Proteção de nuvem e envio de exemplo no Microsoft Defender Antivírus
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender Antivírus
Plataformas
Windows
macOS
Linux
Windows Server
Microsoft Defender Antivírus usa muitos mecanismos inteligentes para detectar malware. Uma das funcionalidades mais poderosas é a capacidade de aplicar o poder da nuvem para detectar malware e executar análises rápidas. A proteção de nuvem e o envio automático de exemplos funcionam em conjunto com Microsoft Defender Antivírus para ajudar a proteger contra ameaças novas e emergentes.
Se um arquivo suspeito ou mal-intencionado for detectado, um exemplo será enviado ao serviço de nuvem para análise enquanto Microsoft Defender Antivírus bloqueia o arquivo. Assim que uma determinação é feita, o que acontece rapidamente, o arquivo é liberado ou bloqueado por Microsoft Defender Antivírus.
Este artigo fornece uma visão geral da proteção de nuvem e do envio automático de exemplo em Microsoft Defender Antivírus. Para saber mais sobre proteção na nuvem, confira Proteção na nuvem e Microsoft Defender Antivírus.
Como a proteção de nuvem e o envio de exemplo funcionam juntos
Para entender como a proteção de nuvem funciona junto com o envio de exemplo, pode ser útil entender como o Defender para Ponto de Extremidade protege contra ameaças. O Microsoft Intelligent Security Graph monitora dados de ameaças de uma vasta rede de sensores. A Microsoft camadas modelos de machine learning baseados em nuvem que podem avaliar arquivos com base em sinais do cliente e na vasta rede de sensores e dados no Intelligent Security Graph. Essa abordagem fornece ao Defender para Ponto de Extremidade a capacidade de bloquear muitas ameaças nunca vistas.
A imagem a seguir mostra o fluxo de proteção de nuvem e envio de exemplo com Microsoft Defender Antivírus:
Microsoft Defender o Antivírus e a proteção de nuvem bloqueiam automaticamente a maioria das ameaças novas e nunca vistas à primeira vista usando os seguintes métodos:
Modelos leves de aprendizado de máquina baseados no cliente, bloqueando malwares novos e desconhecidos.
Análise comportamental local, interrompendo ataques baseados em arquivos e sem arquivos.
Antivírus de alta precisão, detectando malware comum por meio de técnicas genéricas e heurísticas.
A proteção avançada baseada em nuvem é fornecida para casos em que Microsoft Defender Antivírus em execução no ponto de extremidade precisa de mais inteligência para verificar a intenção de um arquivo suspeito.
Caso Microsoft Defender Antivírus não consiga determinar claramente, os metadados de arquivo são enviados para o serviço de proteção de nuvem. Geralmente dentro de milissegundos, o serviço de proteção de nuvem pode determinar com base nos metadados se o arquivo é mal-intencionado ou não uma ameaça.
- A consulta na nuvem de metadados de arquivo pode ser resultado de comportamento, marca da Web ou outras características em que um veredicto claro não é determinado.
- Um pequeno carregamento de metadados é enviado, com o objetivo de chegar a um veredicto de malware ou não uma ameaça. Os metadados não incluem informações pessoais identificáveis (PII). Informações como nomes de arquivo são hashed.
- Pode ser síncrono ou assíncrono. Para síncrono, o arquivo não será aberto até que a nuvem renderize um veredicto. Para assíncrona, o arquivo é aberto enquanto a proteção de nuvem executa sua análise.
- Os metadados podem incluir atributos de PE, atributos de arquivo estáticos, atributos dinâmicos e contextuais e muito mais (confira Exemplos de metadados enviados para o serviço de proteção de nuvem).
Depois de examinar os metadados, se Microsoft Defender proteção de nuvem antivírus não conseguir chegar a um veredicto conclusivo, ele poderá solicitar uma amostra do arquivo para inspeção adicional. Esta solicitação honra a configuração de configurações para envio de exemplo:
Enviar amostras seguras automaticamente
- Exemplos seguros são exemplos considerados como não conter dados PII como: .bat, .scr, .dll, .exe.
- Se for provável que o arquivo contenha PII, o usuário receberá uma solicitação para permitir o envio de exemplo de arquivo.
- Essa opção é o padrão no Windows, macOS e Linux.
Always Prompt
- Se configurado, o usuário sempre será solicitado a consentir antes do envio do arquivo
- Essa configuração não está disponível na proteção de nuvem macOS e Linux
Enviar todos os exemplos automaticamente
- Se configurados, todos os exemplos serão enviados automaticamente
- Se você quiser que o envio de exemplo inclua macros inseridas em documentos Word, você deve escolher "Enviar todos os exemplos automaticamente"
- Essa configuração não está disponível na proteção de nuvem do macOS
Não enviar
- Impede "bloquear à primeira vista" com base na análise de exemplo de arquivo
- "Não enviar" é o equivalente à configuração "Desabilitada" na política do macOS e à configuração "Nenhum" na política do Linux.
- Metadados são enviados para detecções mesmo quando o envio de exemplo é desabilitado
Depois que os arquivos são enviados à proteção de nuvem, os arquivos enviados podem ser examinados, detonados e processados por meio de modelos de aprendizado de máquina de análise debig data para chegar a um veredicto. Desativar a análise de proteção fornecida pela nuvem limita a análise apenas ao que o cliente pode fornecer por meio de modelos locais de machine learning e funções semelhantes.
