Del via

Skybeskyttelse og eksempelinnsending på Microsoft Defender Antivirus

  • Artikkel

Gjelder for:

Plattformer

  • Windows

  • Macos

  • Linux

  • Windows Server

Microsoft Defender Antivirus bruker mange intelligente mekanismer for å oppdage skadelig programvare. En av de kraftigste funksjonene er muligheten til å bruke kraften i skyen til å oppdage skadelig programvare og utføre raske analyser. Skybeskyttelse og automatisk innsending av eksempler fungerer sammen med Microsoft Defender Antivirus for å beskytte mot nye og nye trusler.

Hvis en mistenkelig eller ondsinnet fil oppdages, sendes et eksempel til skytjenesten for analyse mens Microsoft Defender Antivirus blokkerer filen. Så snart en beslutning er gjort, som skjer raskt, filen er enten utgitt eller blokkert av Microsoft Defender Antivirus.

Denne artikkelen gir en oversikt over skybeskyttelse og automatisk innsending av eksempler på Microsoft Defender Antivirus. Hvis du vil lære mer om skybeskyttelse, kan du se Skybeskyttelse og Microsoft Defender Antivirus.

Slik fungerer skybeskyttelse og eksempelinnsending sammen

For å forstå hvordan skybeskyttelse fungerer sammen med eksempelinnsending, kan det være nyttig å forstå hvordan Defender for Endpoint beskytter mot trusler. Microsoft Intelligent Security Graph overvåker trusseldata fra et stort nettverk av sensorer. Microsoft lager skybaserte maskinlæringsmodeller som kan vurdere filer basert på signaler fra klienten og det store nettverket av sensorer og data i Intelligent Security Graph. Denne tilnærmingen gir Defender for Endpoint muligheten til å blokkere mange trusler som aldri før er sett.

Følgende bilde viser flyten av skybeskyttelse og eksempelinnsending med Microsoft Defender Antivirus:

Skybasert beskyttelsesflyt

Microsoft Defender antivirus- og skybeskyttelse blokkerer automatisk de fleste nye, aldri før-sett-trusler ved første øyekast ved hjelp av følgende metoder:

  1. Lette klientbaserte maskinlæringsmodeller som blokkerer ny og ukjent skadelig programvare.

  2. Lokal atferdsanalyse, stoppe filbaserte og filløse angrep.

  3. Antivirus med høy presisjon som oppdager vanlig skadelig programvare gjennom generiske og heuristikktiske teknikker.

  4. Avansert skybasert beskyttelse tilbys for tilfeller der Microsoft Defender Antivirus som kjører på endepunktet, trenger mer intelligens for å bekrefte hensikten med en mistenkelig fil.

    1. Hvis Microsoft Defender Antivirus ikke kan bestemme klart, sendes filmetadata til skybeskyttelsestjenesten. Skybeskyttelsestjenesten kan ofte bestemme basert på metadataene om filen er skadelig eller ikke.

      • Skyspørringen av filmetadata kan være et resultat av virkemåte, nettmerke eller andre egenskaper der en klar dom ikke fastslås.
      • En liten nyttelast for metadata sendes, med mål om å nå en dom av skadelig programvare eller ikke en trussel. Metadataene inkluderer ikke personlig identifiserbar informasjon (PII). Informasjon, for eksempel filnavn, er hash-kodet.
      • Kan være synkron eller asynkron. For synkront åpnes ikke filen før skyen gjengir en dom. For asynkront åpnes filen mens skybeskyttelse utfører sin analyse.
      • Metadata kan omfatte PE-attributter, statiske filattributter, dynamiske og kontekstavhengige attributter og mer (se eksempler på metadata som sendes til skybeskyttelsestjenesten).

    2. Etter å ha undersøkt metadataene, hvis Microsoft Defender antivirusskybeskyttelse ikke kan nå en avgjørende vurdering, kan den be om et eksempel på filen for videre inspeksjon. Denne forespørselen respekterer innstillingskonfigurasjonen for eksempelinnsending:

      1. Send sikre eksempler automatisk

        • Sikre eksempler er eksempler som anses å ikke vanligvis inneholde PII-data som: .bat, .scr, .dll, .exe.
        • Hvis filen sannsynligvis inneholder PII, får brukeren en forespørsel om å tillate innsending av fileksempel.
        • Dette alternativet er standard på Windows, macOS og Linux.

      2. Spør alltid

        • Hvis den er konfigurert, blir brukeren alltid bedt om samtykke før filinnsending
        • Denne innstillingen er ikke tilgjengelig i macOS- og Linux-skybeskyttelse

      3. Send alle eksempler automatisk

        • Hvis konfigurert, sendes alle eksemplene automatisk
        • Hvis du vil at eksempelinnsending skal inkludere makroer som er innebygd i Word dokumenter, må du velge «Send alle eksempler automatisk»
        • Denne innstillingen er ikke tilgjengelig på macOS-skybeskyttelse

      4. Ikke send

        • Forhindrer «blokk ved første blikk» basert på fileksempelanalyse
        • «Ikke send» tilsvarer «Deaktivert»-innstillingen i macOS-policyen og «Ingen»-innstillingen i Linux-policyen.
        • Metadata sendes for gjenkjenninger selv når eksempelinnsending er deaktivert

    3. Når filene er sendt til skybeskyttelse, kan de innsendte filene skannes, detoneres og behandles gjennom maskinlæringsmodeller for stordataanalyse for å nå en dom. Deaktivering av analyse av skybaserte beskyttelsesgrenser til bare det klienten kan tilby gjennom lokale maskinlæringsmodeller og lignende funksjoner.

