Delen via

Cloudbeveiliging en voorbeeldinzending bij Microsoft Defender Antivirus

  • Artikel

Van toepassing op:

Platforms

  • Windows

  • macOS

  • Linux

  • Windows Server

Microsoft Defender Antivirus maakt gebruik van veel intelligente mechanismen voor het detecteren van malware. Een van de krachtigste mogelijkheden is de mogelijkheid om de kracht van de cloud toe te passen om malware te detecteren en snelle analyses uit te voeren. Cloudbeveiliging en automatische indiening van voorbeelden werken samen met Microsoft Defender Antivirus om bescherming te bieden tegen nieuwe en opkomende bedreigingen.

Als er een verdacht of schadelijk bestand wordt gedetecteerd, wordt een voorbeeld verzonden naar de cloudservice voor analyse terwijl Microsoft Defender Antivirus het bestand blokkeert. Zodra een bepaling is gemaakt, wat snel gebeurt, wordt het bestand vrijgegeven of geblokkeerd door Microsoft Defender Antivirus.

Dit artikel bevat een overzicht van cloudbeveiliging en het automatisch indienen van voorbeelden op Microsoft Defender Antivirus. Zie Cloudbeveiliging en Microsoft Defender Antivirus voor meer informatie over cloudbeveiliging.

Hoe cloudbeveiliging en voorbeeldinzending samenwerken

Als u wilt begrijpen hoe cloudbeveiliging samenwerkt met het indienen van voorbeelden, kan het handig zijn om te begrijpen hoe Defender voor Eindpunt beschermt tegen bedreigingen. Microsoft Intelligent Security Graph bewaakt bedreigingsgegevens van een uitgebreid netwerk van sensoren. Microsoft biedt cloudgebaseerde machine learning-modellen die bestanden kunnen beoordelen op basis van signalen van de client en het enorme netwerk van sensoren en gegevens in de Intelligent Security Graph. Deze benadering biedt Defender voor Eindpunt de mogelijkheid om veel nooit eerder geziene bedreigingen te blokkeren.

In de volgende afbeelding ziet u de stroom van cloudbeveiliging en voorbeeldinzending met Microsoft Defender Antivirus:

Cloudbeveiligingsstroom

Microsoft Defender Antivirus en cloudbeveiliging blokkeren automatisch de meeste nieuwe, nooit eerder geziene bedreigingen bij het eerste gezicht met behulp van de volgende methoden:

  1. Lichtgewicht machine learning-modellen op basis van client, waardoor nieuwe en onbekende malware wordt geblokkeerd.

  2. Lokale gedragsanalyse, het stoppen van aanvallen op basis van bestanden en aanvallen zonder bestanden.

  3. Hoge precisie antivirus, het detecteren van algemene malware via algemene en heuristische technieken.

  4. Geavanceerde cloudbeveiliging wordt geboden voor gevallen waarin Microsoft Defender Antivirus op het eindpunt meer informatie nodig heeft om de intentie van een verdacht bestand te verifiëren.

    1. Als Microsoft Defender Antivirus geen duidelijke bepaling kan maken, worden bestandsmetagegevens verzonden naar de cloudbeveiligingsservice. Vaak binnen milliseconden kan de cloudbeveiligingsservice op basis van de metagegevens bepalen of het bestand schadelijk is of geen bedreiging vormt.

      • De cloudquery van bestandsmetagegevens kan het resultaat zijn van gedrag, het kenmerk van het web of andere kenmerken waarbij geen duidelijk oordeel wordt bepaald.
      • Er wordt een kleine nettolading met metagegevens verzonden, met als doel een oordeel te bereiken over malware of geen bedreiging. De metagegevens bevatten geen persoonsgegevens, zoals persoonlijk identificeerbare informatie (PII). Informatie, zoals bestandsnamen, worden gehasht.
      • Kan synchroon of asynchroon zijn. Voor synchroon wordt het bestand pas geopend als de cloud een oordeel geeft. Voor asynchroon wordt het bestand geopend terwijl cloudbeveiliging de analyse uitvoert.
      • Metagegevens kunnen PE-kenmerken, statische bestandskenmerken, dynamische en contextuele kenmerken en meer bevatten (zie Voorbeelden van metagegevens die naar de cloudbeveiligingsservice worden verzonden).

