分享方式:


Microsoft Defender 防病毒軟體的雲端保護和範例提交

適用於:

平台

  • Windows

  • macOS

  • Linux

  • Windows 伺服器

Microsoft Defender 防病毒軟體會使用許多智慧型機制來偵測惡意代碼。 其中一個最強大的功能是能夠套用雲端功能來偵測惡意代碼並執行快速分析。 雲端保護和自動範例提交會與 Microsoft Defender 防病毒軟體一起運作,以協助防範新的和新興的威脅。

如果偵測到可疑或惡意的檔案,範例會傳送至雲端服務進行分析,而Microsoft Defender 防病毒軟體會封鎖檔案。 一旦做出快速判斷,Microsoft Defender 防病毒軟體就會釋放或封鎖檔案。

本文提供 Microsoft Defender 防病毒軟體的雲端保護和自動範例提交概觀。 若要深入瞭解雲端保護,請參閱 雲端保護和 Microsoft Defender 防病毒軟體

雲端保護和範例提交如何一起運作

若要瞭解雲端保護如何與範例提交搭配運作,瞭解適用於端點的 Defender 如何防範威脅會很有説明。 Microsoft Intelligent Security Graph 會監視來自大量感測器網路的威脅數據。 Microsoft層雲端式機器學習模型,這些模型可以根據來自用戶端的訊號,以及 Intelligent Security Graph 中大量的感測器和數據網路來評估檔案。 這種方法可讓適用於端點的Defender封鎖許多前所未見的威脅。

下圖描述使用 Microsoft Defender 防病毒軟體的雲端保護流程和範例提交:

雲端式保護流程

Microsoft Defender 防病毒軟體和雲端保護會使用下列方法,在第一次看見時自動封鎖大部分全新、前所未見的威脅:

  1. 輕量型用戶端型機器學習模型,封鎖新的和未知的惡意代碼。

  2. 本機行為分析,停止檔案型和無檔案攻擊。

  3. 高精確度防病毒軟體,透過泛型和啟發學習技術偵測常見的惡意代碼。

  4. 當端點上執行的 Microsoft Defender 防病毒軟體需要更多情報來驗證可疑檔案的意圖時,會提供進階雲端式保護。

    1. 如果Microsoft Defender 防病毒軟體無法明確判斷,檔案元數據會傳送至雲端保護服務。 雲端保護服務通常會在毫秒內,根據元數據判斷檔案是否為惡意威脅。

      • 檔案元數據的雲端查詢可能是行為、Web 標記或其他無法判斷清楚決策的特性所造成。
      • 系統會傳送小型元數據承載,目標是要做出惡意代碼或不是威脅的決策。 元數據不包含 PII) (個人標識資訊。 檔名等信息會經過哈希處理。
      • 可以是同步或異步的。 若為同步,在雲端呈現決策之前,檔案將不會開啟。 針對異步,檔案會在雲端保護執行分析時開啟。
      • 元數據可以包含PE屬性、靜態檔屬性、動態和內容屬性,以及更多 (請參閱 傳送至雲端保護服務的元數據範例) 。
    2. 檢查元數據之後,如果Microsoft Defender 防病毒軟體雲端保護無法達成結論性決策,它可以要求檔案的範例以供進一步檢查。 此要求接受範例提交的設定組態:

      1. 自動傳送安全範例

        • 安全範例被視為不常包含 PII 數據,例如:.bat、.scr、.dll、.exe。
        • 如果檔案可能包含 PII,使用者會收到允許提交檔案範例的要求。
        • 此選項是 Windows、macOS 和 Linux 上的預設選項。
      2. 一律提示

        • 如果已設定,一律會在提交檔案之前提示使用者同意
        • 此設定不適用於 macOS 和 Linux 雲端保護
      3. 自動傳送所有範例

        • 如果已設定,則會自動傳送所有範例
        • 如果您想要提交範例以包含內嵌在 Word 檔案中的宏,則必須選擇 [自動傳送所有範例]
        • 此設定不適用於macOS雲端保護
      4. 不要傳送

        • 根據檔案範例分析防止「第一次看見時封鎖」
        • 「不要傳送」相當於 macOS 原則中的 [已停用] 設定和 Linux 原則中的 [無] 設定。
        • 即使已停用範例提交,也會傳送元數據以進行偵測
    3. 將檔案提交至雲端保護之後,即可透過巨量數據分析機器學習模型掃描刪除和處理提交的檔案,以達成決策。 關閉雲端式保護會將分析限制為只有用戶端可以透過本機機器學習模型和類似功能提供的內容。

重要事項

「第一次看見時封鎖 (BAFS) 提供擷取和分析,以判斷檔案或進程是否安全。 BAFS 可以暫時延遲開啟檔案,直到達成決策為止。 如果您停用範例提交,BAFS 也會停用,而檔案分析僅限於元數據。 建議您保持範例提交並啟用BAFS。 若要深入瞭解,請參閱 什麼是「第一次看見時封鎖」?

