Wprowadzenie do skanowania złośliwego oprogramowania

Skanowanie złośliwego oprogramowania w usłudze Microsoft Defender for Storage zwiększa bezpieczeństwo kont usługi Azure Storage, wykrywając i zmniejszając zagrożenia przed złośliwym oprogramowaniem. Używa programu antywirusowego Microsoft Defender do skanowania zawartości magazynu, zapewniając bezpieczeństwo i zgodność danych.

Usługa Defender for Storage oferuje dwa typy skanowania złośliwego oprogramowania:

• Skanowanie złośliwego oprogramowania podczas przesyłania: Automatycznie skanuje pliki, gdy są przesyłane lub modyfikowane, zapewniając wykrywanie niemal w czasie rzeczywistym. Ten typ skanowania jest idealny dla aplikacji, które obejmują częste przesyłanie treści przez użytkowników, takich jak aplikacje internetowe lub platformy do współpracy. Skanowanie zawartości w momencie przesyłania pomaga zapobiec wprowadzaniu złośliwych plików do środowiska przechowywania danych i dalszemu rozprzestrzenianiu się.

• Skanowanie złośliwego oprogramowania na żądanie: umożliwia skanowanie istniejących blobów w razie potrzeby, co czyni je idealnym rozwiązaniem w przypadku reakcji na incydenty, zapewnienia zgodności oraz proaktywnych zabezpieczeń. Ten typ skanowania jest idealny do ustanowienia punktu odniesienia zabezpieczeń przez skanowanie wszystkich istniejących danych, reagowanie na alerty zabezpieczeń lub przygotowanie do inspekcji.

Te opcje ułatwiają ochronę kont magazynu, spełnianie wymagań dotyczących zgodności i zapewnianie integralności danych.

Dlaczego skanowanie złośliwego oprogramowania jest ważne

Zawartość przekazana do magazynu w chmurze może powodować złośliwe oprogramowanie, co stwarza zagrożenie dla organizacji. Skanowanie pod kątem złośliwego oprogramowania pomaga zapobiec rozprzestrzenianiu się złośliwych plików w danym środowisku.

Skanowanie złośliwego oprogramowania w usłudze Defender for Storage zapewnia następujące korzyści:

• Wykrywanie złośliwej zawartości: identyfikuje i ogranicza złośliwe oprogramowanie.
• Zwiększanie stanu zabezpieczeń: dodaje warstwę, aby zapobiec rozprzestrzenianiu się złośliwego oprogramowania.
• Obsługa zgodności: spełnia wymagania prawne.
• Upraszczanie zarządzania zabezpieczeniami: zapewnia natywne dla chmury rozwiązanie o niskiej konserwacji, które można konfigurować na dużą skalę.

Kluczowe cechy i funkcje

• Wbudowane rozwiązanie SaaS: umożliwia proste włączanie na dużą skalę przy zerowej konserwacji.
• Kompleksowe możliwości ochrony przed złośliwym kodem: Skanuje za pomocą programu antywirusowego Microsoft Defender (MDAV), przechwytywania polimorficznego i metamorficznego złośliwego oprogramowania.
• Kompleksowe wykrywanie: skanuje wszystkie typy plików, w tym archiwa, takie jak pliki ZIP i RAR, o wielkości do 50 GB na blob.
• Elastyczne opcje skanowania: umożliwia przekazywanie i skanowanie na żądanie w zależności od potrzeb.
• Integracja z alertami zabezpieczeń: generuje szczegółowe alerty w Microsoft Defender for Cloud.
• Obsługa automatyzacji: umożliwia automatyczne reagowanie przy użyciu usług platformy Azure, takich jak Logic Apps i Function Apps.
• Zgodność i inspekcja: dzienniki skanują wyniki pod kątem zgodności i inspekcji.
• Obsługa prywatnego punktu końcowego: obsługujeprywatne punkty końcowe, zapewniając prywatność danych, eliminując publiczne narażenie na internet.

Jakiego rodzaju skanowanie złośliwego oprogramowania działa dla Twoich potrzeb?

Jeśli chcesz uzyskać natychmiastową ochronę dla częstego przesyłania, skanowanie antywirusowe podczas przesyłania jest właściwym wyborem. Najlepiej jest skanować zawartość przekazaną przez użytkownika w aplikacjach internetowych, chronić udostępnione zasoby multimedialne i zapewnić zgodność z przepisami w sektorach regulowanych. Skanowanie przy przekazaniu jest również skuteczne, jeśli musisz zintegrować dane partnerskie, zabezpieczyć platformy współpracy lub zabezpieczyć potoki danych i zestawy danych uczenia maszynowego. Aby uzyskać więcej informacji, zobacz Skanowanie złośliwego oprogramowania podczas przekazywania.

