Åtgärda falska positiva/negativa i Microsoft Defender för Endpoint

  • Artikel

Gäller för:

Plattformar

  • Windows

I endpoint protection-lösningar är en falsk positiv en entitet, till exempel en fil eller en process som har identifierats och identifierats som skadlig även om entiteten inte är ett hot. En falsk negativ är en entitet som inte har identifierats som ett hot, även om den faktiskt är skadlig. Falska positiva/negativa identifieringar kan inträffa med valfri hotskyddslösning, inklusive Defender för Endpoint.

Definitionen av falska positiva och negativa identifieringar i Microsoft Defender-portalen

Lyckligtvis kan åtgärder vidtas för att åtgärda och minska den här typen av problem. Om du ser falska positiva/negativa identifieringar med Defender för Endpoint kan dina säkerhetsåtgärder vidta åtgärder för att åtgärda dem med hjälp av följande process:

  1. Granska och klassificera aviseringar
  2. Granska åtgärder som har vidtagits
  3. Granska och definiera undantag
  4. Skicka en entitet för analys
  5. Granska och justera inställningarna för skydd mot hot

Du kan få hjälp om du fortfarande har problem med falska positiva/negativa identifieringar när du har utfört de uppgifter som beskrivs i den här artikeln. Se Behöver du fortfarande hjälp?

Stegen för att åtgärda falska positiva och negativa identifieringar

Obs!

Den här artikeln är avsedd som vägledning för säkerhetsoperatörer och säkerhetsadministratörer som använder Defender för Endpoint.

Del 1: Granska och klassificera aviseringar

Om du ser en avisering som uppstod eftersom något har identifierats som skadligt eller misstänkt och det inte borde vara det, kan du ignorera aviseringen för den entiteten. Du kan också ignorera aviseringar som inte nödvändigtvis är falska positiva, men som inte är viktiga. Vi rekommenderar att du även klassificerar aviseringar.

Genom att hantera dina aviseringar och klassificera sanna/falska positiva identifieringar kan du träna din hotskyddslösning och minska antalet falska positiva identifieringar eller falska negativa identifieringar över tid. Genom att vidta de här stegen kan du också minska bruset i kön så att säkerhetsteamet kan fokusera på arbetsobjekt med högre prioritet.

Avgöra om en avisering är korrekt

Innan du klassificerar eller utelämnar en avisering ska du avgöra om aviseringen är korrekt, en falsk positiv eller godartad.

  1. I Microsoft Defender-portalen går du till navigeringsfönstret och väljer Incidenter & aviseringar och sedan Aviseringar.

  2. Välj en avisering om du vill visa mer information om den. (Information om hur du får hjälp med den här uppgiften finns i Granska aviseringar i Defender för Endpoint.)

  3. Beroende på aviseringsstatus följer du stegen som beskrivs i följande tabell:

    Aviseringsstatus Lämplig åtgärd
    Aviseringen är korrekt Tilldela aviseringen och undersök den ytterligare.
    Aviseringen är en falsk positiv identifiering 1. Klassificera aviseringen som en falsk positiv identifiering.

    2. Ignorera aviseringen.

    3. Skapa en indikator för Microsoft Defender för Endpoint.

    4. Skicka en fil till Microsoft för analys.
    Aviseringen är korrekt, men godartad (oviktig) Klassificera aviseringen som en sann positiv identifiering och ignorera sedan aviseringen.

Klassificera en avisering

Aviseringar kan klassificeras som falska positiva identifieringar eller sanna positiva identifieringar i Microsoft Defender-portalen. Genom att klassificera aviseringar kan du träna Defender för Endpoint så att du med tiden ser fler sanna aviseringar och färre falska aviseringar.

  1. I Microsoft Defender-portalen går du till navigeringsfönstret och väljer Incidenter & aviseringar, väljer Aviseringar och väljer sedan en avisering.

  2. För den valda aviseringen väljer du Hantera avisering. Ett utfällt fönster öppnas.

  3. I avsnittet Hantera avisering i fältet Klassificering klassificerar du aviseringen (Sann positiv, Information, förväntad aktivitet eller Falsk positiv).

