Resolver falsos positivos/negativos no Microsoft Defender para Endpoint

  • Artigo

Aplica-se a:

Plataformas

  • Windows

Nas soluções de proteção de pontos finais, um falso positivo é uma entidade, como um ficheiro ou um processo que foi detetado e identificado como malicioso, apesar de a entidade não ser realmente uma ameaça. Um falso negativo é uma entidade que não foi detetada como uma ameaça, apesar de ser realmente maliciosa. Podem ocorrer falsos positivos/negativos com qualquer solução de proteção contra ameaças, incluindo o Defender para Endpoint.

A definição de falsos positivos e negativos no portal do Microsoft Defender

Felizmente, podem ser tomadas medidas para resolver e reduzir este tipo de problemas. Se estiver a ver falsos positivos/negativos a ocorrer com o Defender para Endpoint, as operações de segurança podem tomar medidas para os resolver através do seguinte processo:

  1. Rever e classificar alertas
  2. Rever as ações de remediação que foram tomadas
  3. Rever e definir exclusões
  4. Submeter uma entidade para análise
  5. Rever e ajustar as definições de proteção contra ameaças

Pode obter ajuda se ainda tiver problemas com falsos positivos/negativos depois de executar as tarefas descritas neste artigo. Vê Ainda precisa de ajuda?

Os passos para resolver falsos positivos e negativos

Nota

Este artigo destina-se a orientações para operadores de segurança e administradores de segurança que estão a utilizar o Defender para Endpoint.

Parte 1: Rever e classificar alertas

Se vir um alerta que surgiu porque algo é detetado como malicioso ou suspeito e não deveria ser, pode suprimir o alerta dessa entidade. Também pode suprimir alertas que não são necessariamente falsos positivos, mas que não são importantes. Recomendamos que também classifique alertas.

Gerir os alertas e classificar os verdadeiros/falsos positivos ajuda a preparar a sua solução de proteção contra ameaças e pode reduzir o número de falsos positivos ou falsos negativos ao longo do tempo. Seguir estes passos também ajuda a reduzir o ruído na sua fila para que a sua equipa de segurança se possa concentrar em itens de trabalho de prioridade superior.

Determinar se um alerta é preciso

Antes de classificar ou suprimir um alerta, determine se o alerta é preciso, um falso positivo ou benigno.

  1. No portal Microsoft Defender, no painel de navegação, selecione Incidentes & alertas e, em seguida, selecione Alertas.

  2. Selecione um alerta para ver mais detalhes sobre o mesmo. (Para obter ajuda com esta tarefa, consulte Rever alertas no Defender para Endpoint.)

  3. Consoante o estado do alerta, siga os passos descritos na tabela seguinte:

    Estado do alerta O que fazer
    O alerta é preciso Atribua o alerta e, em seguida, investigue-o ainda mais.
    O alerta é um falso positivo 1. Classifique o alerta como um falso positivo.

    2. Suprima o alerta.

    3. Create um indicador para Microsoft Defender para Endpoint.

    4. Submeta um ficheiro à Microsoft para análise.
    O alerta é preciso, mas benigno (não importante) Classifique o alerta como um verdadeiro positivo e, em seguida, suprima o alerta.

Classificar um alerta

Os alertas podem ser classificados como falsos positivos ou verdadeiros positivos no portal do Microsoft Defender. Classificar alertas ajuda a preparar o Defender para Endpoint para que, ao longo do tempo, veja mais alertas verdadeiros e menos alertas falsos.

  1. No portal Microsoft Defender, no painel de navegação, selecione Incidentes & alertas, selecione Alertas e, em seguida, selecione um alerta.

  2. Para o alerta selecionado, selecione Gerir alerta. É aberto um painel de lista de opções.

  3. Na secção Gerir alerta , no campo Classificação , classifique o alerta (Verdadeiro positivo, Informativo, atividade esperada ou Falso positivo).

Sugestão

Para obter mais informações sobre como suprimir alertas, veja Gerir alertas do Defender para Endpoint. Além disso, se a sua organização estiver a utilizar um servidor de gestão de informações e eventos de segurança (SIEM), certifique-se de que também define uma regra de supressão.