Jeśli chcesz ustanowić punkty odniesienia zabezpieczeń, skanowanie złośliwego oprogramowania na żądanie jest doskonałym wyborem. Oferuje również elastyczność uruchamiania skanów w oparciu o określone potrzeby. Skanowanie na żądanie dobrze pasuje do rozwiązań w zakresie reagowania na zdarzenia, zgodności i proaktywnych rozwiązań w zakresie zabezpieczeń. Służy do automatyzowania skanowania w odpowiedzi na wyzwalacze zabezpieczeń, przygotowania do inspekcji za pomocą zaplanowanych skanów lub proaktywnego sprawdzania przechowywanych danych pod kątem złośliwego oprogramowania. Ponadto skanowanie na żądanie pomaga zapewnić pewność klienta i zweryfikować dane przed archiwizacją lub wymianą. Aby uzyskać więcej informacji, zobacz Skanowanie złośliwego oprogramowania na żądanie.

Podawanie wyników skanowania

Wyniki skanowania złośliwego oprogramowania są dostępne za pomocą czterech metod. Po skonfigurowaniu zobaczysz wyniki skanowania jako tagi indeksu blob dla każdego zeskanowanego pliku na koncie magazynowym oraz jako alerty zabezpieczeń Microsoft Defender for Cloud, gdy plik zostanie zidentyfikowany jako złośliwy. Możesz wyłączyć używanie tagów indeksu obiektów blob za pośrednictwem witryny Azure Portal i interfejsu API REST. Możesz skonfigurować dodatkowe metody wyników skanowania, takie jak Event Grid i Log Analytics. Te metody wymagają dodatkowej konfiguracji. W następnej sekcji poznasz różne metody wyników skanowania.

Wyniki skanowania

Tagi indeksu obiektów blob

Tagi indeksu obiektów blob są polami metadanych na obiekcie blob. Kategoryzują dane na koncie przechowywania przy użyciu tagów klucz-wartość. Te tagi są automatycznie indeksowane i uwidaczniane jako indeks wielowymiarowy z możliwością wyszukiwania w celu łatwego znajdowania danych. Użytkownicy mogą zdecydować, czy mają być przechowywane wyniki skanowania złośliwego oprogramowania przy użyciu tagów indeksu, czy nie (domyślnym zachowaniem jest użycie tagów indeksu). Wyniki skanowania są zwięzłe, wyświetlając wyniki skanowania złośliwego oprogramowania (nie znaleziono zagrożeń, złośliwe, błąd, nieskanowane) i czas skanowania złośliwego oprogramowania utc w metadanych obiektu blob jako dwa oddzielne tagi indeksu. Inne typy wyników (alerty, zdarzenia, dzienniki) zawierają więcej informacji.

Aplikacje mogą używać tagów indeksów blob do automatyzowania przepływów pracy, ale nie są odporne na manipulacje. Przeczytaj więcej na temat konfigurowania odpowiedzi.

Uwaga

Dostęp do tagów indeksu wymaga uprawnień. Aby uzyskać więcej informacji, zobacz Pobieranie, ustawianie i aktualizowanie tagów indeksu obiektów blob.

alerty zabezpieczeń Defender dla Chmury

Po wykryciu złośliwego pliku Microsoft Defender dla Chmury generuje alert zabezpieczeń Microsoft Defender dla Chmury. Aby wyświetlić alert, przejdź do alertów zabezpieczeń Microsoft Defender dla Chmury. Alert zabezpieczeń zawiera szczegóły i kontekst pliku, typ złośliwego oprogramowania oraz zalecane kroki badania i korygowania. Aby użyć tych alertów do korygowania, możesz:

• Wyświetl alerty zabezpieczeń w portalu Azure, przechodząc do Microsoft Defender dla Chmury>Alerty zabezpieczeń.
• Skonfiguruj automatyzacje na podstawie tych alertów.
• Eksportowanie alertów zabezpieczeń do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Możesz stale eksportować alerty zabezpieczeń usługi Microsoft Sentinel (SIEM firmy Microsoft) przy użyciu łącznika usługi Microsoft Sentinel lub innego wybranego rozwiązania SIEM.

Dowiedz się więcej o reagowaniu na alerty bezpieczeństwa.