    2. Als Microsoft Defender Antivirus-cloudbeveiliging na het onderzoeken van de metagegevens geen definitief oordeel kan bereiken, kan het een voorbeeld van het bestand aanvragen voor verdere inspectie. Deze aanvraag houdt zich aan de instellingsconfiguratie voor het indienen van voorbeelden, zoals beschreven in de volgende tabel:

      Instelling Beschrijving
      Veilige voorbeelden automatisch verzenden - Veilige steekproeven zijn steekproeven die niet vaak PII-gegevens bevatten. Voorbeelden zijn .bat, .scr, .dllen .exe.
      - Als het bestand waarschijnlijk PII bevat, krijgt de gebruiker een verzoek om het indienen van een bestand toe te staan.
      - Deze optie is de standaardconfiguratie voor Windows, macOS en Linux.
      Altijd vragen - Indien geconfigureerd, wordt de gebruiker altijd om toestemming gevraagd voordat het bestand wordt verzonden
      - Deze instelling is niet beschikbaar in macOS- en Linux-cloudbeveiliging
      Alle voorbeelden automatisch verzenden - Indien geconfigureerd, worden alle voorbeelden automatisch verzonden
      - Als u wilt dat voorbeeldverzending macro's bevat die zijn ingesloten in Word documenten, moet u Alle voorbeelden automatisch verzenden kiezen
      - Deze instelling is niet beschikbaar voor macOS-cloudbeveiliging
      Niet verzenden - Voorkomt 'blokkeren bij eerste detectie' op basis van bestandsvoorbeeldanalyse
      - 'Niet verzenden' is het equivalent van de instelling 'Uitgeschakeld' in macOS-beleid en 'Geen' in Het Linux-beleid.
      - Metagegevens worden verzonden voor detecties, zelfs wanneer het indienen van voorbeelden is uitgeschakeld

    3. Nadat bestanden zijn verzonden naar cloudbeveiliging, kunnen de ingediende bestanden worden gescand, ontplofd en verwerkt via machine learning-modellen voor big data-analyse om tot een oordeel te komen. Als u cloudbeveiliging uitschakelt, wordt analyse beperkt tot alleen wat de client kan bieden via lokale machine learning-modellen en vergelijkbare functies.

Belangrijk

Block at First Sight (BAFS) biedt ontplofing en analyse om te bepalen of een bestand of proces veilig is. BAFS kan het openen van een bestand tijdelijk uitstellen totdat een uitspraak is bereikt. Als u voorbeeldverzending uitschakelt, wordt BAFS ook uitgeschakeld en is bestandsanalyse beperkt tot alleen metagegevens. We raden u aan het inzenden van voorbeelden en BAFS ingeschakeld te houden. Zie Wat is 'blokkeren bij eerste zicht'? voor meer informatie.

Cloudbeveiligingsniveaus

Cloudbeveiliging is standaard ingeschakeld op Microsoft Defender Antivirus. We raden u aan cloudbeveiliging ingeschakeld te houden, hoewel u het beveiligingsniveau voor uw organisatie kunt configureren. Zie Het cloudbeveiligingsniveau opgeven voor Microsoft Defender Antivirus.

Instellingen voor voorbeeldinzending

Naast het configureren van uw cloudbeveiligingsniveau, kunt u de instellingen voor het indienen van voorbeelden configureren. U kunt kiezen uit verschillende opties:

  • Veilige voorbeelden automatisch verzenden (het standaardgedrag)
  • Alle voorbeelden automatisch verzenden
  • Geen voorbeelden verzenden

Tip

Het gebruik van de Send all samples automatically optie biedt betere beveiliging, omdat phishingaanvallen worden gebruikt voor een groot aantal initiële toegangsaanvallen. Zie Cloudbeveiliging inschakelen bij Microsoft Defender Antivirus voor meer informatie over configuratieopties met behulp van Intune, Configuration Manager, groepsbeleid of PowerShell.