Viktig

Blokk ved første blikk (BAFS) gir detonasjon og analyse for å avgjøre om en fil eller prosess er trygg. BAFS kan forsinke åpningen av en fil et øyeblikk til en dom er nådd. Hvis du deaktiverer innsending av eksempler, deaktiveres OGSÅ BAFS, og filanalyse er begrenset til bare metadata. Vi anbefaler at du holder eksempelinnsending og BAFS aktivert. Hvis du vil ha mer informasjon, kan du se Hva er «blokk ved første blikk»?

Skybeskyttelsesnivåer

Skybeskyttelse er aktivert som standard på Microsoft Defender Antivirus. Vi anbefaler at du holder skybeskyttelse aktivert, selv om du kan konfigurere beskyttelsesnivået for organisasjonen. Se Angi beskyttelsesnivået som leveres i skyen for Microsoft Defender Antivirus.

Eksempelinnstillinger for innsending

I tillegg til å konfigurere beskyttelsesnivået i skyen, kan du konfigurere innstillingene for innsending av eksempler. Du kan velge blant flere alternativer:

  • Send sikre eksempler automatisk (standard virkemåte)
  • Send alle eksempler automatisk
  • Ikke send eksempler

Tips

Send all samples automatically Bruk av alternativet gir bedre sikkerhet, fordi phishing-angrep brukes for en høy mengde innledende tilgangsangrep. Hvis du vil ha informasjon om konfigurasjonsalternativer ved hjelp av Intune, Configuration Manager, gruppepolicy eller PowerShell, kan du se Slå på skybeskyttelse på Microsoft Defender Antivirus.

Eksempler på metadata som sendes til skybeskyttelsestjenesten

Eksempler på metadata som sendes til skybeskyttelse i antivirusportalen Microsoft Defender

Tabellen nedenfor viser eksempler på metadata som sendes til analyse av skybeskyttelse:

Type: Attributt
Maskinattributter OS version
Processor
Security settings
Dynamiske og kontekstavhengige attributter Prosess og installasjon
ProcessName
ParentProcess
TriggeringSignature
TriggeringFile
Download IP and url
HashedFullPath
Vpath
RealPath
Parent/child relationships

Atferdsmessige
Connection IPs
System changes
API calls
Process injection

Nasjonal innstilling
Locale setting
Geographical location
Statiske filattributter Delvise og fullstendige hash-koder
ClusterHash
Crc16
Ctph
ExtendedKcrcs
ImpHash
Kcrc3n
Lshash
LsHashs
PartialCrc1
PartialCrc2
PartialCrc3
Sha1
Sha256

Filegenskaper
FileName
FileSize

Signatarinformasjon
AuthentiCodeHash
Issuer
IssuerHash
Publisher
Signer
SignerHash

Eksempler behandles som kundedata

I tilfelle du lurer på hva som skjer med eksempelinnsendinger, behandler Defender for Endpoint alle fileksempler som kundedata. Microsoft respekterer både de geografiske valgene og valgene for dataoppbevaring organisasjonen valgte ved pålasting til Defender for endepunkt.

I tillegg har Defender for Endpoint mottatt flere samsvarssertifiseringer, noe som viser fortsatt overholdelse av et sofistikert sett med samsvarskontroller:

  • ISO 27001
  • ISO 27018
  • SOC I, II, III
  • PCI

Hvis du vil ha mer informasjon, kan du se følgende ressurser:

Andre scenarier for innsending av fileksempel

Det finnes to scenarioer til der Defender for Endpoint kan be om et fileksempel som ikke er relatert til skybeskyttelsen på Microsoft Defender Antivirus. Disse scenariene er beskrevet i tabellen nedenfor:

Scenario Beskrivelse
Manuell fileksempelsamling i Microsoft Defender-portalen Når pålastingsenheter til Defender for endepunkt, kan du konfigurere innstillinger for endepunktregistrering og -respons (EDR). Det finnes for eksempel en innstilling for å aktivere eksempelsamlinger fra enheten, som enkelt kan forveksles med innstillingene for innsending av eksempler som er beskrevet i denne artikkelen.

EDR-innstillingen kontrollerer fileksempelsamlingen fra enheter når den blir forespurt gjennom Microsoft Defender-portalen, og er underlagt rollene og tillatelsene som allerede er opprettet. Denne innstillingen kan tillate eller blokkere filsamling fra endepunktet for funksjoner som dyp analyse i Microsoft Defender-portalen. Hvis denne innstillingen ikke er konfigurert, er standard å aktivere eksempelsamling.

Finn ut mer om konfigurasjonsinnstillinger for Defender for endepunkt, se: Pålastingsverktøy og -metoder for Windows 10 enheter i Defender for Endpoint
Automatisert analyse av undersøkelse og svarinnhold Når automatiserte undersøkelser kjører på enheter (når de er konfigurert til å kjøre automatisk som svar på et varsel eller kjører manuelt), kan filer som identifiseres som mistenkelige, samles inn fra endepunktene for videre inspeksjon. Om nødvendig kan funksjonen for filinnholdsanalyse for automatiserte undersøkelser deaktiveres i Microsoft Defender-portalen.

Filtypenavnene kan også endres for å legge til eller fjerne filtyper for andre filtyper som sendes inn automatisk under en automatisert undersøkelse.

Hvis du vil ha mer informasjon, kan du se Behandle opplastinger av automatiseringsfiler.

Tips

Hvis du leter etter antivirusrelatert informasjon for andre plattformer, kan du se:

Se også

Oversikt over neste generasjons beskyttelse

Konfigurer utbedring for Microsoft Defender antivirusregistreringer.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.