Delen via

Cloudbeveiliging en voorbeeldinzending bij Microsoft Defender Antivirus

  • Artikel

Van toepassing op:

Platforms

  • Windows

  • macOS

  • Linux

  • Windows Server

Microsoft Defender Antivirus maakt gebruik van veel intelligente mechanismen voor het detecteren van malware. Een van de krachtigste mogelijkheden is de mogelijkheid om de kracht van de cloud toe te passen om malware te detecteren en snelle analyses uit te voeren. Cloudbeveiliging en automatische indiening van voorbeelden werken samen met Microsoft Defender Antivirus om bescherming te bieden tegen nieuwe en opkomende bedreigingen.

Als er een verdacht of schadelijk bestand wordt gedetecteerd, wordt een voorbeeld verzonden naar de cloudservice voor analyse, terwijl Het bestand wordt geblokkeerd door Microsoft Defender Antivirus. Zodra een bepaling is gemaakt, wat snel gebeurt, wordt het bestand vrijgegeven of geblokkeerd door Microsoft Defender Antivirus.

Dit artikel bevat een overzicht van cloudbeveiliging en het automatisch indienen van voorbeelden bij Microsoft Defender Antivirus. Zie Cloudbeveiliging en Microsoft Defender Antivirus voor meer informatie over cloudbeveiliging.

Hoe cloudbeveiliging en voorbeeldinzending samenwerken

Als u wilt begrijpen hoe cloudbeveiliging samenwerkt met het indienen van voorbeelden, kan het handig zijn om te begrijpen hoe Defender voor Eindpunt beschermt tegen bedreigingen. Microsoft Intelligent Security Graph bewaakt bedreigingsgegevens van een uitgebreid netwerk van sensoren. Microsoft biedt cloudgebaseerde machine learning-modellen die bestanden kunnen beoordelen op basis van signalen van de client en het enorme netwerk van sensoren en gegevens in de Intelligent Security Graph. Deze benadering biedt Defender voor Eindpunt de mogelijkheid om veel nooit eerder geziene bedreigingen te blokkeren.

In de volgende afbeelding ziet u de stroom van cloudbeveiliging en het indienen van voorbeelden met Microsoft Defender Antivirus:

Cloudbeveiligingsstroom

Microsoft Defender Antivirus en cloudbeveiliging blokkeren automatisch de meeste nieuwe, nooit eerder geziene bedreigingen op het eerste gezicht met behulp van de volgende methoden:

  1. Lichtgewicht machine learning-modellen op basis van client, waardoor nieuwe en onbekende malware wordt geblokkeerd.

  2. Lokale gedragsanalyse, het stoppen van aanvallen op basis van bestanden en aanvallen zonder bestanden.

  3. Hoge precisie antivirus, het detecteren van algemene malware via algemene en heuristische technieken.

  4. Geavanceerde cloudbeveiliging wordt geboden voor gevallen waarin Microsoft Defender Antivirus op het eindpunt meer informatie nodig heeft om de intentie van een verdacht bestand te verifiëren.

    1. Als Microsoft Defender Antivirus geen duidelijke bepaling kan maken, worden bestandsmetagegevens verzonden naar de cloudbeveiligingsservice. Vaak binnen milliseconden kan de cloudbeveiligingsservice op basis van de metagegevens bepalen of het bestand schadelijk is of geen bedreiging vormt.

      • De cloudquery van bestandsmetagegevens kan het resultaat zijn van gedrag, het kenmerk van het web of andere kenmerken waarbij geen duidelijk oordeel wordt bepaald.
      • Er wordt een kleine nettolading met metagegevens verzonden, met als doel een oordeel te bereiken over malware of geen bedreiging. De metagegevens bevatten geen persoonlijk identificeerbare informatie (PII). Informatie, zoals bestandsnamen, worden gehasht.
      • Kan synchroon of asynchroon zijn. Voor synchroon wordt het bestand pas geopend als de cloud een oordeel geeft. Voor asynchroon wordt het bestand geopend terwijl cloudbeveiliging de analyse uitvoert.
      • Metagegevens kunnen PE-kenmerken, statische bestandskenmerken, dynamische en contextuele kenmerken en meer bevatten (zie Voorbeelden van metagegevens die naar de cloudbeveiligingsservice worden verzonden).

