Översikt över undantag
Microsoft Defender för Endpoint och Defender för företag innehåller en mängd olika funktioner för att förhindra, upptäcka, undersöka och reagera på avancerade cyberhot. Microsoft förkonfigurerar produkten så att den fungerar bra på det operativsystem som den är installerad på. Inga andra ändringar ska behövas. Trots förkonfigurerade inställningar uppstår ibland oväntade beteenden. Här är några exempel:
- Falska positiva identifieringar: Filer, mappar eller processer som inte är ett hot kan identifieras som skadliga av Defender för Endpoint eller Microsoft Defender Antivirus. Dessa entiteter kan blockeras eller skickas i karantän, även om de inte är ett hot.
- Prestandaproblem: System får en oväntad prestandapåverkan när de körs med Defender för Endpoint
- Programkompatibilitetsproblem: Program får oväntat beteende när de körs med Defender för Endpoint
Att skapa ett undantag är en möjlig metod för att hantera den här typen av problem. Men ofta finns det andra steg du kan vidta. Förutom att ge en översikt över indikatorer och uttal innehåller den här artikeln alternativ för att skapa undantag och tillåta indikatorer.
Obs!
Du bör bara överväga att skapa en indikator eller ett undantag när du har förstått rotorsaken till det oväntade beteendet noggrant.
Exempel på problem och steg att tänka på
| Exempelscenario | Steg att tänka på |
|---|---|
| Falsk positiv identifiering: En entitet, till exempel en fil eller en process, identifierades som skadlig, även om entiteten inte är ett hot. | 1. Granska och klassificera aviseringar som har genererats till följd av den identifierade entiteten. 2. Ignorera en avisering för en känd entitet. 3. Granska åtgärder som har vidtagits för den identifierade entiteten. 4. Skicka den falska positiva till Microsoft för analys. 5. Definiera en indikator eller ett undantag för entiteten (endast om det behövs). |
|
Prestandaproblem , till exempel något av följande problem: – Ett system har hög CPU-användning eller andra prestandaproblem. – Ett system har problem med minnesläckage. – Det går långsamt att läsa in en app på enheter. – Det går långsamt att öppna en fil på enheter med en app. |
1. Samla in diagnostikdata för Microsoft Defender Antivirus. 2. Om du använder en antiviruslösning som inte kommer från Microsoft kontrollerar du med leverantören om det finns några kända problem med antivirusprodukter. 3. Analysera Microsoft Protection-loggen för att se den uppskattade prestandapåverkan. För prestandaspecifika problem som rör Microsoft Defender Antivirus använder du Prestandaanalys för Microsoft Defender Antivirus. 4. Definiera ett undantag för Microsoft Defender Antivirus (om det behövs). 5. Skapa en indikator för Defender för Endpoint (endast om det behövs). |
|
Kompatibilitetsproblem med antivirusprodukter som inte kommer från Microsoft. Exempel: Defender för Endpoint förlitar sig på uppdateringar av säkerhetsinformation för enheter, oavsett om de kör Microsoft Defender Antivirus eller en antiviruslösning som inte kommer från Microsoft. |
1. Om du använder en antivirusprodukt som inte kommer från Microsoft som primär lösning för antivirus/program mot skadlig kod ställer du in Microsoft Defender Antivirus på passivt läge. 2. Om du byter från en antivirus-/antimalware-lösning från microsoft till Defender för Endpoint läser du Växla till Defender för Endpoint. Den här vägledningen omfattar: - Undantag som du kan behöva definiera för antivirus-/program mot skadlig kod som inte kommer från Microsoft. - Undantag som du kan behöva definiera för Microsoft Defender Antivirus och - Felsökningsinformation (ifall något skulle gå fel under migreringen). |
| Kompatibilitet med program. Exempel: Program kraschar eller upplever oväntade beteenden när en enhet har registrerats för att Microsoft Defender för Endpoint. |
Se Hantera oönskade beteenden i Microsoft Defender för Endpoint med undantag, indikatorer och andra tekniker. |
Alternativ till att skapa undantag och tillåta indikatorer
Om du skapar ett undantag eller en tillåt-indikator skapas ett skyddsgap. Dessa tekniker bör endast användas när du har fastställt rotorsaken till problemet. Innan detta beslut har fattats bör du överväga följande alternativ:
- Skicka en fil till Microsoft för analys
- Ignorera en avisering
Skicka filer för analys
Om du har en fil som du tror felaktigt har identifierats som skadlig kod (en falsk positiv identifiering) eller en fil som du misstänker kan vara skadlig kod trots att den inte har identifierats (en falsk negativ kod) kan du skicka filen till Microsoft för analys. Ditt bidrag genomsöks omedelbart och granskas sedan av Microsofts säkerhetsanalytiker. Du kan kontrollera statusen för din överföring på sidan för överföringshistorik.