Suprimir um alerta

Se tiver alertas que sejam falsos positivos ou que sejam verdadeiros positivos, mas para eventos não importantes, pode suprimir esses alertas no Microsoft Defender XDR. Suprimir alertas ajuda a reduzir o ruído na fila.

  1. No portal Microsoft Defender, no painel de navegação, selecione Incidentes & alertas e, em seguida, selecione Alertas.

  2. Selecione um alerta que pretenda suprimir para abrir o respetivo painel Detalhes .

  3. No painel Detalhes, selecione as reticências (...) e, em seguida, Create regra de supressão.

  4. Especifique todas as definições da regra de supressão e, em seguida, selecione Guardar.

Sugestão

Precisa de ajuda com as regras de supressão? Veja Suprimir um alerta e criar uma nova regra de supressão.

Parte 2: Rever as ações de remediação

As ações de remediação, como enviar um ficheiro para colocar em quarentena ou parar um processo, são executadas em entidades (como ficheiros) que são detetadas como ameaças. Vários tipos de ações de remediação ocorrem automaticamente através da investigação automatizada e Microsoft Defender Antivírus:

  • Colocar um ficheiro em quarentena
  • Remover uma chave de registo
  • Eliminar um processo
  • Parar um serviço
  • Desativar um controlador
  • Remover uma tarefa agendada

Outras ações, como iniciar uma análise antivírus ou recolher um pacote de investigação, ocorrem manualmente ou através da Resposta em Direto. As ações executadas através da Resposta Em Direto não podem ser anuladas.

Depois de rever os alertas, o próximo passo é rever as ações de remediação. Se alguma ação tiver sido executada como resultado de falsos positivos, pode anular a maioria dos tipos de ações de remediação. Mais concretamente, pode:

Quando terminar de rever e anular as ações que foram tomadas como resultado de falsos positivos, proceda à revisão ou definição de exclusões.

Rever as ações concluídas

  1. No portal Microsoft Defender, selecione Ações & submissões e, em seguida, selecione Centro de ação.

  2. Selecione o separador Histórico para ver uma lista das ações executadas.

  3. Selecione um item para ver mais detalhes sobre a ação de remediação que foi tomada.

Restaurar um ficheiro em quarentena a partir do Centro de Ação

  1. No portal Microsoft Defender, selecione Ações & submissões e, em seguida, selecione Centro de ação.

  2. No separador Histórico , selecione uma ação que pretende anular.

  3. No painel de lista de opções, selecione Anular. Se a ação não puder ser anulada com este método, não verá um botão Anular . (Para saber mais, veja Anular ações concluídas.)

Anular várias ações de uma só vez

  1. No portal Microsoft Defender, selecione Ações & submissões e, em seguida, selecione Centro de ação.

  2. No separador Histórico , selecione as ações que pretende anular.

  3. No painel de lista de opções no lado direito do ecrã, selecione Anular.

Remover um ficheiro da quarentena em vários dispositivos

O ficheiro de Quarentena

  1. No portal Microsoft Defender, selecione Ações & submissões e, em seguida, selecione Centro de ação.

  2. No separador Histórico , selecione um ficheiro que tenha o tipo de Ação Ficheiro de quarentena.

  3. No painel do lado direito do ecrã, selecione Aplicar a X mais instâncias deste ficheiro e, em seguida, selecione Anular.

Rever mensagens em quarentena

  1. No portal Microsoft Defender, no painel de navegação, em colaboração Email &, selecione Rastreio de mensagens do Exchange.

  2. Selecione uma mensagem para ver os detalhes.

Restaurar ficheiro a partir da quarentena

Pode reverter e remover um ficheiro da quarentena se tiver determinado que está limpo após uma investigação. Execute o seguinte comando em cada dispositivo onde o ficheiro foi colocado em quarentena.

  1. Abra a Linha de Comandos como administrador no dispositivo:

    1. Aceda a Iniciar e escreva cmd.
    2. Clique com o botão direito do rato em Linha de comandos e selecione Executar como administrador.