Tips

Mer information om hur du utelämnar aviseringar finns i Hantera Defender för Endpoint-aviseringar. Och om din organisation använder en SIEM-server (säkerhetsinformation och händelsehantering) måste du också definiera en undertryckningsregel där.

Ignorera en avisering

Om du har aviseringar som antingen är falska positiva eller som är sanna positiva, men för oviktiga händelser, kan du ignorera dessa aviseringar i Microsoft Defender XDR. Om du utelämnar aviseringar kan du minska bruset i kön.

  1. I Microsoft Defender-portalen går du till navigeringsfönstret och väljer Incidenter & aviseringar och sedan Aviseringar.

  2. Välj en avisering som du vill ignorera för att öppna fönstret Information .

  3. I fönstret Information väljer du ellipsen (...) och Skapa sedan undertryckningsregeln.

  4. Ange alla inställningar för undertryckningsregeln och välj sedan Spara.

Tips

Behöver du hjälp med undertryckningsregler? Se Ignorera en avisering och skapa en ny undertryckningsregel.

Del 2: Granska reparationsåtgärder

Reparationsåtgärder, till exempel att skicka en fil i karantän eller stoppa en process, vidtas på entiteter (till exempel filer) som identifieras som hot. Flera typer av åtgärder utförs automatiskt genom automatisk undersökning och Microsoft Defender Antivirus:

  • Placera en fil i karantän
  • Ta bort en registernyckel
  • Avsluta en process
  • Stoppa en tjänst
  • Inaktivera en drivrutin
  • Ta bort en schemalagd aktivitet

Andra åtgärder, till exempel att starta en antivirusgenomsökning eller samla in ett undersökningspaket, sker manuellt eller via Live Response. Åtgärder som vidtas via Live Response kan inte ångras.

När du har granskat aviseringarna är nästa steg att granska reparationsåtgärderna. Om några åtgärder har vidtagits till följd av falska positiva identifieringar kan du ångra de flesta typer av reparationsåtgärder. Mer specifikt kan du:

När du är klar med att granska och ångra åtgärder som har vidtagits till följd av falska positiva identifieringar fortsätter du med att granska eller definiera undantag.

Granska slutförda åtgärder

  1. I Microsoft Defender-portalen väljer du Åtgärder & inlämningar och sedan Åtgärdscenter.

  2. Välj fliken Historik för att visa en lista över åtgärder som har vidtagits.

  3. Välj ett objekt om du vill visa mer information om åtgärdsåtgärden som vidtogs.

Återställa en fil i karantän från Åtgärdscenter

  1. I Microsoft Defender-portalen väljer du Åtgärder & inlämningar och sedan Åtgärdscenter.

  2. På fliken Historik väljer du en åtgärd som du vill ångra.

  3. I den utfällbara rutan väljer du Ångra. Om åtgärden inte kan ångras med den här metoden visas ingen Ångra-knapp . (Mer information finns i Ångra slutförda åtgärder.)

Ångra flera åtgärder samtidigt

  1. I Microsoft Defender-portalen väljer du Åtgärder & inlämningar och sedan Åtgärdscenter.

  2. På fliken Historik väljer du de åtgärder som du vill ångra.

  3. I den utfällbara rutan till höger på skärmen väljer du Ångra.

Ta bort en fil från karantänen på flera enheter

Karantänfilen

  1. I Microsoft Defender-portalen väljer du Åtgärder & inlämningar och sedan Åtgärdscenter.

  2. På fliken Historik väljer du en fil med åtgärdstypen Karantänfil.

  3. I fönstret till höger på skärmen väljer du Använd för X fler instanser av den här filen och väljer sedan Ångra.

Granska meddelanden i karantän

  1. I Microsoft Defender-portalen går du till navigeringsfönstret och under Email & samarbete väljer du Exchange-meddelandespårning.