Zdarzenie usługi Event Grid

Usługa Event Grid jest przydatna w przypadku automatyzacji sterowanej zdarzeniami. Jest to najszybsza metoda uzyskiwania wyników z minimalnym opóźnieniem w postaci zdarzeń, których można użyć do automatyzacji odpowiedzi.

Zdarzenia z niestandardowych tematów usługi Event Grid mogą być używane przez wiele typów punktów końcowych. Najbardziej przydatne punkty końcowe dla scenariuszy skanowania złośliwego oprogramowania to:

• Aplikacja funkcji (wcześniej nazywana Azure Function) — użyj funkcji bezserwerowej, aby uruchomić kod w celu automatycznej odpowiedzi, takiej jak przenoszenie, usuwanie lub poddanie kwarantannie.
• Webhook — w celu połączenia aplikacji.
• Kolejka usługi Event Hubs i Service Bus — w celu powiadamiania odbiorców podrzędnych. Dowiedz się, jak skonfigurować skanowanie złośliwego oprogramowania, aby każdy wynik skanowania był wysyłany automatycznie do tematu usługi Event Grid na potrzeby automatyzacji.

Analiza dzienników

Możesz zarejestrować wyniki skanowania pod kątem dowodów zgodności lub zbadać wyniki skanowania. Konfigurując miejsce docelowe obszaru roboczego usługi Log Analytics, można przechowywać każdy wynik skanowania w scentralizowanym repozytorium dzienników, które jest łatwe do wykonywania zapytań. Możesz wyświetlić wyniki, przechodząc do docelowego obszaru roboczego usługi Log Analytics i wyszukując tabelę StorageMalwareScanningResults .

W przypadku automatyzowania akcji opartych na wynikach skanowania zaleca się użycie tagów indeksu lub powiadomień usługi Event Grid. Na potrzeby tworzenia dziennika inspekcji wyników skanowania usługa Log Analytics jest preferowanym rozwiązaniem.

Dowiedz się więcej o konfigurowaniu rejestrowania na potrzeby skanowania złośliwego oprogramowania.

Wskazówka

Zapoznaj się z funkcją skanowania złośliwego oprogramowania w usłudze Defender for Storage za pośrednictwem naszego laboratorium praktycznego. Postępuj zgodnie z instrukcjami szkolenia Ninja, aby uzyskać szczegółowy przewodnik krok po kroku dotyczący konfigurowania i testowania skanowania pod kątem złośliwego oprogramowania. Konfigurowanie odpowiedzi na wyniki skanowania. Jest to część projektu 'labs', który pomaga klientom w rozpoczęciu pracy z Microsoft Defender for Cloud i zapewnia praktyczne doświadczenie jego możliwości.

Automatyzacja odpowiedzi

Skanowanie złośliwego oprogramowania obsługuje automatyczne odpowiedzi, takie jak usuwanie lub kwarantowanie podejrzanych plików. Zarządzaj tym za pomocą tagów indeksów blobów lub skonfiguruj zdarzenia Event Grid do celów automatyzacji. Automatyzowanie odpowiedzi na następujące sposoby:

• Blokuj dostęp do nieskanowanych lub złośliwych plików przy użyciu kontroli dostępu opartej na atrybutach( ABAC).
• Automatyczne usuwanie lub przenoszenie złośliwych plików do kwarantanny przy użyciu usługi Logic Apps (na podstawie alertów zabezpieczeń) lub usługi Event Grid z aplikacjami funkcji (na podstawie wyników skanowania).
• Przekazuj czyste pliki do innej lokalizacji za pomocą usługi Event Grid i aplikacji funkcji.

Dowiedz się więcej na temat konfigurowania odpowiedzi na wyniki skanowania złośliwego oprogramowania.

Konfiguracja skanowania złośliwego oprogramowania

Po włączeniu skanowania złośliwego oprogramowania w środowisku są automatycznie wykonywane następujące akcje:

• Dla każdego konta magazynowego, na którym włączone jest skanowanie w poszukiwaniu złośliwego oprogramowania, w tej samej grupie zasobów tworzony jest zasób tematu systemowego Event Grid. Jest on używany przez usługę skanowania do nasłuchiwania wyzwalaczy przesyłania obiektów blob. Usunięcie tego zasobu powoduje uszkodzenie funkcji skanowania złośliwego oprogramowania.
• Aby skanować dane, usługa skanowania złośliwego oprogramowania wymaga dostępu do danych. Podczas włączania usługi nowy zasób Skanera Danych o nazwie StorageDataScanner jest tworzony w ramach subskrypcji platformy Azure i przypisany do tożsamości zarządzanej przypisanej przez system. Ten zasób jest udzielany poprzez przypisanie roli Właściciel danych obiektu blob usługi Storage, co pozwala uzyskać dostęp do danych w celu skanowania złośliwego oprogramowania i wykrywania poufnych danych.

