Behandle utelatelser for Microsoft Defender for endepunkt og Microsoft Defender Antivirus

  • Artikkel

Gjelder for:

Plattformer

  • Windows

Obs!

Som Microsoft MVP bidro Fabian Bader til og ga vesentlig tilbakemelding for denne artikkelen.

Microsoft Defender for endepunkt inkluderer en rekke funksjoner for å forhindre, oppdage, undersøke og svare på avanserte netttrusler. Disse funksjonene inkluderer neste generasjons beskyttelse (som inkluderer Microsoft Defender Antivirus). Som med alle endepunktbeskyttelser eller antivirusløsninger kan filer, mapper eller prosesser som faktisk ikke er en trussel, oppdages som skadelige av Defender for Endpoint eller Microsoft Defender Antivirus. Disse enhetene kan blokkeres eller sendes til karantene, selv om de egentlig ikke er en trussel.

Du kan utføre bestemte handlinger for å forhindre at falske positiver og lignende problemer oppstår. Disse handlingene omfatter:

Denne artikkelen forklarer hvordan disse handlingene fungerer, og beskriver de ulike typene utelatelser som kan defineres for Defender for Endpoint og Microsoft Defender Antivirus.

Forsiktig!

Definering av utelatelser reduserer beskyttelsesnivået som tilbys av Defender for Endpoint og Microsoft Defender Antivirus. Bruk utelatelser som en siste utvei, og pass på at du bare definerer unntakene som er nødvendige. Pass på å se gjennom utelukkelsene dine med jevne mellomrom, og fjern de du ikke lenger trenger. Se viktige punkter om unntak og vanlige feil du bør unngå.

Innsendinger, undertrykkinger og utelatelser

Når du arbeider med falske positiver eller kjente enheter som genererer varsler, trenger du ikke nødvendigvis å legge til en utelatelse. Noen ganger er det nok å klassifisere og undertrykke et varsel. Vi anbefaler at du sender falske positiver (og falske negativer) til Microsoft for analyse også. Tabellen nedenfor beskriver noen scenarioer og hvilke trinn som må utføres med hensyn til filinnsendinger, varslingsundertrykkelser og utelatelser.

Scenario Trinn du bør vurdere
Falsk positiv: En enhet, for eksempel en fil eller en prosess, ble oppdaget og identifisert som skadelig, selv om enheten ikke er en trussel. 1. Se gjennom og klassifiser varsler som ble generert som et resultat av den oppdagede enheten.
2. Undertrykke et varsel for en kjent enhet.
3. Se gjennom utbedringshandlinger som ble utført for den oppdagede enheten.
4. Send den falske positive til Microsoft for analyse.
5. Definer en utelukkelse for enheten (bare om nødvendig).
Ytelsesproblemer , for eksempel ett av følgende problemer:
– Et system har høy CPU-bruk eller andre ytelsesproblemer.
- Et system har problemer med minnelekkasjen.
– Det tar lang tid å laste inn en app på enheter.
– En app er treg til å åpne en fil på enheter.		 1. Samle inn diagnosedata for Microsoft Defender Antivirus.
2. Hvis du bruker en antivirusløsning som ikke er fra Microsoft, kan du ta kontakt med leverandøren for eventuelle nødvendige unntak.
3. Analyser Microsoft Protection Log for å se den estimerte innvirkningen på ytelsen.
4. Definer en utelatelse for Microsoft Defender Antivirus (om nødvendig).
5. Opprett en indikator for Defender for endepunkt (bare om nødvendig).
Kompatibilitetsproblemer med antivirusprodukter som ikke er fra Microsoft.
Eksempel: Defender for Endpoint er avhengig av sikkerhetsintelligensoppdateringer for enheter, enten de kjører Microsoft Defender Antivirus eller en antivirusløsning som ikke er fra Microsoft.		 1. Hvis du bruker et antivirusprodukt som primær løsning for antivirus-/beskyttelse mot skadelig programvare, angir du Microsoft Defender Antivirus til passiv modus.
2. Hvis du bytter fra en annen løsning for antivirus-/beskyttelse mot skadelig programvare fra Microsoft til Defender for Endpoint, kan du se Bytte til Defender for endepunkt. Denne veiledningen inkluderer:
- Unntak du kanskje må definere for løsningen for antivirus-/beskyttelse mot skadelig programvare som ikke er fra Microsoft.
- Unntak du kanskje må definere for Microsoft Defender Antivirus, og
- Feilsøkingsinformasjon (i tilfelle noe går galt under overføring).