    2. Nadat de metagegevens zijn onderzocht, kan microsoft Defender Antivirus-cloudbeveiliging niet tot een definitief oordeel komen, een voorbeeld van het bestand aanvragen voor verdere inspectie. Met deze aanvraag wordt de configuratie van de instellingen voor voorbeeldinzending uitgevoerd:

      1. Veilige voorbeelden automatisch verzenden

        • Veilige voorbeelden worden beschouwd als voorbeelden die doorgaans geen PII-gegevens bevatten, zoals: .bat, .scr, .dll, .exe.
        • Als het bestand waarschijnlijk PII bevat, krijgt de gebruiker een aanvraag om het indienen van een bestandsvoorbeeld toe te staan.
        • Deze optie is de standaardinstelling voor Windows, macOS en Linux.

      2. Altijd vragen

        • Indien geconfigureerd, wordt de gebruiker altijd om toestemming gevraagd voordat het bestand wordt verzonden
        • Deze instelling is niet beschikbaar in macOS- en Linux-cloudbeveiliging

      3. Alle voorbeelden automatisch verzenden

        • Als deze is geconfigureerd, worden alle voorbeelden automatisch verzonden
        • Als u wilt dat voorbeeldinzending macro's bevat die zijn ingesloten in Word-documenten, moet u 'Alle voorbeelden automatisch verzenden' kiezen
        • Deze instelling is niet beschikbaar voor macOS-cloudbeveiliging

      4. Niet verzenden

        • Voorkomt 'blokkeren bij eerste detectie' op basis van bestandsvoorbeeldanalyse
        • 'Niet verzenden' is het equivalent van de instelling 'Uitgeschakeld' in macOS-beleid en 'Geen' in Linux-beleid.
        • Metagegevens worden verzonden voor detecties, zelfs wanneer het verzenden van voorbeelden is uitgeschakeld

    3. Nadat bestanden zijn verzonden naar cloudbeveiliging, kunnen de ingediende bestanden worden gescand, ontplofd en verwerkt via machine learning-modellen voor big data-analyse om tot een oordeel te komen. Als u cloudbeveiliging uitschakelt, wordt analyse beperkt tot alleen wat de client kan bieden via lokale machine learning-modellen en vergelijkbare functies.

Belangrijk

Block at First Sight (BAFS) biedt ontplofing en analyse om te bepalen of een bestand of proces veilig is. BAFS kan het openen van een bestand tijdelijk uitstellen totdat een uitspraak is bereikt. Als u voorbeeldverzending uitschakelt, wordt BAFS ook uitgeschakeld en is bestandsanalyse beperkt tot alleen metagegevens. We raden u aan het inzenden van voorbeelden en BAFS ingeschakeld te houden. Zie Wat is 'blokkeren bij eerste zicht'? voor meer informatie.

Cloudbeveiligingsniveaus

Cloudbeveiliging is standaard ingeschakeld bij Microsoft Defender Antivirus. We raden u aan cloudbeveiliging ingeschakeld te houden, hoewel u het beveiligingsniveau voor uw organisatie kunt configureren. Zie Het cloudbeveiligingsniveau opgeven voor Microsoft Defender Antivirus.

Instellingen voor voorbeeldinzending

Naast het configureren van uw cloudbeveiligingsniveau, kunt u de instellingen voor het indienen van voorbeelden configureren. U kunt kiezen uit verschillende opties:

  • Veilige voorbeelden automatisch verzenden (het standaardgedrag)
  • Alle voorbeelden automatisch verzenden
  • Geen voorbeelden verzenden

Tip

Het gebruik van de Send all samples automatically optie biedt betere beveiliging, omdat phishingaanvallen worden gebruikt voor een groot aantal initiële toegangsaanvallen. Zie Cloudbeveiliging inschakelen bij Microsoft Defender Antivirus voor meer informatie over configuratieopties met Behulp van Intune, Configuration Manager, Groepsbeleid of PowerShell.