• Zasób StorageDataScanner jest również dodawany do zasad dostępu do zasobów sieciowych konta magazynu. Dzięki temu usługa Defender może skanować Twoje dane, kiedy dostęp z sieci publicznej do konta magazynu jest ograniczony.
• Jeśli włączasz skanowanie złośliwego oprogramowania na poziomie subskrypcji, nowy zasób o nazwie StorageAccounts/securityOperators/DefenderForStorageSecurityOperator zostanie utworzony w ramach subskrypcji platformy Azure. Ten zasób ma przypisaną tożsamość zarządzaną przez system. Służy do włączania i naprawiania konfiguracji usługi Defender for Storage oraz skanowania złośliwego oprogramowania na istniejących kontach magazynu. Ponadto sprawdza nowe konta magazynu utworzone w ramach subskrypcji w celu włączenia skanowania złośliwego oprogramowania. Ten zasób ma określone przypisania ról z uprawnieniami niezbędnymi do włączenia skanowania złośliwego oprogramowania.

Uwaga

Skanowanie złośliwego oprogramowania zależy od określonych zasobów, tożsamości i ustawień sieci w celu prawidłowego działania. Jeśli zmodyfikujesz lub usuniesz dowolny z tych elementów, skanowanie złośliwego oprogramowania przestanie działać. Aby przywrócić normalną operację, wyłącz ją i włącz ponownie.

Obsługiwana zawartość i ograniczenia

Treści wspierane

• Typy plików: wszystkie typy plików, w tym archiwa, takie jak pliki ZIP.

• Rozmiar pliku: bloby o rozmiarze do 50 GB.

Ograniczenia

• Nieobsługiwane konta magazynu: starsze konta magazynu w wersji 1 nie są obsługiwane.

• Nieobsługiwana usługa: skanowanie złośliwego oprogramowania nie obsługuje usługi Azure Files.

• Nieobsługiwane typy obiektów blob:Bloby typu append i page nie są obsługiwane.

• Nieobsługiwane szyfrowanie: nie można skanować zaszyfrowanych obiektów blob po stronie klienta, ponieważ usługa nie może ich odszyfrować. Obsługiwane są obiekty blob szyfrowane w stanie spoczynku przy użyciu kluczy zarządzanych przez klienta (CMK).

• Nieobsługiwane protokoły: obiekty blob przekazywane za pośrednictwem protokołu sieciowego systemu plików (NFS) 3.0 nie są skanowane.

• Tagi indeksu obiektów blob: tagi indeksu nie są obsługiwane dla kont magazynu z włączoną hierarchiczną przestrzenią nazw (Azure Data Lake Storage Gen2).

• Nieobsługiwane regiony: niektóre regiony nie są jeszcze obsługiwane do skanowania złośliwego oprogramowania. Usługa stale rozwija się w nowych regionach. Aby uzyskać najnowszą listę obsługiwanych regionów, zobacz Dostępność usługi Defender dla Chmury.

• Event Grid: tematy usługi Event Grid, które nie mają włączonego dostępu do sieci publicznej (np. połączenia z prywatnym punktem końcowym), nie są obsługiwane przez skanowanie złośliwego oprogramowania w usłudze Defender for Storage.

• Obiekt blob może nie zostać zeskanowany po aktualizacji metadanych**:** Jeśli metadane obiektu blob zostaną wkrótce zaktualizowane po przesłaniu, skanowanie podczas przesyłania może zakończyć się niepowodzeniem. Aby uniknąć tego problemu, zaleca się określenie metadanych obiektu blob w elemencie BlobOpenWriteOptions lub opóźnienie aktualizacji metadanych obiektu blob do momentu skanowania obiektu blob.

• Limity czasu skanowania: W zależności od rozmiaru i złożoności skanowanie niektórych obiektów blob może zajmować dużo czasu. Na przykład skanowanie plików zip z wieloma wpisami zwykle trwa długo. Defender wymusza górny limit na określony czas skanowania pojedynczego blobu. Czas ten może wynosić od 30 minut do 3 godzin, w zależności od rozmiaru danych blob. Jeśli skanowanie obiektu blob trwa dłużej niż przeznaczony czas, skanowanie zostaje przerwane, a wynik skanowania będzie oznaczony jako "Przekroczono limit czasu skanowania".