Viktig

En «tillat»-indikator er den sterkeste typen utelukkelse du kan definere i Defender for endepunkt. Pass på å bruke indikatorer med måte (bare når det er nødvendig), og se gjennom alle utelatelser med jevne mellomrom.

Sende filer til analyse

Hvis du har en fil som du tror feilaktig oppdages som skadelig programvare (en falsk positiv), eller en fil som du mistenker kan være skadelig programvare selv om den ikke ble oppdaget (en falsk negativ), kan du sende filen til Microsoft for analyse. Innsendingen skannes umiddelbart, og vil deretter bli gjennomgått av Microsofts sikkerhetsanalytikere. Du kan kontrollere statusen for innsendingen på siden for innsendingsloggen.

Innsending av filer til analyse bidrar til å redusere falske positiver og falske negativer for alle kunder. Hvis du vil ha mer informasjon, kan du se følgende artikler:

Undertrykke varsler

Hvis du får varsler i Microsoft Defender-portalen for verktøy eller prosesser som du vet egentlig ikke er en trussel, kan du undertrykke disse varslene. Hvis du vil undertrykke et varsel, oppretter du en undertrykkingsregel og angir hvilke handlinger som skal utføres for dette på andre, identiske varsler. Du kan opprette regler for undertrykkelse for et bestemt varsel på én enkelt enhet, eller for alle varsler som har samme tittel på tvers av organisasjonen.

Hvis du vil ha mer informasjon, kan du se følgende artikler:

Utelatelser og indikatorer

Noen ganger brukes termutelukkelser til å referere til unntak som gjelder på tvers av Defender for endepunkt og Microsoft Defender Antivirus. En mer nøyaktig måte å beskrive disse unntakene på, er som følger:

Tabellen nedenfor oppsummerer utelatelsestyper som kan defineres for Defender for Endpoint og Microsoft Defender Antivirus.

Tips

Produkt/tjeneste Utelatelsestyper
Microsoft Defender Antivirus
Defender for endepunktplan 1 eller plan 2		 - Automatiske utelatelser (for aktive roller på Windows Server 2016 og nyere)
- Innebygde utelatelser (for operativsystemfiler i Windows)
- Egendefinerte utelatelser, for eksempel prosessbaserte utelatelser, mappeplasseringsbaserte utelukkelser, utelukkelser for filtype eller kontekstuelle fil- og mappeutelukkelser
- Egendefinerte utbedringshandlinger basert på alvorsgrad for trusler eller for spesifikke trusler

De frittstående versjonene av Defender for Endpoint Plan 1 og Plan 2 inkluderer ikke serverlisenser. For servere på bord trenger du en annen lisens, for eksempel Microsoft Defender for endepunkt for servere eller Microsoft Defender for serverplan 1 eller 2. Hvis du vil ha mer informasjon, kan du se Defender for Endpoint onboarding Windows Server.

Hvis du er en liten eller mellomstor bedrift som bruker Microsoft Defender for bedrifter, kan du få Microsoft Defender for forretningsservere.
Defender for endepunktplan 1 eller plan 2 - Indikatorer for filer, sertifikater eller IP-adresser, nettadresser/domener
- Utelukkelser for reduksjon av angrepsoverflate
- Kontrollert tilgangsutelukkelse for mappe
Defender for endepunktplan 2 Utelukkelser for automatiseringsmappe (for automatisert undersøkelse og utbedring)

Avsnittene nedenfor beskriver disse utelukkelsene mer detaljert:

Microsoft Defender antivirusutelukkelse

Microsoft Defender antivirusutelukkelser kan gjelde for antivirusskanninger og/eller beskyttelse i sanntid. Disse unntakene omfatter:

Automatiske utelatelser

Automatiske utelatelser (også referert til som automatiske utelukkelser for serverrolle) omfatter utelukkelser for serverroller og funksjoner i Windows Server. Disse utelukkelsene skannes ikke av sanntidsbeskyttelse, men er fremdeles underlagt raske, fullstendige eller behovsbetingede antivirusskanninger.