  2. Välj ett meddelande om du vill visa information.

Återställa fil från karantän

Du kan återställa och ta bort en fil från karantänen om du har fastställt att den är ren efter en undersökning. Kör följande kommando på varje enhet där filen sattes i karantän.

  1. Öppna kommandotolken som administratör på enheten:

    1. Gå till Start och skriv cmd.
    2. Högerklicka på Kommandotolken och välj Kör som administratör.

  2. Skriv följande kommando och tryck på Retur:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All

    Viktigt

    I vissa scenarier kan ThreatName visas som EUS:Win32/CustomEnterpriseBlock!cl. Defender för Endpoint återställer alla anpassade blockerade filer som har placerats i karantän på den här enheten under de senaste 30 dagarna. En fil som satts i karantän som ett potentiellt nätverkshot kanske inte kan återställas. Om en användare försöker återställa filen efter karantänen kanske filen inte är tillgänglig. Detta kan bero på att systemet inte längre har nätverksautentiseringsuppgifter för att komma åt filen. Detta är vanligtvis ett resultat av en tillfällig inloggning till ett system eller en delad mapp och åtkomsttoken har upphört att gälla.

  3. I fönstret till höger på skärmen väljer du Använd för X fler instanser av den här filen och väljer sedan Ångra.

Del 3: Granska eller definiera undantag

Försiktighet

Innan du definierar ett undantag granskar du den detaljerade informationen i Hantera undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus. Tänk på att varje undantag som definieras sänker din skyddsnivå.

Ett undantag är en entitet, till exempel en fil eller URL, som du anger som ett undantag för reparationsåtgärder. Den exkluderade entiteten kan fortfarande identifieras, men inga åtgärder vidtas för den entiteten. Den identifierade filen eller processen stoppas alltså inte, skickas i karantän, tas bort eller ändras på annat sätt av Microsoft Defender för Endpoint.

Utför följande uppgifter för att definiera undantag mellan Microsoft Defender för Endpoint:

Obs!

Microsoft Defender antivirusundantag gäller endast för antivirusskydd, inte för andra Microsoft Defender för Endpoint funktioner. Om du vill exkludera filer brett använder du undantag för Microsoft Defender Antivirus och anpassade indikatorer för Microsoft Defender för Endpoint.

Procedurerna i det här avsnittet beskriver hur du definierar undantag och indikatorer.

Undantag för Microsoft Defender Antivirus

I allmänhet bör du inte behöva definiera undantag för Microsoft Defender Antivirus. Se till att du definierar undantag sparsamt och att du bara inkluderar filer, mappar, processer och processöppnade filer som resulterar i falska positiva identifieringar. Se dessutom till att granska dina definierade undantag regelbundet. Vi rekommenderar att du använder Microsoft Intune för att definiera eller redigera antivirusundantag. Du kan dock använda andra metoder, till exempel grupprincip (se Hantera Microsoft Defender för Endpoint.

Tips

Behöver du hjälp med antivirusundantag? Se Konfigurera och validera undantag för Microsoft Defender Antivirus.

Använd Intune för att hantera antivirusundantag (för befintliga principer)

  1. I Microsoft Intune administrationscenter väljer du Endpoint Security>Antivirus och sedan en befintlig princip. (Om du inte har någon befintlig princip eller om du vill skapa en ny princip går du vidare till Använd Intune för att skapa en ny antivirusprincip med undantag.)

  2. Välj Egenskaper och välj Redigera bredvid Konfigurationsinställningar.

  3. Expandera Microsoft Defender Antivirus-undantag och ange sedan dina undantag.

    • Undantagna tillägg är undantag som du definierar med filtypstillägg. Dessa tillägg gäller för alla filnamn som har det definierade tillägget utan filsökväg eller mapp. Avgränsa varje filtyp i listan måste avgränsas med ett | tecken. Till exempel lib|obj. Mer information finns i ExcludedExtensions.
    • Undantagna sökvägar är undantag som du definierar med deras plats (sökväg). Dessa typer av undantag kallas även för fil- och mappundantag. Avgränsa varje sökväg i listan med ett | tecken. Till exempel C:\Example|C:\Example1. Mer information finns i ExcludedPaths.
    • Exkluderade processer är undantag för filer som öppnas av vissa processer. Avgränsa varje filtyp i listan med ett | tecken. Till exempel C:\Example. exe|C:\Example1.exe. Dessa undantag gäller inte för de faktiska processerna. Om du vill undanta processer kan du använda fil- och mappundantag. Mer information finns i ExcludedProcesses.

