La tabella seguente riepiloga i tipi di IoC e le azioni disponibili:

Tipo di indicatore Azioni disponibili
File -Consentire
-Revisione
-Avvertire
- Blocca l'esecuzione
- Bloccare e correggere
Indirizzi IP e URL/domini -Consentire
-Revisione
-Avvertire
- Blocca l'esecuzione
Certificati -Consentire
- Bloccare e correggere

Esclusioni di riduzione della superficie di attacco

Le regole di riduzione della superficie di attacco (note anche come regole ASR) sono destinate a determinati comportamenti software, ad esempio:

  • Avvio di file eseguibili e script che tentano di scaricare o eseguire file
  • Esecuzione di script che sembrano offuscati o altrimenti sospetti
  • Esecuzione di comportamenti che le app in genere non avviano durante il normale lavoro quotidiano

A volte, le applicazioni legittime presentano comportamenti software che potrebbero essere bloccati dalle regole di riduzione della superficie di attacco. Se ciò si verifica nell'organizzazione, è possibile definire esclusioni per determinati file e cartelle. Tali esclusioni vengono applicate a tutte le regole di riduzione della superficie di attacco. Vedere Abilitare le regole di riduzione della superficie di attacco.

Si noti inoltre che, sebbene la maggior parte delle esclusioni delle regole asr sia indipendente dalle esclusioni di antivirus Microsoft Defender, alcune regole asr rispettano alcune esclusioni Microsoft Defender Antivirus. Vedere Informazioni di riferimento sulle regole di riduzione della superficie di attacco : Microsoft Defender esclusioni antivirus e regole asr.

Esclusioni di accesso controllato alle cartelle

L'accesso controllato alle cartelle monitora le app per le attività rilevate come dannose e protegge il contenuto di determinate cartelle (protette) nei dispositivi Windows. L'accesso controllato alle cartelle consente solo alle app attendibili di accedere alle cartelle protette, ad esempio cartelle di sistema comuni (inclusi i settori di avvio) e altre cartelle specificate. È possibile consentire a determinate app o eseguibili firmati di accedere alle cartelle protette definendo esclusioni. Vedere Personalizzare l'accesso controllato alle cartelle.

Esclusioni di cartelle di automazione

Le esclusioni delle cartelle di automazione si applicano all'indagine automatizzata e alla correzione in Defender per endpoint, progettato per esaminare gli avvisi e intraprendere azioni immediate per risolvere le violazioni rilevate. Quando vengono attivati avvisi e viene eseguita un'indagine automatizzata, viene raggiunto un verdetto (dannoso, sospetto o nessuna minaccia trovata) per ogni elemento di prova indagato. A seconda del livello di automazione e di altre impostazioni di sicurezza, le azioni di correzione possono verificarsi automaticamente o solo dopo l'approvazione da parte del team delle operazioni di sicurezza.

È possibile specificare cartelle, estensioni di file in una directory specifica e nomi di file da escludere dalle funzionalità automatizzate di analisi e correzione. Tali esclusioni di cartelle di automazione si applicano a tutti i dispositivi caricati in Defender per endpoint. Queste esclusioni sono ancora soggette a analisi antivirus. Vedere Gestire le esclusioni di cartelle di automazione.

Come vengono valutate le esclusioni e gli indicatori

La maggior parte delle organizzazioni ha diversi tipi di esclusioni e indicatori per determinare se gli utenti devono essere in grado di accedere e usare un file o un processo. Le esclusioni e gli indicatori vengono elaborati in un ordine specifico in modo da gestire sistematicamente i conflitti di criteri.

L'immagine seguente riepiloga il modo in cui le esclusioni e gli indicatori vengono gestiti in Defender per endpoint e Microsoft Defender Antivirus:

Screenshot che mostra l'ordine in cui vengono valutate le esclusioni e gli indicatori.

Tenere presente quanto segue:

  1. Se un file/processo rilevato non è consentito da Windows Defender Controllo applicazione e AppLocker, viene bloccato. In caso contrario, procede a Microsoft Defender Antivirus.

  2. Se il file/processo rilevato non fa parte di un'esclusione per Microsoft Defender Antivirus, viene bloccato. In caso contrario, Defender per endpoint verifica la presenza di un indicatore personalizzato per il file o il processo.