Eksempler inkluderer:

  • File Replication Service (FRS)
  • Hyper-V
  • SYSVOL
  • Active Directory
  • DNS-server
  • Utskriftsserver
  • Webserver
  • Windows Server Update Services
  • ... og mer.

Obs!

Automatiske utelatelser for serverroller støttes ikke på Windows Server 2012 R2. For servere som kjører Windows Server 2012 R2 med serverrollen Active Directory Domain Services (AD DS) installert, må utelukkelser for domenekontrollere angis manuelt. Se Active Directory-utelatelser.

Hvis du vil ha mer informasjon, kan du se Utelukkelser for automatisk serverrolle.

Innebygde utelatelser

Innebygde utelatelser omfatter visse operativsystemfiler som er ekskludert av Microsoft Defender Antivirus i alle versjoner av Windows (inkludert Windows 10, Windows 11 og Windows Server).

Eksempler inkluderer:

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • Windows Update filer
  • Windows Sikkerhet filer
  • ... og mer.

Listen over innebygde utelatelser i Windows holdes oppdatert når trussellandskapet endres. Hvis du vil vite mer om disse utelukkelsene, kan du se Microsoft Defender Antivirus-utelukkelser på Windows Server: Innebygde utelatelser.

Egendefinerte utelatelser

Egendefinerte utelatelser omfatter filer og mapper du angir. Unntak for filer, mapper og prosesser vil bli hoppet over av planlagte skanninger, behovsbetingede skanninger og sanntidsbeskyttelse. Utelukkelser for prosessåpnede filer skannes ikke av sanntidsbeskyttelse, men er fremdeles underlagt raske, fullstendige eller behovsbetingede antivirusskanninger.

Egendefinerte utbedringshandlinger

Når Microsoft Defender Antivirus oppdager en potensiell trussel mens du kjører en skanning, forsøker den å utbedre eller fjerne den oppdagede trusselen. Du kan definere egendefinerte utbedringshandlinger for å konfigurere hvordan Microsoft Defender Antivirus skal håndtere visse trusler, om et gjenopprettingspunkt skal opprettes før utbedring, og når trusler skal fjernes. Konfigurer utbedringshandlinger for Microsoft Defender antivirusregistreringer.

Indikatorer for Defender for endepunkt

Du kan definere indikatorer med bestemte handlinger for enheter, for eksempel filer, IP-adresser, nettadresser/domener og sertifikater. I Defender for endepunkt kalles indikatorer indikatorer for kompromiss (IOCer) og sjeldnere som egendefinerte indikatorer. Når du definerer indikatorene, kan du angi én av følgende handlinger:

  • Tillat – Defender for Endpoint blokkerer ikke filer, IP-adresser, nettadresser/domener eller sertifikater som har Tillat-indikatorer. (Bruk denne handlingen med forsiktighet.)

  • Overvåking – Filer, IP-adresser og nettadresser/domener med overvåkingsindikatorer overvåkes, og når de åpnes av brukere, genereres informasjonsvarsler i Microsoft Defender-portalen.

  • Blokk og utbedring – Filer eller sertifikater med blokk- og utbedringsindikatorer blokkeres og settes i karantene når de oppdages.

  • Blokkkjøring – IP-adresser og nettadresser/domener med blokkkjøringsindikatorer blokkeres. Brukere får ikke tilgang til disse plasseringene.

  • Advarsel – IP-adresser og nettadresser/domener med varselindikatorer fører til at en advarsel vises når en bruker prøver å få tilgang til disse plasseringene. Brukere kan velge å hoppe over advarselen og fortsette til IP-adressen eller nettadressen/domenet.

Viktig

Du kan ha opptil 15 000 indikatorer i leieren.