  2. Escreva o seguinte comando e prima Enter:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All

    Importante

    Em alguns cenários, o ThreatName pode aparecer como EUS:Win32/CustomEnterpriseBlock!cl. O Defender para Endpoint irá restaurar todos os ficheiros bloqueados personalizados que foram colocados em quarentena neste dispositivo nos últimos 30 dias. Um ficheiro que foi colocado em quarentena como uma potencial ameaça de rede pode não ser recuperável. Se um utilizador tentar restaurar o ficheiro após a quarentena, esse ficheiro poderá não estar acessível. Tal pode dever-se ao facto de o sistema já não ter credenciais de rede para aceder ao ficheiro. Normalmente, isto é o resultado de um início de sessão temporário num sistema ou pasta partilhada e os tokens de acesso expiraram.

  3. No painel do lado direito do ecrã, selecione Aplicar a X mais instâncias deste ficheiro e, em seguida, selecione Anular.

Parte 3: Rever ou definir exclusões

Atenção

Antes de definir uma exclusão, reveja as informações detalhadas em Gerir exclusões para Microsoft Defender para Endpoint e Microsoft Defender Antivírus. Tenha em atenção que cada exclusão definida reduz o seu nível de proteção.

Uma exclusão é uma entidade, como um ficheiro ou URL, que especifica como uma exceção às ações de remediação. A entidade excluída ainda pode ser detetada, mas não são tomadas medidas de remediação nessa entidade. Ou seja, o ficheiro ou processo detetado não será parado, enviado para quarentena, removido ou alterado de outra forma por Microsoft Defender para Endpoint.

Para definir exclusões entre Microsoft Defender para Endpoint, execute as seguintes tarefas:

Nota

Microsoft Defender as exclusões do Antivírus aplicam-se apenas à proteção antivírus e não a outras capacidades de Microsoft Defender para Endpoint. Para excluir ficheiros amplamente, utilize exclusões para Microsoft Defender Antivírus e indicadores personalizados para Microsoft Defender para Endpoint.

Os procedimentos nesta secção descrevem como definir exclusões e indicadores.

Exclusões do Antivírus Microsoft Defender

Em geral, não deve ter de definir exclusões para Microsoft Defender Antivírus. Certifique-se de que define as exclusões com moderação e que inclui apenas os ficheiros, pastas, processos e ficheiros abertos pelo processo que resultam em falsos positivos. Além disso, certifique-se de que revê regularmente as exclusões definidas. Recomendamos que utilize Microsoft Intune para definir ou editar as exclusões antivírus. No entanto, pode utilizar outros métodos, como Política de Grupo (consulte Gerir Microsoft Defender para Endpoint.

Sugestão

Precisa de ajuda com exclusões antivírus? Veja Configure and validate exclusions for Microsoft Defender Antivirus (Configurar e validar exclusões para o Antivírus do Microsoft Defender).

Utilizar Intune para gerir exclusões de antivírus (para políticas existentes)

  1. No centro de administração do Microsoft Intune, selecioneAntivírus de segurança> de ponto final e, em seguida, selecione uma política existente. (Se não tiver uma política existente ou quiser criar uma nova política, avance para Utilizar Intune para criar uma nova política antivírus com exclusões.)

  2. Selecione Propriedades e, junto a Definições de configuração, selecione Editar.

  3. Expanda Microsoft Defender Exclusões de Antivírus e, em seguida, especifique as exclusões.

    • As Extensões Excluídas são exclusões que define por extensão de tipo de ficheiro. Estas extensões aplicam-se a qualquer nome de ficheiro que tenha a extensão definida sem o caminho ou pasta do ficheiro. Separar cada tipo de ficheiro na lista tem de ser separado por um | caráter. Por exemplo, lib|obj. Para obter mais informações, veja ExcludedExtensions.
    • Os Caminhos Excluídos são exclusões que define pela respetiva localização (caminho). Estes tipos de exclusões também são conhecidos como exclusões de ficheiros e pastas. Separe cada caminho na lista com um | caráter. Por exemplo, C:\Example|C:\Example1. Para obter mais informações, veja ExcludedPaths.
    • Os Processos Excluídos são exclusões para ficheiros abertos por determinados processos. Separe cada tipo de ficheiro na lista com um | caráter. Por exemplo, C:\Example. exe|C:\Example1.exe. Estas exclusões não são para os processos reais. Para excluir processos, pode utilizar exclusões de ficheiros e pastas. Para obter mais informações, veja ExcludedProcesses.