  4. Välj Granska + spara och välj sedan Spara.

Använd Intune för att skapa en ny antivirusprincip med undantag

  1. I Microsoft Intune administrationscenter väljer du Endpoint Security>Antivirus>+ Skapa Policy.

  2. Välj en plattform (till exempel Windows 10, Windows 11 och Windows Server).

  3. För Profil väljer du Microsoft Defender Antivirus-undantag och väljer sedan Skapa.

  4. I Skapa profilsteget anger du ett namn och en beskrivning för profilen och väljer sedan Nästa.

  5. På fliken Konfigurationsinställningar anger du dina antivirusundantag och väljer sedan Nästa.

    • Undantagna tillägg är undantag som du definierar med filtypstillägg. Dessa tillägg gäller för alla filnamn som har det definierade tillägget utan filsökväg eller mapp. Avgränsa varje filtyp i listan med ett | tecken. Till exempel lib|obj. Mer information finns i ExcludedExtensions.
    • Undantagna sökvägar är undantag som du definierar med deras plats (sökväg). Dessa typer av undantag kallas även för fil- och mappundantag. Avgränsa varje sökväg i listan med ett | tecken. Till exempel C:\Example|C:\Example1. Mer information finns i ExcludedPaths.
    • Exkluderade processer är undantag för filer som öppnas av vissa processer. Avgränsa varje filtyp i listan med ett | tecken. Till exempel C:\Example. exe|C:\Example1.exe. Dessa undantag gäller inte för de faktiska processerna. Om du vill undanta processer kan du använda fil- och mappundantag. Mer information finns i ExcludedProcesses.

  6. Om du använder omfångstaggar i din organisation på fliken Omfångstaggar anger du omfångstaggar för principen som du skapar. (Se Omfångstaggar.)

  7. På fliken Tilldelningar anger du de användare och grupper som principen ska tillämpas på och väljer sedan Nästa. (Om du behöver hjälp med tilldelningar kan du läsa Tilldela användar- och enhetsprofiler i Microsoft Intune.)

  8. Granska inställningarna på fliken Granska + skapa och välj sedan Skapa.

Indikatorer för Defender för Endpoint

Indikatorer (särskilt indikatorer för kompromettering eller IoCs) gör det möjligt för ditt säkerhetsteam att definiera identifiering, förebyggande och exkludering av entiteter. Du kan till exempel ange att vissa filer ska utelämnas från genomsökningar och reparationsåtgärder i Microsoft Defender för Endpoint. Eller så kan indikatorer användas för att generera aviseringar för vissa filer, IP-adresser eller URL:er.

Om du vill ange entiteter som undantag för Defender för Endpoint skapar du "tillåt"-indikatorer för dessa entiteter. Sådana "tillåt"-indikatorer gäller för nästa generations skydd och automatiserad undersökning & reparation.

"Tillåt"-indikatorer kan skapas för:

Indikatortyperna

Indikatorer för filer

När du skapar en "tillåt"-indikator för en fil, till exempel en körbar fil, hjälper det till att förhindra att filer som din organisation använder blockeras. Filer kan innehålla portabla körbara filer (PE), till exempel .exe och .dll filer.

Kontrollera att följande krav är uppfyllda innan du skapar indikatorer för filer:

Indikatorer för IP-adresser, URL:er eller domäner

När du skapar en "tillåt"-indikator för en IP-adress, URL eller domän hjälper det till att förhindra att webbplatser eller IP-adresser som din organisation använder blockeras.