Tabellen nedenfor oppsummerer IoC-typer og tilgjengelige handlinger:

Indikatortype Tilgjengelige handlinger
Filer -Tillate
-Tilsynet
-Advare
- Blokker kjøring
- Blokkere og utbedre
IP-adresser og nettadresser/domener -Tillate
-Tilsynet
-Advare
- Blokker kjøring
Sertifikater -Tillate
- Blokkere og utbedre

Tips

Se følgende ressurser for å finne ut mer om indikatorer:

Utelukkelser for reduksjon av angrepsoverflate

Regler for reduksjon av angrepsoverflater (også kjent som ASR-regler) retter seg mot visse programvarevirkemåter, for eksempel:

  • Starter kjørbare filer og skript som prøver å laste ned eller kjøre filer
  • Kjører skript som ser ut til å være obfuscated eller på annen måte mistenkelig
  • Utføre virkemåter som apper vanligvis ikke starter under vanlig daglig arbeid

Noen ganger viser legitime programmer programvareatferd som kan blokkeres av regler for reduksjon av angrepsoverflater. Hvis dette skjer i organisasjonen, kan du definere utelatelser for bestemte filer og mapper. Slike utelukkelser brukes på alle regler for reduksjon av angrepsoverflaten. Se Aktiver regler for reduksjon av angrepsoverflate.

Vær også oppmerksom på at selv om de fleste ASR-regelunntak er uavhengige av Microsoft Defender antivirusutelukkelser, overholder noen ASR-regler noen Microsoft Defender antivirusutelukkelser. Se referanse til regler for reduksjon av angrepsoverflaten – Microsoft Defender Antivirus-utelukkelser og ASR-regler.

Kontrollert tilgangsutelukkelse for mappe

Kontrollert mappetilgang overvåker apper for aktiviteter som oppdages som skadelige og beskytter innholdet i bestemte (beskyttede) mapper på Windows-enheter. Kontrollert mappetilgang gir bare klarerte apper tilgang til beskyttede mapper, for eksempel vanlige systemmapper (inkludert oppstartssektorer) og andre mapper du angir. Du kan tillate at bestemte apper eller signerte kjørbare filer får tilgang til beskyttede mapper ved å definere utelatelser. Se Tilpasse kontrollert mappetilgang.

Utelukkelser for automatiseringsmappe

Utelukkelser for automatiseringsmapper gjelder for automatisert undersøkelse og utbedring i Defender for Endpoint, som er utformet for å undersøke varsler og iverksette umiddelbare tiltak for å løse oppdagede brudd. Når varsler utløses, og en automatisert undersøkelse kjøres, er en dom (Ondsinnet, Mistenkelig eller Ingen trusler funnet) nådd for hvert bevis som undersøkes. Avhengig av automatiseringsnivået og andre sikkerhetsinnstillinger, kan utbedringshandlinger skje automatisk eller bare ved godkjenning av sikkerhetsoperasjonsteamet.

Du kan angi mapper, filtyper i en bestemt katalog og filnavn som skal utelukkes fra automatisert undersøkelse og utbedringsfunksjoner. Slike utelukkelser for automatiseringsmapper gjelder for alle enheter som er innebygd i Defender for endepunkt. Disse utelukkelsene er fremdeles underlagt antivirusskanninger. Se Behandle utelukkelser for automatiseringsmapper.

Slik evalueres utelatelser og indikatorer

De fleste organisasjoner har flere ulike typer utelatelser og indikatorer for å avgjøre om brukere skal kunne få tilgang til og bruke en fil eller prosess. Utelukkelser og indikatorer behandles i en bestemt rekkefølge, slik at politiske konflikter håndteres systematisk.

Bildet nedenfor oppsummerer hvordan utelatelser og indikatorer håndteres på tvers av Defender for Endpoint og Microsoft Defender Antivirus:

Skjermbilde som viser rekkefølgen utelatelser og indikatorer evalueres i.

Slik fungerer det:

  1. Hvis en oppdaget fil/prosess ikke er tillatt av Windows Defender Application Control og AppLocker, blokkeres den. Ellers fortsetter den til Microsoft Defender Antivirus.

  2. Hvis den oppdagede filen/prosessen ikke er en del av en utelukkelse for Microsoft Defender Antivirus, blokkeres den. Ellers ser Defender for Endpoint etter en egendefinert indikator for filen/prosessen.

  3. Hvis den registrerte filen/prosessen har en blokk- eller advarselsindikator, utføres denne handlingen. Ellers er filen/prosessen tillatt, og fortsetter evalueringen av regler for reduksjon av angrepsoverflaten, kontrollert mappetilgang og SmartScreen-beskyttelse.

