Защита от облака и отправка примеров в антивирусной программе в Microsoft Defender
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Антивирусная программа в Microsoft Defender
Платформы
Windows
macOS
Linux
Windows Server
Антивирусная программа Microsoft Defender использует множество интеллектуальных механизмов для обнаружения вредоносных программ. Одной из самых мощных возможностей является возможность применять возможности облака для обнаружения вредоносных программ и выполнения быстрого анализа. Облачная защита и автоматическая отправка примеров работают вместе с антивирусной программой в Microsoft Defender для защиты от новых и новых угроз.
При обнаружении подозрительного или вредоносного файла образец отправляется в облачную службу для анализа, а антивирусная программа Microsoft Defender блокирует файл. Как только будет принято решение, что происходит быстро, файл либо освобождается, либо блокируется антивирусной программой Microsoft Defender.
В этой статье представлен обзор облачной защиты и автоматической отправки примеров в антивирусной программе Microsoft Defender. Дополнительные сведения об облачной защите см. в статье Защита облака и антивирусная программа Microsoft Defender.
Совместная работа облачной защиты и отправки примеров
Чтобы понять, как облачная защита работает вместе с примерами отправки, полезно понять, как Defender для конечной точки защищает от угроз. Microsoft Intelligent Security Graph отслеживает данные об угрозах из обширной сети датчиков. Корпорация Майкрософт выполняет распределение облачных моделей машинного обучения, которые могут оценивать файлы на основе сигналов от клиента и обширной сети датчиков и данных в графе интеллектуальной безопасности. Такой подход позволяет Defender для конечной точки блокировать многие никогда ранее невидимые угрозы.
На следующем рисунке показан поток облачной защиты и отправки примера с помощью антивирусной программы Microsoft Defender:
Антивирусная и облачная защита в Microsoft Defender автоматически блокируют большинство новых, никогда ранее не встречавшихся угроз на первый взгляд, используя следующие методы:
Упрощенные клиентские модели машинного обучения, блокирующие новые и неизвестные вредоносные программы.
Локальный анализ поведения, остановка атак на основе файлов и атак без файлов.
Высокоточная антивирусная программа, обнаруживающая распространенные вредоносные программы с помощью универсальных и эвристических методов.
Расширенная облачная защита предоставляется в случаях, когда антивирусной программе Microsoft Defender, работающей на конечной точке, требуется больше аналитики для проверки намерения подозрительного файла.
Если антивирусная программа Microsoft Defender не может сделать четкое определение, метаданные файлов отправляются в облачную службу защиты. Часто в миллисекундах облачная служба защиты может на основе метаданных определить, является ли файл вредоносным или не является угрозой.
- Облачный запрос метаданных файла может быть результатом поведения, метки веб-сайта или других характеристик, когда не определен четкий вердикт.
- Отправляются небольшие полезные данные метаданных с целью достижения вердикта о вредоносной программе или не угрозе. Метаданные не включают личные данные (PII). Такие сведения, как имена файлов, хэшируются.
- Может быть синхронным или асинхронным. Для синхронного файла не будет открываться, пока облако не вынесет вердикт. В асинхронном режиме файл открывается, пока облачная защита выполняет свой анализ.
- Метаданные могут включать атрибуты PE, статические атрибуты файлов, динамические и контекстные атрибуты и многое другое (см. примеры метаданных, отправляемых в облачную службу защиты).
После изучения метаданных, если облачная защита антивирусной программы Microsoft Defender не может вытянуть окончательный вердикт, она может запросить образец файла для дальнейшей проверки. Этот запрос учитывает конфигурацию параметров для отправки примера:
Автоматическая отправка безопасных примеров
- Безопасные примеры обычно не содержат такие данные личных сведений, как .bat, SCR, .dll, .exe.
- Если файл, скорее всего, будет содержать личные данные, пользователь получает запрос на разрешение отправки примера файла.
- Этот параметр используется по умолчанию в Windows, macOS и Linux.
Всегда запрашивать
- Если это настроено, пользователю всегда будет предложено предоставить согласие перед отправкой файла.
- Этот параметр недоступен в облачной защите macOS и Linux.
Автоматическая отправка всех примеров
- Если это настроено, все примеры отправляются автоматически.
- Если вы хотите, чтобы примеры отправки включали макросы, внедренные в документы Word, необходимо выбрать "Отправить все примеры автоматически".
- Этот параметр недоступен в облачной защите macOS
Не отправлять
- Предотвращает "блокировку при первом взгляде" на основе анализа примера файла
- Параметр "Не отправлять" эквивалентен параметру "Отключено" в политике macOS и параметру "Нет" в политике Linux.
- Метаданные отправляются для обнаружения, даже если отправка примера отключена
После отправки файлов в облачную защиту отправленные файлы можно сканировать, детонировать и обрабатывать с помощью моделей машинного обученияанализа больших данных, чтобы выработать вердикт. Отключение облачной защиты ограничивает анализ только тем, что клиент может предоставить с помощью локальных моделей машинного обучения и аналогичных функций.
Важно!