Genom att skicka filer för analys minskar du falska positiva identifieringar och falska negativa identifieringar för alla kunder. Mer information finns i följande artiklar:
- Skicka filer för analys (tillgängligt för alla kunder)
- Skicka filer med hjälp av den nya portalen för enhetliga inlämningar i Defender för Endpoint (tillgängligt för kunder som har Defender för Endpoint Plan 2 eller Microsoft Defender XDR)
Ignorera aviseringar
Om du får aviseringar i Microsoft Defender-portalen för verktyg eller processer som du vet inte är ett hot kan du ignorera dessa aviseringar. Om du vill förhindra en avisering skapar du en undertryckningsregel och anger vilka åtgärder som ska utföras för andra identiska aviseringar. Du kan skapa undertryckningsregler för en specifik avisering på en enda enhet eller för alla aviseringar som har samma titel i organisationen.
Mer information finns i följande artiklar:
- Ignorera aviseringar
- Tech Community-blogg: Introduktion till den nya upplevelsen för aviseringsundertryckning (för Defender för Endpoint)
Typer av undantag
Det finns flera olika typer av undantag att tänka på. Vissa typer av undantag påverkar flera funktioner i Defender för Endpoint, medan andra typer är specifika för Microsoft Defender Antivirus.
- Anpassade undantag: Det här är undantag som du definierar för specifika användningsfall eller scenarier och för vissa operativsystem, till exempel Mac, Linux och Windows.
- Förkonfigurerade antivirusundantag: Det här är undantag som du inte behöver definiera, till exempel automatiska undantag för serverroller och inbyggda antivirusundantag. Även om du inte behöver definiera dessa är det bra att veta vad de är och hur de fungerar.
- Undantag för minskning av attackytan: Det här är undantag för att förhindra att funktioner för minskning av attackytan blockerar legitima program som din organisation kan använda.
- Undantag för Automation-mappar: Det här är undantag som du definierar för att förhindra att automatiserade undersöknings- och reparationsfunktioner tillämpas på specifika filer eller mappar.
- Undantag för kontrollerad mappåtkomst: Det här är undantag som tillåter att vissa appar eller körbara filer får åtkomst till skyddade mappar.
- Anpassade åtgärder: Det här är åtgärder som du anger för Microsoft Defender Antivirus när vissa typer av identifieringar.
Information om indikatorer finns i Översikt över indikatorer i Microsoft Defender för Endpoint.
Anpassade undantag
Microsoft Defender för Endpoint kan du konfigurera anpassade undantag för att optimera prestanda och undvika falska positiva identifieringar. Vilka typer av undantag du kan ange varierar beroende på funktionerna i Defender för Endpoint och operativsystem.