  4. Hvis den oppdagede filen/prosessen ikke blokkeres av regler for reduksjon av angrepsoverflaten, kontrollert mappetilgang eller SmartScreen-beskyttelse, fortsetter den til Microsoft Defender Antivirus.

  5. Hvis den registrerte filen/prosessen ikke er tillatt av Microsoft Defender Antivirus, kontrolleres den for en handling basert på trussel-ID-en.

Slik håndteres policykonflikter

I tilfeller der Indikatorer for Defender for Endpoint er i konflikt, kan du se hva du kan forvente:

  • Hvis det finnes motstridende filindikatorer, brukes indikatoren som bruker den sikreste hash-koden. SHA256 har for eksempel forrang over SHA-1, som har prioritet over MD5.

  • Hvis det finnes indikatorer for motstridende nettadresser, brukes den strengere indikatoren. For Microsoft Defender SmartScreen brukes en indikator som bruker den lengste URL-banen. For eksempel har www.dom.ain/admin/ prioritet over www.dom.ain. (Nettverksbeskyttelse gjelder for domener i stedet for undersider i et domene.)

  • Hvis det finnes lignende indikatorer for en fil eller prosess som har forskjellige handlinger, har indikatoren som er begrenset til en bestemt enhetsgruppe, forrang over en indikator som er rettet mot alle enheter.

Slik fungerer automatisert undersøkelse og utbedring med indikatorer

Automatiserte undersøkelses- og utbedringsfunksjoner i Defender for Endpoint bestemmer først en dom for hvert bevis, og deretter utfører du en handling avhengig av Defender for endepunktindikatorer. Dermed kan en fil/prosess få en dom av "god" (noe som betyr at ingen trusler ble funnet) og fortsatt bli blokkert hvis det er en indikator med denne handlingen. På samme måte kan en enhet få en dom av "dårlig" (noe som betyr at den er fast bestemt på å være ondsinnet) og fortsatt være tillatt hvis det er en indikator med denne handlingen.

Diagrammet nedenfor viser hvordan automatisert undersøkelse og utbedring fungerer med indikatorer:

Skjermbilde som viser automatisert undersøkelse og utbedring og indikatorer.

Andre serverarbeidsbelastninger og utelatelser

Hvis organisasjonen bruker andre serverarbeidsbelastninger, for eksempel Exchange Server, SharePoint Server eller SQL Server, må du være oppmerksom på at bare innebygde serverroller (som kan være forutsetninger for programvare du installerer senere) på Windows Server, utelukkes av funksjonen for automatisk utelukkelse (og bare når du bruker standard installasjonsplassering). Du må sannsynligvis definere antivirusutelukkelser for disse andre arbeidsbelastningene, eller for alle arbeidsbelastninger hvis du deaktiverer automatiske utelatelser.

Her er noen eksempler på teknisk dokumentasjon for å identifisere og implementere unntakene du trenger:

Avhengig av hva du bruker, må du kanskje referere til dokumentasjonen for denne serverarbeidsbelastningen.

Tips

Ytelsestips På grunn av en rekke faktorer kan Microsoft Defender Antivirus, som andre antivirusprogrammer, forårsake ytelsesproblemer på endepunktenheter. I noen tilfeller må du kanskje justere ytelsen til Microsoft Defender Antivirus for å unngå disse ytelsesproblemene. Microsofts ytelsesanalyse er et powershell-kommandolinjeverktøy som bidrar til å avgjøre hvilke filer, filbaner, prosesser og filtyper som kan forårsake ytelsesproblemer. noen eksempler er:

  • De øverste banene som påvirker skannetiden
  • Populære filer som påvirker skannetiden
  • De viktigste prosessene som påvirker skannetiden
  • De mest populære filtypene som påvirker skannetiden
  • Kombinasjoner, for eksempel:
    • toppfiler per filtype
    • øverste baner per utvidelse
    • øverste prosesser per bane
    • toppskanninger per fil
    • toppskanninger per fil per prosess

Du kan bruke informasjonen som samles inn ved hjelp av Ytelsesanalyse, til å vurdere ytelsesproblemer bedre og bruke utbedringshandlinger. Se: Ytelsesanalyse for Microsoft Defender Antivirus.

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.