  4. Selecione Rever + guardar e, em seguida, selecione Guardar.

Utilizar Intune para criar uma nova política antivírus com exclusões

  1. No centro de administração do Microsoft Intune, selecioneAntivírus> de segurança > de ponto final+ política de Create.

  2. Selecione uma plataforma (como Windows 10, Windows 11 e Windows Server).

  3. Em Perfil, selecione Microsoft Defender Exclusões de antivírus e, em seguida, selecione Create.

  4. No passo Create perfil, especifique um nome e uma descrição para o perfil e, em seguida, selecione Seguinte.

  5. No separador Definições de configuração , especifique as exclusões antivírus e, em seguida, selecione Seguinte.

    • As Extensões Excluídas são exclusões que define por extensão de tipo de ficheiro. Estas extensões aplicam-se a qualquer nome de ficheiro que tenha a extensão definida sem o caminho ou pasta do ficheiro. Separe cada tipo de ficheiro na lista com um | caráter. Por exemplo, lib|obj. Para obter mais informações, veja ExcludedExtensions.
    • Os Caminhos Excluídos são exclusões que define pela respetiva localização (caminho). Estes tipos de exclusões também são conhecidos como exclusões de ficheiros e pastas. Separe cada caminho na lista com um | caráter. Por exemplo, C:\Example|C:\Example1. Para obter mais informações, veja ExcludedPaths.
    • Os Processos Excluídos são exclusões para ficheiros abertos por determinados processos. Separe cada tipo de ficheiro na lista com um | caráter. Por exemplo, C:\Example. exe|C:\Example1.exe. Estas exclusões não são para os processos reais. Para excluir processos, pode utilizar exclusões de ficheiros e pastas. Para obter mais informações, veja ExcludedProcesses.

  6. No separador Etiquetas de âmbito , se estiver a utilizar etiquetas de âmbito na sua organização, especifique as etiquetas de âmbito para a política que está a criar. (Veja Etiquetas de âmbito.)

  7. No separador Atribuições, especifique os utilizadores e grupos a quem a política deve ser aplicada e, em seguida, selecione Seguinte. (Se precisar de ajuda com atribuições, consulte Atribuir perfis de utilizador e de dispositivo no Microsoft Intune.)

  8. No separador Rever + criar, reveja as definições e, em seguida, selecione Create.

Indicadores para o Defender para Endpoint

Os indicadores (especificamente, indicadores de comprometimento ou IoCs) permitem à sua equipa de operações de segurança definir a deteção, prevenção e exclusão de entidades. Por exemplo, pode especificar determinados ficheiros a omitir de análises e ações de remediação no Microsoft Defender para Endpoint. Em alternativa, os indicadores podem ser utilizados para gerar alertas para determinados ficheiros, endereços IP ou URLs.

Para especificar entidades como exclusões para o Defender para Endpoint, crie indicadores "permitir" para essas entidades. Estes indicadores "permitir" aplicam-se à proteção de próxima geração e à investigação automatizada & remediação.

Os indicadores "Permitir" podem ser criados para:

Os tipos de Indicador

Indicadores para ficheiros

Quando cria um indicador "permitir" para um ficheiro, como um executável, ajuda a impedir que os ficheiros que a sua organização está a utilizar sejam bloqueados. Os ficheiros podem incluir ficheiros executáveis portáteis (PE), tais como .exe ficheiros e .dll .

Antes de criar indicadores para ficheiros, certifique-se de que os seguintes requisitos são cumpridos:

Indicadores para endereços IP, URLs ou domínios

Quando cria um indicador "permitir" para um endereço IP, URL ou domínio, ajuda a impedir que os sites ou endereços IP que a sua organização utiliza sejam bloqueados.