Innan du skapar indikatorer för IP-adresser, URL:er eller domäner kontrollerar du att följande krav är uppfyllda:

  • Nätverksskydd i Defender för Endpoint är aktiverat i blockeringsläge (se Aktivera nätverksskydd)
  • Klientversionen för program mot skadlig kod är 4.18.1906.x eller senare
  • Enheter kör Windows 10 version 1709 eller senare eller Windows 11

Anpassade nätverksindikatorer aktiveras i Microsoft Defender XDR. Mer information finns i Avancerade funktioner.

Indikatorer för programcertifikat

När du skapar en "tillåt"-indikator för ett programcertifikat hjälper det till att förhindra att program, till exempel internt utvecklade program, som din organisation använder blockeras. .CER eller .PEM filnamnstillägg stöds.

Innan du skapar indikatorer för programcertifikat kontrollerar du att följande krav är uppfyllda:

  • Microsoft Defender Antivirus har konfigurerats med molnbaserat skydd aktiverat (se Hantera molnbaserat skydd
  • Klientversionen för program mot skadlig kod är 4.18.1901.x eller senare
  • Enheter kör Windows 10 version 1703 eller senare eller Windows 11. Windows Server 2012 R2 och Windows Server 2016 med den moderna enhetliga lösningen i Defender för Endpoint, Windows Server 2019 eller Windows Server 2022
  • Definitioner för virus- och hotskydd är uppdaterade

Tips

När du skapar indikatorer kan du definiera dem en i taget eller importera flera objekt samtidigt. Tänk på att det finns en gräns på 15 000 indikatorer för en enda klientorganisation. Och du kan behöva samla in viss information först, till exempel filhashinformation. Se till att granska förutsättningarna innan du skapar indikatorer.

Del 4: Skicka en fil för analys

Du kan skicka entiteter, till exempel filer och fillösa identifieringar, till Microsoft för analys. Microsofts säkerhetsforskare analyserar alla inlämningar och deras resultat hjälper till att informera Funktionerna för skydd mot hot i Defender för Endpoint. När du loggar in på insändningswebbplatsen kan du spåra dina inskickade filer.

Skicka en fil för analys

Om du har en fil som antingen felaktigt har identifierats som skadlig eller har missats följer du dessa steg för att skicka filen för analys.

  1. Läs riktlinjerna här: Skicka filer för analys.

  2. Skicka filer i Defender för Endpoint eller besök Microsoft Säkerhetsinsikter sändningswebbplats och skicka dina filer.

Skicka en fillös identifiering för analys

Om något har identifierats som skadlig kod baserat på beteende och du inte har någon fil kan du skicka filen Mpsupport.cab för analys. Du kan hämta .cab-filen med hjälp av verktyget Microsoft Malware Protection Command-Line (MPCmdRun.exe) på Windows 10 eller Windows 11.

  1. Gå till C:\ProgramData\Microsoft\Windows Defender\Platform\<version>och kör MpCmdRun.exe sedan som administratör.

  2. Skriv mpcmdrun.exe -GetFilesoch tryck sedan på Retur.

    En .cab fil genereras som innehåller olika diagnostikloggar. Platsen för filen anges i utdata från kommandotolken. Som standard är C:\ProgramData\Microsoft\Microsoft Defender\Support\MpSupportFiles.cabplatsen .

  3. Läs riktlinjerna här: Skicka filer för analys.

  4. Besök Microsoft Säkerhetsinsikter insändningswebbplatsen (https://www.microsoft.com/wdsi/filesubmission) och skicka dina .cab filer.

Vad händer när en fil har skickats?

Din inlämning genomsöks omedelbart av våra system för att ge dig det senaste beslutet redan innan en analytiker börjar hantera ditt ärende. Det är möjligt att en fil redan har skickats och bearbetats av en analytiker. I dessa fall fattas ett beslut snabbt.

För inlämningar som inte redan har bearbetats prioriteras de för analys på följande sätt:

  • Vanliga filer med potential att påverka ett stort antal datorer får högre prioritet.
  • Autentiserade kunder, särskilt företagskunder med giltiga Software Assurance-ID:er (SAID), får högre prioritet.
  • Inlämningar som flaggats som högprioriterade av SAID-innehavare får omedelbar uppmärksamhet.