I följande tabell sammanfattas typer av anpassade undantag som du kan definiera. Observera omfånget för varje undantagstyp.
| Undantagstyper | Omfattning | Användningsfall |
|---|---|---|
| Anpassade Defender för Endpoint-undantag | Antivirus Regler för minskning av attackytan Defender för Endpoint Nätverksskydd |
En fil, mapp eller process identifieras som skadlig, även om det inte är ett hot. Ett program stöter på oväntade prestanda- eller programkompatibilitetsproblem när det körs med Defender för Endpoint |
| Undantag för minskning av attackytan i Defender för Endpoint | Regler för minskning av attackytan | En regel för minskning av attackytan orsakar oväntat beteende. |
| Mappundantag för Defender för Endpoint Automation | Automatiska undersökningar och svar | Automatiserad undersökning och reparation vidtar åtgärder för en fil, ett filnamnstillägg eller en katalog som ska utföras manuellt. |
| Åtkomstundantag för Defender för Endpoint-kontrollerade mappar | Reglerad mappåtkomst | Kontrollerad mappåtkomst blockerar ett program från att komma åt en skyddad mapp. |
| Tillåt-indikatorer för Defender för Endpoint-fil och certifikat | Antivirus Regler för minskning av attackytan Reglerad mappåtkomst |
En fil eller process som signerats av ett certifikat identifieras som skadlig även om den inte är det. |
| Defender för Endpoint-domän/URL och IP-adressindikatorer | Nätverksskydd SmartScreen Webbinnehållsfiltrering |
SmartScreen rapporterar en falsk positiv identifiering. Du vill åsidosätta ett block för webbinnehållsfiltrering på en viss webbplats. |
Obs!
Nätverksskyddet påverkas direkt av processundantag på alla plattformar. Ett processundantag i alla operativsystem (Windows, MacOS, Linux) förhindrar att nätverksskyddet inspekterar trafik eller tillämpar regler för den specifika processen.
Undantag på Mac
För macOS kan du definiera undantag som gäller för genomsökningar på begäran, realtidsskydd och övervakning. De undantagstyper som stöds är:
- Filnamnstillägg: Undanta alla filer med ett specifikt tillägg.
- Fil: Undanta en specifik fil som identifieras av dess fullständiga sökväg.
- Mapp: Undanta alla filer under en angiven mapp rekursivt.
- Process: Undanta en specifik process och alla filer som öppnas av den.
Mer information finns i Konfigurera och validera undantag för Microsoft Defender för Endpoint på macOS.
Undantag i Linux
I Linux kan du konfigurera både antivirus och globala undantag.
- Antivirusundantag: Gäller för genomsökningar på begäran, realtidsskydd (RTP) och beteendeövervakning (BM).
- Globala undantag: Gäller för realtidsskydd (RTP), beteendeövervakning (BM) och slutpunktsidentifiering och svar (EDR), vilket stoppar alla associerade antivirusidentifieringar och EDR-aviseringar.
Mer information finns i Konfigurera och validera undantag för Microsoft Defender för Endpoint på Linux.
Undantag i Windows
Microsoft Defender Antivirus kan konfigureras för att undanta kombinationer av processer, filer och tillägg från schemalagda genomsökningar, genomsökningar på begäran och realtidsskydd. Se Konfigurera anpassade undantag för Microsoft Defender Antivirus.
Överväg att använda kontextuella fil- och processundantag för mer detaljerad kontroll som hjälper dig att minimera skyddsluckorna.
Förkonfigurerade antivirusundantag
Dessa undantagstyper är förkonfigurerade i Microsoft Defender för Endpoint för Microsoft Defender Antivirus.
| Undantagstyper | Konfiguration | Beskrivning |
|---|---|---|
| Automatiska Microsoft Defender antivirusundantag | Automatisk | Automatiska undantag för serverroller och funktioner i Windows Server. När du installerar en roll på Windows Server 2016 eller senare innehåller Microsoft Defender Antivirus automatiska undantag för serverrollen och filer som läggs till när rollen installeras. Dessa undantag gäller endast för aktiva roller i Windows Server 2016 och senare. |
| Inbyggda Microsoft Defender antivirusundantag | Automatisk | Microsoft Defender Antivirus innehåller inbyggda undantag för operativsystemfiler i alla versioner av Windows. |
Automatiska undantag för serverroller
Automatiska undantag för serverroller omfattar undantag för serverroller och funktioner i Windows Server 2016 och senare. Dessa undantag genomsöks inte av realtidsskydd , men de är fortfarande föremål för snabba, fullständiga eller antivirusgenomsökningar på begäran.