Antes de criar indicadores para endereços IP, URLs ou domínios, certifique-se de que os seguintes requisitos são cumpridos:

  • A proteção de rede no Defender para Endpoint está ativada no modo de bloqueio (veja Ativar a proteção de rede)
  • A versão do cliente antimalware é 4.18.1906.x ou posterior
  • Os dispositivos estão a executar Windows 10, versão 1709 ou posterior ou Windows 11

Os indicadores de rede personalizados são ativados no Microsoft Defender XDR. Para saber mais, veja Funcionalidades avançadas.

Indicadores para certificados de aplicação

Quando cria um indicador "permitir" para um certificado de aplicação, ajuda a impedir que aplicações, como aplicações desenvolvidas internamente, que a sua organização utiliza sejam bloqueadas. .CER ou .PEM as extensões de ficheiro são suportadas.

Antes de criar indicadores para certificados de aplicação, certifique-se de que os seguintes requisitos são cumpridos:

  • Microsoft Defender o Antivírus está configurado com a proteção baseada na cloud ativada (veja Gerir a proteção baseada na cloud
  • A versão do cliente antimalware é 4.18.1901.x ou posterior
  • Os dispositivos estão a executar Windows 10, versão 1703 ou posterior ou Windows 11; Windows Server 2012 R2 e Windows Server 2016 com a solução unificada moderna no Defender para Endpoint, Windows Server 2019 ou Windows Server 2022
  • As definições de proteção contra vírus e ameaças estão atualizadas

Sugestão

Quando cria indicadores, pode defini-los um a um ou importar múltiplos itens ao mesmo tempo. Tenha em atenção que existe um limite de 15 000 indicadores para um único inquilino. Além disso, poderá ter de reunir determinados detalhes primeiro, como informações de hash de ficheiros. Certifique-se de que revê os pré-requisitos antes de criar indicadores.

Parte 4: Submeter um ficheiro para análise

Pode submeter entidades, como ficheiros e deteções sem ficheiros, à Microsoft para análise. Os investigadores de segurança da Microsoft analisam todas as submissões e os respetivos resultados ajudam a informar as capacidades de proteção contra ameaças do Defender para Endpoint. Quando inicia sessão no site de submissão, pode controlar as suas submissões.

Submeter um ficheiro para análise

Se tiver um ficheiro que foi detetado incorretamente como malicioso ou que não foi identificado, siga estes passos para submeter o ficheiro para análise.

  1. Veja as diretrizes aqui: Submeter ficheiros para análise.

  2. Submeta ficheiros no Defender para Endpoint ou visite o site de submissão Informações de Segurança da Microsoft e submeta os seus ficheiros.

Submeter uma deteção sem ficheiros para análise

Se algo tiver sido detetado como software maligno com base no comportamento e não tiver um ficheiro, pode submeter o ficheiro Mpsupport.cab para análise. Pode obter o ficheiro de.cab com a ferramenta Microsoft Malware Protection Command-Line Utility (MPCmdRun.exe) no Windows 10 ou no Windows 11.

  1. Aceda a C:\ProgramData\Microsoft\Windows Defender\Platform\<version>e, em seguida, execute MpCmdRun.exe como administrador.

  2. Escreva mpcmdrun.exe -GetFilese, em seguida, prima Enter.

    É gerado um ficheiro .cab que contém vários registos de diagnóstico. A localização do ficheiro é especificada na saída da linha de comandos. Por predefinição, a localização é C:\ProgramData\Microsoft\Microsoft Defender\Support\MpSupportFiles.cab.

  3. Veja as diretrizes aqui: Submeter ficheiros para análise.

  4. Visite o site de submissão Informações de Segurança da Microsoft (https://www.microsoft.com/wdsi/filesubmission) e submeta os seus ficheiros de .cab.

O que acontece depois de um ficheiro ser submetido?

A sua submissão é imediatamente analisada pelos nossos sistemas para lhe dar a mais recente determinação mesmo antes de um analista começar a processar o seu caso. É possível que um ficheiro já tenha sido submetido e processado por um analista. Nesses casos, uma determinação é feita rapidamente.

Para submissões que ainda não foram processadas, são priorizadas para análise da seguinte forma:

  • Os ficheiros predominantes com potencial para afetar um grande número de computadores têm uma prioridade mais alta.
  • Os clientes autenticados, especialmente os clientes empresariais com IDs de Software Assurance (SAIDs) válidos, têm uma prioridade mais alta.
  • As submissões sinalizadas como de alta prioridade pelos titulares do SAID recebem atenção imediata.