Блокировка при первом взгляде (BAFS) обеспечивает детонацию и анализ, чтобы определить, является ли файл или процесс безопасным. BAFS может на мгновение отложить открытие файла до вынесения вердикта. При отключении отправки примеров BAFS также отключается, а анализ файлов ограничивается только метаданными. Рекомендуется оставить отправку примеров и BAFS включенными. Дополнительные сведения см. в статье Что такое "блокировка с первого взгляда"?
Уровни защиты облака
Защита облака включена по умолчанию в антивирусной программе Microsoft Defender. Мы рекомендуем оставить облачную защиту включенной, хотя вы можете настроить уровень защиты для вашей организации. См . статью Указание облачного уровня защиты для антивирусной программы Microsoft Defender.
Параметры отправки примеров
Помимо настройки уровня защиты облака, можно настроить параметры отправки примеров. Вы можете выбрать один из нескольких вариантов:
- Автоматическая отправка безопасных примеров (поведение по умолчанию)
- Автоматическая отправка всех примеров
- Не отправлять примеры
Совет
Использование параметра Send all samples automatically обеспечивает более высокую безопасность, так как фишинговые атаки используются для большого количества первоначальных атак доступа.
Сведения о параметрах конфигурации с помощью Intune, Configuration Manager, групповой политики или PowerShell см . в статье Включение облачной защиты в антивирусной программе в Microsoft Defender.
Примеры метаданных, отправляемых в облачную службу защиты
В следующей таблице приведены примеры метаданных, отправляемых для анализа облачной защитой.
| Тип | Атрибут |
|---|---|
| Атрибуты компьютера | OS version Processor Security settings |
| Динамические и контекстные атрибуты |
Обработка и установка ProcessName ParentProcess TriggeringSignature TriggeringFile Download IP and url HashedFullPath Vpath RealPath Parent/child relationships Поведение Connection IPs System changes API calls Process injection Locale Locale setting Geographical location |
| Атрибуты статического файла |
Частичные и полные хэши ClusterHash Crc16 Ctph ExtendedKcrcs ImpHash Kcrc3n Lshash LsHashs PartialCrc1 PartialCrc2 PartialCrc3 Sha1 Sha256 Свойства File FileName FileSize Сведения о подписывшем AuthentiCodeHash Issuer IssuerHash Publisher Signer SignerHash |
Примеры обрабатываются как данные клиента
На всякий случай, если вам интересно, что происходит с образцами отправки, Defender для конечной точки обрабатывает все примеры файлов как данные клиента. Корпорация Майкрософт учитывает как географические параметры, так и варианты хранения данных, выбранные организацией при подключении к Defender для конечной точки.
Кроме того, Defender для конечной точки получил несколько сертификатов соответствия, что свидетельствует о постоянном соблюдении сложного набора средств контроля соответствия:
- ISO 27001
- ISO 27018
- SOC I, II, III
- PCI
Дополнительные сведения см. в следующих источниках:
- Предложения по соответствию требованиям Azure
- Service Trust Portal
- Хранение и конфиденциальность данных в Microsoft Defender для конечной точки
Другие примеры сценариев отправки файлов
Существует еще два сценария, в которых Defender для конечной точки может запросить пример файла, который не связан с облачной защитой в антивирусной программе Microsoft Defender. Эти сценарии описаны в следующей таблице:
| Сценарий | Описание |
|---|---|
| Сбор примеров файлов вручную на портале Microsoft Defender | При подключении устройств к Defender для конечной точки можно настроить параметры обнаружения конечных точек и реагирования (EDR). Например, существует параметр для включения образцов коллекций с устройства, который можно легко спутать с параметрами отправки примеров, описанными в этой статье. Параметр EDR управляет сбором примеров файлов с устройств при запросе на портале Microsoft Defender и зависит от уже установленных ролей и разрешений. Этот параметр может разрешить или заблокировать сбор файлов из конечной точки для таких функций, как глубокий анализ на портале Microsoft Defender. Если этот параметр не настроен, по умолчанию включается сбор примеров. Сведения о параметрах конфигурации Defender для конечной точки см. в статье Средства и методы подключения для устройств с Windows 10 в Defender для конечной точки. |
| Автоматическое исследование и анализ содержимого ответов | При выполнении автоматических исследований на устройствах (при настройке для автоматического запуска в ответ на оповещение или вручную) файлы, которые определены как подозрительные, можно собирать из конечных точек для дальнейшей проверки. При необходимости функцию анализа содержимого файлов для автоматизированных исследований можно отключить на портале Microsoft Defender. Имена расширений файлов также можно изменить, чтобы добавить или удалить расширения для других типов файлов, которые будут автоматически отправляться во время автоматического исследования. Дополнительные сведения см. в статье Управление отправкой файлов автоматизации. |
Совет
Если вам нужны сведения об антивирусной программе для других платформ, см.:
- Установка параметров Microsoft Defender для конечной точки в macOS
- Microsoft Defender для конечной точки на Mac
- Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
- Установите параметры Microsoft Defender для конечной точки в Linux.
- Microsoft Defender для конечной точки в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка защитника Майкрософт для конечной точки на функциях iOS
См. также
Настройте исправление для обнаружения антивирусной программы в Microsoft Defender.
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по