Inne koszty

Usługi platformy Azure: skanowanie w poszukiwaniu złośliwego oprogramowania korzysta z innych usług platformy Azure, które mogą powodować dodatkowe koszty:

• Operacje odczytu usługi Azure Storage

• Indeksowanie obiektów blob usługi Azure Storage (aby zmniejszyć koszty poniesione przy użyciu tagów indeksu obiektów blob, możesz wyłączyć używanie tagów indeksu do przechowywania wyników skanowania złośliwego oprogramowania w witrynie Azure Portal lub interfejsie API REST)

• Zdarzenia usługi Azure Event Grid

Pulpit nawigacyjny szacowania cen usługi Microsoft Defender dla magazynu może pomóc oszacować całkowity oczekiwany koszt usługi Defender for Storage.

Skanowanie obiektów blob i wpływ na IOPS

Za każdym razem, gdy usługa skanowania złośliwego oprogramowania skanuje plik, wyzwala inną operację odczytu i aktualizuje tag indeksu. Dotyczy to zarówno skanowania przy przesyłaniu, które następuje po przesłaniu lub zmodyfikowaniu obiektu blob, jak i skanowania na żądanie. Pomimo tych operacji dostęp do zeskanowanych danych pozostaje nienaruszony. Wpływ operacji wejścia/wyjścia magazynu na sekundę (IOPS) jest minimalny, dzięki czemu te operacje zwykle nie powodują znacznego obciążenia. Aby zmniejszyć wpływ na liczbę operacji we/wy na sekundę, możesz wyłączyć używanie tagów indeksu do przechowywania wyników skanowania złośliwego oprogramowania.

Scenariusze, w których skanowanie złośliwego oprogramowania jest nieskuteczne

Skanowanie złośliwego oprogramowania zapewnia kompleksowe możliwości wykrywania, ale istnieją konkretne scenariusze, w których staje się nieskuteczne z powodu właściwych ograniczeń. Przed podjęciem decyzji o włączeniu skanowania pod kątem złośliwego oprogramowania na koncie magazynowym należy dokładnie ocenić te scenariusze:

• Dane fragmentowane: Skanowanie złośliwego oprogramowania jest nieskuteczne w wykrywaniu zagrożeń w obiektach blob podzielonych na mniejsze elementy. Bloby zawierające nagłówek pliku, ale brakujące pozostałe fragmenty pliku zostaną oznaczone jako uszkodzone. W przypadku obiektów blob zawierających końcówkę oryginalnego pliku, ale bez nagłówka pliku, silnik antymalware nie wykryje żadnego złośliwego oprogramowania. Aby wyeliminować to ryzyko, należy rozważyć dodatkowe środki bezpieczeństwa, takie jak skanowanie danych przed fragmentowaniem lub po ich pełnym ponownym złożeniu.

• Zaszyfrowane dane: skanowanie złośliwego oprogramowania nie obsługuje zaszyfrowanych danych po stronie klienta. Usługa nie może odszyfrować tych danych, więc żadne złośliwe oprogramowanie w tych zaszyfrowanych obiektach blob nie jest wykrywane. Jeśli szyfrowanie jest konieczne, przeskanuj dane przed procesem szyfrowania lub użyj obsługiwanych metod szyfrowania, takich jak klucze zarządzane przez klienta (CMK), do szyfrowania danych w stanie spoczynku.

• Dane kopii zapasowej: Kopie zapasowe składają się z fragmentów z różnych plików. Jeśli złośliwy plik zostanie uwzględniony w kopii zapasowej, może to spowodować fałszywe wykrycie złośliwości w pliku kopii zapasowej, który sam w sobie nie jest złośliwy.

Podczas podejmowania decyzji o włączeniu skanowania złośliwego oprogramowania, rozważ, czy inne obsługiwane pliki są przesyłane na konto przechowywania. Ponadto należy ocenić, czy osoby atakujące mogą wykorzystać ten strumień przekazywania w celu wprowadzenia złośliwego oprogramowania.

Różnice w wykrywaniu złośliwego oprogramowania między usługą Azure Storage i środowiskami punktów końcowych

Usługa Defender for Storage korzysta z tego samego aparatu chroniącego przed złośliwym oprogramowaniem i up-topodpisów daty co usługa Defender dla punktu końcowego w celu skanowania pod kątem złośliwego oprogramowania. Jednak po przekazaniu plików do usługi Azure Storage brakuje pewnych metadanych, od których zależy aparat ochrony przed złośliwym oprogramowaniem. Ten brak metadanych może prowadzić do wyższego wskaźnika pominiętych wykryć, znanych jako "fałszywie ujemne", w usłudze Azure Storage w porównaniu do wykryć zidentyfikowanych przez usługę Defender for Endpoint.