Voorbeelden van metagegevens die naar de cloudbeveiligingsservice worden verzonden

De voorbeelden van metagegevens die naar cloudbeveiliging worden verzonden in de Microsoft Defender Antivirus-portal

De volgende tabel bevat voorbeelden van metagegevens die zijn verzonden voor analyse door cloudbeveiliging:

Type Attribuut
Machinekenmerken OS version
Processor
Security settings
Dynamische en contextuele kenmerken Proces en installatie
ProcessName
ParentProcess
TriggeringSignature
TriggeringFile
Download IP and url
HashedFullPath
Vpath
RealPath
Parent/child relationships

Gedrags
Connection IPs
System changes
API calls
Process injection

Landinstelling
Locale setting
Geographical location
Kenmerken van statische bestanden Gedeeltelijke en volledige hashes
ClusterHash
Crc16
Ctph
ExtendedKcrcs
ImpHash
Kcrc3n
Lshash
LsHashs
PartialCrc1
PartialCrc2
PartialCrc3
Sha1
Sha256

Bestandseigenschappen
FileName
FileSize

Gegevens van ondertekenaar
AuthentiCodeHash
Issuer
IssuerHash
Publisher
Signer
SignerHash

Voorbeelden worden behandeld als klantgegevens

Voor het geval u zich afvraagt wat er gebeurt met voorbeeldinzendingen, behandelt Defender voor Eindpunt alle bestandsvoorbeelden als klantgegevens. Microsoft houdt rekening met zowel de geografische opties als de keuzes voor gegevensretentie die uw organisatie heeft geselecteerd bij het onboarden van Defender voor Eindpunt.

Daarnaast heeft Defender voor Eindpunt meerdere nalevingscertificeringen ontvangen, wat aantoont dat er nog steeds wordt voldaan aan een geavanceerde set nalevingscontroles:

  • ISO 27001
  • ISO 27018
  • SOC I, II, III
  • PCI

Zie de volgende hulpmiddelen voor meer informatie:

Andere scenario's voor het indienen van voorbeelden van bestanden

Er zijn nog twee scenario's waarin Defender voor Eindpunt een bestand kan aanvragen dat niet is gerelateerd aan de cloudbeveiliging op Microsoft Defender Antivirus. Deze scenario's worden beschreven in de volgende tabel:

Scenario Omschrijving
Handmatige voorbeeldverzameling van bestanden in de Microsoft Defender-portal Wanneer u apparaten onboardt voor Defender voor Eindpunt, kunt u instellingen configureren voor eindpuntdetectie en -respons (EDR). Er is bijvoorbeeld een instelling voor het inschakelen van voorbeeldverzamelingen vanaf het apparaat, die gemakkelijk kan worden verward met de instellingen voor voorbeeldverzending die in dit artikel worden beschreven.

De instelling EDR beheert het verzamelen van bestandsvoorbeelden van apparaten wanneer dit wordt aangevraagd via de Microsoft Defender-portal en is onderhevig aan de rollen en machtigingen die al zijn ingesteld. Met deze instelling kan het verzamelen van bestanden vanaf het eindpunt worden toegestaan of geblokkeerd voor functies zoals diepgaande analyse in de Microsoft Defender portal. Als deze instelling niet is geconfigureerd, is de standaardinstelling het inschakelen van voorbeeldverzameling.

Meer informatie over configuratie-instellingen voor Defender voor Eindpunt: Hulpprogramma's en methoden voor het onboarden van apparaten voor Windows 10 in Defender voor Eindpunt
Geautomatiseerde analyse van onderzoeks- en antwoordinhoud Wanneer geautomatiseerde onderzoeken worden uitgevoerd op apparaten (wanneer deze zijn geconfigureerd om automatisch te worden uitgevoerd als reactie op een waarschuwing of handmatig), kunnen bestanden die als verdacht worden geïdentificeerd, worden verzameld van de eindpunten voor verdere inspectie. Indien nodig kan de functie bestandsinhoudsanalyse voor geautomatiseerde onderzoeken worden uitgeschakeld in de Microsoft Defender portal.

De namen van de bestandsextensies kunnen ook worden gewijzigd om extensies toe te voegen of te verwijderen voor andere bestandstypen die automatisch worden verzonden tijdens een geautomatiseerd onderzoek.

Zie Automation-bestandsuploads beheren voor meer informatie.

Tip

Als u op zoek bent naar informatie over antivirus voor andere platforms, raadpleegt u:

Zie ook

Overzicht van beveiliging van de volgende generatie

Herstel configureren voor Microsoft Defender Antivirusdetecties.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.