  3. Se il file/processo rilevato ha un indicatore Blocca o Avvisa, viene eseguita tale azione. In caso contrario, il file/processo è consentito e procede alla valutazione in base alle regole di riduzione della superficie di attacco, all'accesso controllato alle cartelle e alla protezione SmartScreen.

  4. Se il file/processo rilevato non è bloccato dalle regole di riduzione della superficie di attacco, dall'accesso controllato alle cartelle o dalla protezione SmartScreen, procede a Microsoft Defender Antivirus.

  5. Se il file/processo rilevato non è consentito da Microsoft Defender Antivirus, viene verificata la presenza di un'azione in base all'ID minaccia.

Come vengono gestiti i conflitti di criteri

Nei casi in cui gli indicatori di Defender per endpoint sono in conflitto, ecco cosa aspettarsi:

  • Se sono presenti indicatori di file in conflitto, viene applicato l'indicatore che usa l'hash più sicuro. Ad esempio, SHA256 ha la precedenza su SHA-1, che ha la precedenza su MD5.

  • Se sono presenti indicatori URL in conflitto, viene usato l'indicatore più rigoroso. Per Microsoft Defender SmartScreen, viene applicato un indicatore che usa il percorso URL più lungo. Ad esempio, www.dom.ain/admin/ ha la precedenza su www.dom.ain. La protezione di rete si applica ai domini, anziché alle pagine secondarie all'interno di un dominio.

  • Se sono presenti indicatori simili per un file o un processo con azioni diverse, l'indicatore con ambito per un gruppo di dispositivi specifico ha la precedenza su un indicatore destinato a tutti i dispositivi.

Funzionamento dell'indagine e della correzione automatizzate con gli indicatori

Le funzionalità di indagine e correzione automatizzate in Defender per endpoint determinano prima un verdetto per ogni evidenza e quindi eseguono un'azione a seconda degli indicatori di Defender per endpoint. Pertanto, un file o un processo potrebbe ottenere un verdetto di "buono" (il che significa che non sono state trovate minacce) e comunque essere bloccato se è presente un indicatore con tale azione. Analogamente, un'entità potrebbe ottenere un verdetto "negativo" (il che significa che è determinata per essere dannosa) e comunque essere consentita se è presente un indicatore con tale azione.

Il diagramma seguente illustra il funzionamento dell'analisi e della correzione automatizzate con gli indicatori:

Screenshot che mostra l'analisi automatizzata e la correzione e gli indicatori.

Altri carichi di lavoro del server ed esclusioni

Se l'organizzazione usa altri carichi di lavoro server, ad esempio Exchange Server, SharePoint Server o SQL Server, tenere presente che solo i ruoli del server predefiniti (che potrebbero essere prerequisiti per il software installato in un secondo momento) in Windows Server vengono esclusi dalla funzionalità di esclusione automatica (e solo quando si usa il percorso di installazione predefinito). È probabile che sia necessario definire esclusioni antivirus per questi altri carichi di lavoro o per tutti i carichi di lavoro se si disabilitano le esclusioni automatiche.

Ecco alcuni esempi di documentazione tecnica per identificare e implementare le esclusioni necessarie:

A seconda di ciò che si sta usando, potrebbe essere necessario fare riferimento alla documentazione per il carico di lavoro del server.

Consiglio

Suggerimento per le prestazioni A causa di una varietà di fattori, Microsoft Defender Antivirus, come altri software antivirus, può causare problemi di prestazioni nei dispositivi endpoint. In alcuni casi, potrebbe essere necessario ottimizzare le prestazioni di Microsoft Defender Antivirus per ridurre tali problemi di prestazioni. Analizzatore prestazioni di Microsoft è uno strumento da riga di comando di PowerShell che consente di determinare quali file, percorsi di file, processi ed estensioni di file potrebbero causare problemi di prestazioni; Alcuni esempi sono:

  • Percorsi principali che influiscono sul tempo di analisi
  • File principali che influiscono sul tempo di analisi
  • Principali processi che influiscono sul tempo di analisi
  • Principali estensioni di file che influiscono sul tempo di analisi
  • Combinazioni, ad esempio:
    • file principali per estensione
    • percorsi principali per estensione
    • processi principali per percorso
    • analisi principali per file
    • analisi principali per file per processo

È possibile usare le informazioni raccolte tramite Analizzatore prestazioni per valutare meglio i problemi di prestazioni e applicare azioni correttive. Vedere: Analizzatore prestazioni per Microsoft Defender Antivirus.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.