Poniżej przedstawiono kilka przykładów brakujących metadanych:

• Znak sieci Web (MOTW): MOTW to funkcja zabezpieczeń systemu Windows, która śledzi pliki pobierane z Internetu. Jednak po przekazaniu plików do usługi Azure Storage te metadane nie są zachowywane.

• Kontekst ścieżki pliku: w standardowych systemach operacyjnych ścieżka pliku może zapewnić więcej kontekstu wykrywania zagrożeń. Na przykład plik próbujący zmodyfikować lokalizacje systemowe (na przykład C:\Windows\System32) będzie oflagowany jako podejrzany i podlega dalszej analizie. W usłudze Azure Storage kontekst określonych ścieżek plików w obiekcie blob nie może być używany w ten sam sposób.

• Dane behawioralne: usługa Defender for Storage analizuje zawartość plików bez ich uruchamiania. Sprawdza pliki i może emulować ich wykonywanie w celu sprawdzenia pod kątem złośliwego oprogramowania. Jednak takie podejście może nie wykrywać niektórych typów złośliwego oprogramowania, które ujawniają złośliwy charakter tylko podczas wykonywania.

Dostęp i prywatność danych

Wymagania dotyczące dostępu do danych

Usługa skanowania złośliwego oprogramowania wymaga dostępu do danych w celu skanowania pod kątem złośliwego oprogramowania. Podczas włączania usługi nowy zasób skanera danych o nazwie StorageDataScanner jest tworzony w ramach subskrypcji platformy Azure. Ten zasób ma przypisaną przez system zarządzaną tożsamość oraz przydzieloną rolę Właściciel danych Blob usługi Storage, aby uzyskać dostęp do danych i je skanować.

Jeśli konfiguracja sieciowa konta magazynu jest ustawiona na Włącz dostęp do sieci publicznej z wybranych sieci wirtualnych i adresów IP, zasób StorageDataScanner zostanie dodany do sekcji Wystąpienia zasobów w konfiguracji sieciowej konta magazynu, aby umożliwić dostęp do skanowania.

Prywatność danych i przetwarzanie regionalne

• Przetwarzanie regionalne: skanowanie odbywa się w tym samym regionie Azure co konto magazynowe w celu spełnienia wymagań dotyczących rezydencji danych.

• Obsługa danych: zeskanowane pliki nie są przechowywane. W niektórych przypadkach metadane pliku (na przykład skrót SHA-256) mogą być udostępniane z Microsoft Defender dla Punktu Końcowego w celu dalszej analizy.

Obsługa możliwych wyników fałszywie dodatnich i wyników fałszywie ujemnych

Wyniki fałszywie dodatnie

Wyniki fałszywie dodatnie występują, gdy system niepoprawnie identyfikuje łagodny plik jako złośliwy. Aby rozwiązać te problemy:

1. Prześlij do analizy

   • Użyj Portalu Zgłaszania Prób, aby zgłosić fałszywe alarmy.

   • Wybierz pozycję "Microsoft Defender for Storage" jako źródło podczas przesyłania.

2. Pomijanie alertów

   • Utwórz reguły pomijania w Defender dla Chmury, aby zapobiec określonym cyklicznym alertom fałszywie dodatnim.

Rozwiązywanie problemu niewykrytego złośliwego oprogramowania (błędnie negatywne)

Fałszywie ujemne występują, gdy system nie wykryje złośliwego pliku. Jeśli podejrzewasz, że tak się stało, możesz zgłosić niewykryte złośliwe oprogramowanie, przesyłając plik do analizy za pośrednictwem portalu do przesyłania próbek. Pamiętaj, aby uwzględnić jak najwięcej kontekstu, aby wyjaśnić, dlaczego uważasz, że plik jest złośliwy.

Uwaga

Regularne raportowanie wyników fałszywie dodatnich i negatywnych pomaga zwiększyć dokładność systemu wykrywania złośliwego oprogramowania w czasie.

Powiązana zawartość

• Skanowanie złośliwego oprogramowania podczas wysyłania w usłudze Microsoft Defender for Storage

• Skanowanie złośliwego oprogramowania na żądanie w usłudze Microsoft Defender for Storage