Importante
O BAFS (block at first sight) fornece detonação e análise para determinar se um arquivo ou processo é seguro. O BAFS pode atrasar a abertura de um arquivo momentaneamente até que um veredicto seja alcançado. Se você desabilitar o envio de exemplo, o BAFS também será desabilitado e a análise de arquivo será limitada apenas a metadados. Recomendamos manter o envio de exemplo e o BAFS habilitados. Para saber mais, confira O que é "bloquear à primeira vista"?
Níveis de proteção na nuvem
A proteção de nuvem é habilitada por padrão em Microsoft Defender Antivírus. Recomendamos que você mantenha a proteção na nuvem habilitada, embora você possa configurar o nível de proteção para sua organização. Consulte Especificar o nível de proteção fornecido pela nuvem para Microsoft Defender Antivírus.
Configurações de envio de exemplo
Além de configurar o nível de proteção na nuvem, você pode configurar as configurações de envio de exemplo. Você pode escolher entre várias opções:
- Enviar exemplos seguros automaticamente (o comportamento padrão)
- Enviar todos os exemplos automaticamente
- Não envie exemplos
Dica
O uso da opção Send all samples automatically fornece uma melhor segurança, pois os ataques de phishing são usados para uma alta quantidade de ataques de acesso inicial.
Para obter informações sobre opções de configuração usando Intune, Configuration Manager, Política de Grupo ou PowerShell, consulte Ativar a proteção na nuvem em Microsoft Defender Antivírus.
Exemplos de metadados enviados para o serviço de proteção de nuvem
A tabela a seguir lista exemplos de metadados enviados para análise por proteção de nuvem:
| Tipo | Atributo |
|---|---|
| Atributos do computador | OS version Processor Security settings |
| Atributos dinâmicos e contextuais | Processo e instalação ProcessName ParentProcess TriggeringSignature TriggeringFile Download IP and url HashedFullPath Vpath RealPath Parent/child relationships Comportamental Connection IPs System changes API calls Process injection Locale Locale setting Geographical location |
| Atributos de arquivo estáticos | Hashes parciais e completos ClusterHash Crc16 Ctph ExtendedKcrcs ImpHash Kcrc3n Lshash LsHashs PartialCrc1 PartialCrc2 PartialCrc3 Sha1 Sha256 Propriedades do arquivo FileName FileSize Informações do signatário AuthentiCodeHash Issuer IssuerHash Publisher Signer SignerHash |
Os exemplos são tratados como dados do cliente
Caso esteja se perguntando o que acontece com envios de exemplo, o Defender para Ponto de Extremidade trata todos os exemplos de arquivo como dados do cliente. A Microsoft honra as escolhas geográficas e de retenção de dados que sua organização selecionou ao integrar o Defender para Ponto de Extremidade.
Além disso, o Defender para Ponto de Extremidade recebeu várias certificações de conformidade, demonstrando a adesão contínua a um conjunto sofisticado de controles de conformidade:
- ISO 27001
- ISO 27018
- SOC I, II, III
- PCI
Para obter mais informações, consulte os seguintes recursos:
- Ofertas de conformidade do Azure
- Portal de Confiança do Serviço
- Microsoft Defender para Ponto de Extremidade armazenamento e privacidade de dados
Outros cenários de envio de exemplo de arquivo
Há mais dois cenários em que o Defender para Ponto de Extremidade pode solicitar um exemplo de arquivo que não esteja relacionado à proteção de nuvem no Microsoft Defender Antivírus. Esses cenários são descritos na seguinte tabela:
| Cenário | Descrição |
|---|---|
| Coleção de exemplo de arquivo manual no portal Microsoft Defender | Ao integrar dispositivos ao Defender para Ponto de Extremidade, você pode configurar configurações para EDR (detecção e resposta) do ponto de extremidade. Por exemplo, há uma configuração para habilitar coleções de exemplo do dispositivo, que podem ser facilmente confundidas com as configurações de envio de exemplo descritas neste artigo. A configuração do EDR controla a coleta de exemplo de arquivo de dispositivos quando solicitada por meio do portal Microsoft Defender e está sujeita às funções e permissões já estabelecidas. Essa configuração pode permitir ou bloquear a coleção de arquivos do ponto de extremidade para recursos como análise profunda no portal Microsoft Defender. Se essa configuração não estiver configurada, o padrão será habilitar a coleta de exemplo. Saiba mais sobre as configurações do Defender para Ponto de Extremidade, confira: Ferramentas de integração e métodos para dispositivos Windows 10 no Defender para Ponto de Extremidade |
| Análise automatizada de conteúdo de investigação e resposta | Quando investigações automatizadas estão em execução em dispositivos (quando configuradas para serem executadas automaticamente em resposta a um alerta ou executadas manualmente), arquivos identificados como suspeitos podem ser coletados dos pontos de extremidade para inspeção adicional. Se necessário, o recurso de análise de conteúdo de arquivo para investigações automatizadas pode ser desabilitado no portal Microsoft Defender. Os nomes de extensão de arquivo também podem ser modificados para adicionar ou remover extensões para outros tipos de arquivo que serão enviados automaticamente durante uma investigação automatizada. Para saber mais, confira Gerenciar uploads de arquivos de automação. |
Dica
Se você estiver procurando informações relacionadas a antivírus para outras plataformas, consulte:
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no macOS
- Microsoft Defender para Ponto de Extremidade no Mac
- Configurações de política de antivírus do macOS para o Microsoft Defender Antivírus para Intune
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no Linux
- Microsoft Defender para Ponto de Extremidade para Linux
- Configurar o Defender para o Ponto de extremidade nos recursos do Android
- Configurar o Microsoft Defender para Ponto de Extremidade em recursos do iOS
Confira também
Visão geral da proteção de última geração
Configure a correção para detecções Microsoft Defender Antivírus.
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de