Voorbeelden van metagegevens die naar de cloudbeveiligingsservice worden verzonden

De voorbeelden van metagegevens die zijn verzonden naar cloudbeveiliging in de Microsoft Defender Antivirus-portal

De volgende tabel bevat voorbeelden van metagegevens die zijn verzonden voor analyse door cloudbeveiliging:

Type Attribuut
Machinekenmerken OS version
Processor
Security settings
Dynamische en contextuele kenmerken Proces en installatie
ProcessName
ParentProcess
TriggeringSignature
TriggeringFile
Download IP and url
HashedFullPath
Vpath
RealPath
Parent/child relationships

Gedrags
Connection IPs
System changes
API calls
Process injection

Landinstelling
Locale setting
Geographical location
Kenmerken van statische bestanden Gedeeltelijke en volledige hashes
ClusterHash
Crc16
Ctph
ExtendedKcrcs
ImpHash
Kcrc3n
Lshash
LsHashs
PartialCrc1
PartialCrc2
PartialCrc3
Sha1
Sha256

Bestandseigenschappen
FileName
FileSize

Gegevens van ondertekenaar
AuthentiCodeHash
Issuer
IssuerHash
Publisher
Signer
SignerHash

Voorbeelden worden behandeld als klantgegevens

Voor het geval u zich afvraagt wat er gebeurt met voorbeeldinzendingen, behandelt Defender voor Eindpunt alle bestandsvoorbeelden als klantgegevens. Microsoft houdt rekening met zowel de geografische opties als de keuzes voor gegevensretentie die uw organisatie heeft geselecteerd bij het onboarden van Defender voor Eindpunt.

Daarnaast heeft Defender voor Eindpunt meerdere nalevingscertificeringen ontvangen, wat aantoont dat er nog steeds wordt voldaan aan een geavanceerde set nalevingscontroles:

  • ISO 27001
  • ISO 27018
  • SOC I, II, III
  • PCI

Zie de volgende hulpmiddelen voor meer informatie:

Andere scenario's voor het indienen van voorbeelden van bestanden

Er zijn nog twee scenario's waarin Defender voor Eindpunt een bestandsvoorbeeld aanvraagt dat niet is gerelateerd aan de cloudbeveiliging bij Microsoft Defender Antivirus. Deze scenario's worden beschreven in de volgende tabel:

Scenario Omschrijving
Handmatige voorbeeldverzameling van bestanden in de Microsoft Defender-portal Wanneer u apparaten onboardt voor Defender voor Eindpunt, kunt u instellingen configureren voor eindpuntdetectie en -respons (EDR). Er is bijvoorbeeld een instelling voor het inschakelen van voorbeeldverzamelingen vanaf het apparaat, die gemakkelijk kan worden verward met de instellingen voor voorbeeldverzending die in dit artikel worden beschreven.

De EDR-instelling beheert het verzamelen van bestandsvoorbeelden van apparaten wanneer dit wordt aangevraagd via de Microsoft Defender-portal en is onderworpen aan de rollen en machtigingen die al zijn ingesteld. Met deze instelling kan het verzamelen van bestanden vanaf het eindpunt worden toegestaan of geblokkeerd voor functies zoals diepgaande analyse in de Microsoft Defender-portal. Als deze instelling niet is geconfigureerd, is de standaardinstelling het inschakelen van voorbeeldverzameling.

Meer informatie over configuratie-instellingen voor Defender voor Eindpunt, zie: Onboarding tools and methods for Windows 10 devices in Defender for Endpoint (Hulpprogramma's en methoden voor onboarding voor Windows 10-apparaten in Defender voor Eindpunt)
Geautomatiseerde analyse van onderzoeks- en antwoordinhoud Wanneer geautomatiseerde onderzoeken worden uitgevoerd op apparaten (wanneer deze zijn geconfigureerd om automatisch te worden uitgevoerd als reactie op een waarschuwing of handmatig), kunnen bestanden die als verdacht worden geïdentificeerd, worden verzameld van de eindpunten voor verdere inspectie. Indien nodig kan de functie bestandsinhoudsanalyse voor geautomatiseerde onderzoeken worden uitgeschakeld in de Microsoft Defender-portal.

De namen van de bestandsextensies kunnen ook worden gewijzigd om extensies toe te voegen of te verwijderen voor andere bestandstypen die automatisch worden verzonden tijdens een geautomatiseerd onderzoek.

Zie Automation-bestandsuploads beheren voor meer informatie.

Tip

Als u op zoek bent naar informatie over antivirus voor andere platforms, raadpleegt u:

Zie ook

Overzicht van beveiliging van de volgende generatie

Herstel configureren voor Detecties van Microsoft Defender Antivirus.

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.