Para procurar atualizações relativas à sua submissão, inicie sessão no site de submissão do Informações de Segurança da Microsoft.

Sugestão

Para saber mais, veja Submeter ficheiros para análise.

Parte 5: Rever e ajustar as definições de proteção contra ameaças

O Defender para Endpoint oferece uma grande variedade de opções, incluindo a capacidade de ajustar as definições para várias funcionalidades e capacidades. Se estiver a receber inúmeros falsos positivos, confirme que revê as definições de proteção contra ameaças da sua organização. Poderá ter de fazer alguns ajustes a:

Proteção fornecida pela cloud

Verifique o nível de proteção fornecido pela cloud para Microsoft Defender Antivírus. Por predefinição, a proteção fornecida pela cloud está definida como Não configurada; no entanto, recomendamos que o ative. Para saber mais sobre como configurar a proteção fornecida pela cloud, veja Ativar a proteção da cloud no Antivírus do Microsoft Defender.

Pode utilizar Intune ou outros métodos, como Política de Grupo, para editar ou definir as definições de proteção fornecidas pela cloud.

Veja Ativar a proteção da cloud no Antivírus do Microsoft Defender.

Remediação para aplicações potencialmente indesejadas

As aplicações potencialmente indesejadas (PUA) são uma categoria de software que pode fazer com que os dispositivos sejam executados lentamente, apresentem anúncios inesperados ou instalem outro software que possa ser inesperado ou indesejado. Exemplos de PUA incluem software publicitário, software de agrupamento e software de evasão que se comporta de forma diferente com produtos de segurança. Embora o PUA não seja considerado malware, alguns tipos de software são PUA com base no seu comportamento e reputação.

Para saber mais sobre o PUA, veja Detetar e bloquear aplicações potencialmente indesejadas.

Consoante as aplicações que a sua organização está a utilizar, poderá estar a receber falsos positivos como resultado das definições de proteção contra PUA. Se necessário, considere executar a proteção contra PUA no modo de auditoria durante algum tempo ou aplicar a proteção contra PUA a um subconjunto de dispositivos na sua organização. A proteção contra PUA pode ser configurada para o browser Microsoft Edge e para Microsoft Defender Antivírus.

Recomendamos que utilize Intune para editar ou definir definições de proteção contra PUA. No entanto, pode utilizar outros métodos, como Política de Grupo.

Veja Configurar a proteção contra PUA no Antivírus do Microsoft Defender.

Investigação e remediação automatizadas

As capacidades automatizadas de investigação e remediação (AIR) foram concebidas para examinar alertas e tomar medidas imediatas para resolver falhas. À medida que os alertas são acionados, e uma investigação automatizada é executada, é gerado um veredicto para cada prova investigada. Os veredictos podem ser Maliciosos, Suspeitos ou Não foram encontradas ameaças.

Consoante o nível de automatização definido para a sua organização e outras definições de segurança, são executadas ações de remediação em artefactos considerados Maliciosos ou Suspeitos. Em alguns casos, as ações de remediação ocorrem automaticamente; noutros casos, as ações de remediação são executadas manualmente ou apenas após aprovação pela sua equipa de operações de segurança.

Importante

Recomendamos a utilização da Automatização completa para investigação e remediação automatizadas. Não desative estas capacidades devido a um falso positivo. Em vez disso, utilize indicadores "permitir" para definir exceções e mantenha a investigação e a remediação automatizadas definidas para tomar as ações adequadas automaticamente. Seguir esta documentação de orientação ajuda a reduzir o número de alertas que a sua equipa de operações de segurança tem de processar.

Ainda necessita de ajuda?

Se já passou por todos os passos neste artigo e ainda precisa de ajuda, contacte o suporte técnico.

  1. No portal Microsoft Defender, no canto superior direito, selecione o ponto de interrogação (?) e, em seguida, selecione Suporte da Microsoft.

  2. Na janela Assistente de Suporte , descreva o problema e, em seguida, envie a sua mensagem. A partir daí, pode abrir um pedido de serviço.

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.