Om du vill söka efter uppdateringar om ditt bidrag loggar du in på Microsoft Säkerhetsinsikter sändningswebbplats.

Tips

Mer information finns i Skicka filer för analys.

Del 5: Granska och justera inställningarna för skydd mot hot

Defender för Endpoint erbjuder en mängd olika alternativ, inklusive möjligheten att finjustera inställningar för olika funktioner. Om du får många falska positiva identifieringar bör du granska organisationens inställningar för skydd mot hot. Du kan behöva göra vissa justeringar för att:

Molnbaserat skydd

Kontrollera din molnlevererad skyddsnivå för Microsoft Defender Antivirus. Som standard är molnlevererat skydd inställt på Inte konfigurerat. Vi rekommenderar dock att du aktiverar det. Mer information om hur du konfigurerar molnbaserat skydd finns i Aktivera molnskydd i Microsoft Defender Antivirus.

Du kan använda Intune eller andra metoder, till exempel grupprincip, för att redigera eller ange inställningar för molnlevererad skydd.

Se Aktivera molnskydd i Microsoft Defender Antivirus.

Åtgärder för potentiellt oönskade program

Potentiellt oönskade program (PUA) är en kategori av programvara som kan få enheter att köras långsamt, visa oväntade annonser eller installera annan programvara som kan vara oväntad eller oönskad. Exempel på PUA är annonseringsprogramvara, paketering av programvara och undandragande programvara som fungerar annorlunda med säkerhetsprodukter. Även om PUA inte betraktas som skadlig kod är vissa typer av programvara PUA baserat på deras beteende och rykte.

Mer information om PUA finns i Identifiera och blockera potentiellt oönskade program.

Beroende på vilka appar din organisation använder kan du få falska positiva identifieringar som ett resultat av dina PUA-skyddsinställningar. Om det behövs kan du överväga att köra PUA-skydd i granskningsläge ett tag eller tillämpa PUA-skydd på en delmängd av enheter i din organisation. PUA-skydd kan konfigureras för Microsoft Edge-webbläsaren och för Microsoft Defender Antivirus.

Vi rekommenderar att du använder Intune för att redigera eller ange PUA-skyddsinställningar. Du kan dock använda andra metoder, till exempel grupprincip.

Se Konfigurera PUA-skydd i Microsoft Defender Antivirus.

Automatiska undersökningar och åtgärd

Funktionerna för automatiserad undersökning och reparation (AIR) är utformade för att undersöka aviseringar och vidta omedelbara åtgärder för att lösa överträdelser. När aviseringar utlöses och en automatiserad undersökning körs genereras en dom för varje bevis som undersöks. Domar kan vara skadliga, misstänkta eller inga hot som hittas.

Beroende på vilken automatiseringsnivå som angetts för din organisation och andra säkerhetsinställningar vidtas reparationsåtgärder på artefakter som anses vara skadliga eller misstänkta. I vissa fall sker reparationsåtgärder automatiskt. i andra fall vidtas reparationsåtgärder manuellt eller endast efter godkännande av ditt säkerhetsåtgärdsteam.

Viktigt

Vi rekommenderar att du använder fullständig automatisering för automatiserad undersökning och reparation. Inaktivera inte dessa funktioner på grund av en falsk positiv identifiering. Använd i stället "tillåt"-indikatorer för att definiera undantag och se till att automatisk undersökning och reparation är inställda för att vidta lämpliga åtgärder automatiskt. Genom att följa den här vägledningen kan du minska antalet aviseringar som ditt säkerhetsteam måste hantera.

Behöver du fortfarande hjälp?

Kontakta teknisk support om du har gått igenom alla steg i den här artikeln och fortfarande behöver hjälp.

  1. Välj frågetecknet (?) i det övre högra hörnet i Microsoft Defender-portalen och välj sedan Microsoft-support.

  2. I fönstret Supportassistenten beskriver du problemet och skickar sedan meddelandet. Därifrån kan du öppna en tjänstbegäran.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.