Exempel inkluderar:
- Filreplikeringstjänsten (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- DNS-server
- Utskriftsserver
- Webbserver
- Windows Server Update Services
- ... med mera.
Obs!
Automatiska undantag för serverroller stöds inte på Windows Server 2012 R2. För servrar som kör Windows Server 2012 R2 med serverrollen Active Directory Domain Services (AD DS) installerad måste undantag för domänkontrollanter anges manuellt. Se Active Directory-undantag.
Mer information finns i Automatiska undantag för serverroller.
Inbyggda antivirusundantag
Inbyggda antivirusundantag omfattar vissa operativsystemfiler som undantas av Microsoft Defender Antivirus i alla versioner av Windows (inklusive Windows 10, Windows 11 och Windows Server).
Exempel inkluderar:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%allusersprofile%\NTUser.pol- Windows Update filer
- Windows-säkerhet filer
- ... med mera.
Listan över inbyggda undantag i Windows hålls uppdaterad när hotlandskapet ändras. Mer information om dessa undantag finns i Microsoft Defender Antivirus-undantag på Windows Server: Inbyggda undantag.
Undantag för minskning av attackytan
Regler för minskning av attackytan (kallas även ASR-regler) är inriktade på vissa programvarubeteenden, till exempel:
- Starta körbara filer och skript som försöker ladda ned eller köra filer
- Köra skript som verkar vara dolda eller på annat sätt misstänkta
- Utföra beteenden som appar vanligtvis inte initierar under normalt dagligt arbete
Ibland uppvisar legitima program programvarubeteenden som kan blockeras av regler för minskning av attackytan. Om det sker i din organisation kan du definiera undantag för vissa filer och mappar. Sådana undantag tillämpas på alla regler för minskning av attackytan. Se Aktivera regler för minskning av attackytan.
Obs!
Regler för minskning av attackytan respekterar processundantag, men inte alla regler för minskning av attackytan respekterar Microsoft Defender antivirusundantag. Se Referens för regler för minskning av attackytan – Microsoft Defender Antivirusundantag och ASR-regler.
Undantag för Automation-mappar
Undantag för automationsmappar gäller för automatiserad undersökning och reparation i Defender för Endpoint, som är utformat för att undersöka aviseringar och vidta omedelbara åtgärder för att lösa identifierade överträdelser. När aviseringar utlöses och en automatiserad undersökning körs, nås en dom (skadlig, misstänkt eller inga hot hittades) för varje bevis som undersöks. Beroende på automatiseringsnivå och andra säkerhetsinställningar kan reparationsåtgärder utföras automatiskt eller endast efter godkännande av ditt säkerhetsåtgärdsteam.
Du kan ange mappar, filnamnstillägg i en specifik katalog och filnamn som ska undantas från automatiserade undersöknings- och reparationsfunktioner. Sådana undantag för automationsmappar gäller för alla enheter som registrerats i Defender för Endpoint. Dessa undantag är fortfarande föremål för antivirusgenomsökningar.
Mer information finns i Hantera undantag för automationsmappar.
Kontrollerade mappåtkomstundantag
Kontrollerad mappåtkomst övervakar appar för aktiviteter som identifieras som skadliga och skyddar innehållet i vissa (skyddade) mappar på Windows-enheter. Kontrollerad mappåtkomst tillåter endast betrodda appar att komma åt skyddade mappar, till exempel vanliga systemmappar (inklusive startsektorer) och andra mappar som du anger. Du kan tillåta att vissa appar eller signerade körbara filer får åtkomst till skyddade mappar genom att definiera undantag.
Mer information finns i Anpassa kontrollerad mappåtkomst.
Anpassade reparationsåtgärder
När Microsoft Defender Antivirus identifierar ett potentiellt hot vid körning av en genomsökning försöker det åtgärda eller ta bort det identifierade hotet. Du kan definiera anpassade reparationsåtgärder för att konfigurera hur Microsoft Defender Antivirus ska hantera vissa hot, om en återställningspunkt ska skapas före reparation och när hot ska tas bort.
Mer information finns i Konfigurera reparationsåtgärder för Microsoft Defender antivirusidentifieringar.
Hur undantag och indikatorer utvärderas
De flesta organisationer har flera olika typer av undantag och indikatorer för att avgöra om användarna ska kunna komma åt och använda en fil eller process. Undantag och indikatorer bearbetas i en viss ordning så att principkonflikter hanteras systematiskt.
Så här fungerar det:
Om en identifierad fil/process inte tillåts av Windows Defender Application Control och AppLocker blockeras den. Annars fortsätter den till Microsoft Defender Antivirus.
Om den identifierade filen/processen inte ingår i ett undantag för Microsoft Defender Antivirus blockeras den. Annars söker Defender för Endpoint efter en anpassad indikator för filen/processen.
Om den identifierade filen/processen har en indikator för Blockera eller Varna vidtas den åtgärden. Annars tillåts filen/processen och fortsätter till utvärdering av regler för minskning av attackytan, kontrollerad mappåtkomst och SmartScreen-skydd.
Om den identifierade filen/processen inte blockeras av regler för minskning av attackytan, kontrollerad mappåtkomst eller SmartScreen-skydd fortsätter den till Microsoft Defender Antivirus.
Om den identifierade filen/processen inte tillåts av Microsoft Defender Antivirus kontrolleras en åtgärd baserat på dess hot-ID.
Så här hanteras principkonflikter
I de fall där Indikatorer för Defender för Endpoint står i konflikt kan du förvänta dig följande:
Om det finns motstridiga filindikatorer tillämpas indikatorn som använder den säkraste hashen. SHA256 har till exempel företräde framför SHA-1, som har företräde framför MD5.
Om det finns url-indikatorer i konflikt används den striktare indikatorn. För Microsoft Defender SmartScreen används en indikator som använder den längsta URL-sökvägen. Till exempel
www.dom.ain/admin/har företräde framförwww.dom.ain. (Nätverksskydd gäller för domäner i stället för undersidor i en domän.)Om det finns liknande indikatorer för en fil eller process som har olika åtgärder har indikatorn som är begränsad till en specifik enhetsgrupp företräde framför en indikator som riktar sig till alla enheter.
Så här fungerar automatiserad undersökning och reparation med indikatorer
Automatiserade undersöknings- och reparationsfunktioner i Defender för Endpoint fastställer först en bedömning för varje bevis och vidtar sedan en åtgärd beroende på Indikatorer för Defender för Slutpunkter. Därför kan en fil/process få en bedömning av "bra" (vilket innebär att inga hot hittades) och fortfarande blockeras om det finns en indikator med den åtgärden. På samma sätt kan en entitet få en bedömning av "dålig" (vilket innebär att den är fast besluten att vara skadlig) och fortfarande tillåtas om det finns en indikator med den åtgärden.
Mer information finns i Automatiserad undersökning och reparation och indikatorer.
Andra serverarbetsbelastningar och undantag
Om din organisation använder andra serverarbetsbelastningar, till exempel Exchange Server, SharePoint Server eller SQL Server, bör du tänka på att endast inbyggda serverroller (som kan vara förutsättningar för programvara som du installerar senare) på Windows Server undantas av funktionen för automatiska undantag för serverroller (och endast när de använder sin standardinstallationsplats). Du måste förmodligen definiera antivirusundantag för dessa andra arbetsbelastningar eller för alla arbetsbelastningar om du inaktiverar automatiska undantag.
Här följer några exempel på teknisk dokumentation för att identifiera och implementera de undantag du behöver:
- Köra antivirusprogram på Exchange Server
- Mappar som ska undantas från antivirusgenomsökningar på SharePoint Server
- Välja antivirusprogram för SQL Server
Beroende på vad du använder kan du behöva läsa dokumentationen för serverarbetsbelastningen.
Se även
- Hantera vanliga falska positiva scenarier med undantag
- Konfigurera undantag för Microsoft Defender Antivirus
- Vanliga misstag att undvika när man definierar undantag
- Översikt över indikatorer i Microsoft Defender för Endpoint
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.