雲端保護層級

雲端保護預設會在 Microsoft Defender 防病毒軟體啟用。 雖然您可以為組織設定保護層級,但建議您保持啟用雲端保護。 請參閱 指定 Microsoft Defender 防病毒軟體的雲端式保護層級

範例提交設定

除了設定雲端保護層級之外,您還可以設定範例提交設定。 您可以從數個選項中選擇:

  • (預設行為) 自動傳送安全範例
  • 自動傳送所有範例
  • 不要傳送範例

提示

使用 選項 Send all samples automatically 可提供更好的安全性,因為網路釣魚攻擊會用於大量的 初始存取攻擊。 如需使用 Intune、Configuration Manager、組策略或 PowerShell 設定選項的相關信息,請參閱 在 Microsoft Defender 防病毒軟體開啟雲端保護

傳送至雲端保護服務的元數據範例

Microsoft Defender 防病毒軟體入口網站中傳送至雲端保護的元數據範例

下表列出雲端保護傳送以供分析的元數據範例:

類型 屬性
機器屬性 OS version
Processor
Security settings
動態和內容屬性 處理和安裝
ProcessName
ParentProcess
TriggeringSignature
TriggeringFile
Download IP and url
HashedFullPath
Vpath
RealPath
Parent/child relationships

行為上
Connection IPs
System changes
API calls
Process injection

現場
Locale setting
Geographical location
靜態檔屬性 部分和完整哈希
ClusterHash
Crc16
Ctph
ExtendedKcrcs
ImpHash
Kcrc3n
Lshash
LsHashs
PartialCrc1
PartialCrc2
PartialCrc3
Sha1
Sha256

檔案屬性
FileName
FileSize

簽署者資訊
AuthentiCodeHash
Issuer
IssuerHash
Publisher
Signer
SignerHash

範例會被視為客戶數據

如果您想知道範例提交會發生什麼事,適用於端點的 Defender 會將所有檔案範例視為客戶數據。 Microsoft接受組織在上線至適用於端點的 Defender 時所選取的地理和數據保留選項。

此外,適用於端點的Defender已收到多個合規性認證,示範如何持續遵循一組複雜的合規性控制:

  • ISO 27001
  • ISO 27018
  • SOC I、II、III
  • PCI

如需詳細資訊,請參閱下列資源:

其他檔案範例提交案例

另外還有兩種案例,適用於端點的 Defender 可能會要求與 Microsoft Defender 防病毒軟體的雲端保護無關的檔案範例。 下表說明這些案例:

案例 描述
Microsoft Defender 入口網站中的手動檔案範例集合 將裝置上線至適用於端點的 Defender 時,您可以設定 端點偵測和回應的設定, (EDR) 。 例如,有一個設定可從裝置啟用範例集合,這很容易與本文所述的範例提交設定混淆。

當透過 Microsoft Defender 入口網站要求時,EDR 設定會控制來自裝置的檔案範例集合,並且受限於已建立的角色和許可權。 此設定可以允許或封鎖端點的檔案收集,以取得 Microsoft Defender 入口網站中的深入分析等功能。 如果未設定此設定,預設值是啟用範例集合。

瞭解適用於端點的Defender組態設定,請參閱: 適用於端點的Defender中適用於Windows 10裝置的上線工具和方法
自動化調查和回應內容分析 自動調查 在裝置上執行時 (設定為自動執行以回應警示或手動執行) 時,可以從端點收集識別為可疑的檔案,以供進一步檢查。 如有必要,可以在 Microsoft Defender 入口網站中停用自動化調查的檔案內容分析功能。

您也可以修改擴展名,以新增或移除將在自動化調查期間自動提交之其他檔類型的擴展名。

若要深入瞭解,請 參閱管理自動化檔案上傳

另請參閱

新一代保護概觀

設定Microsoft Defender 防病毒軟體偵測的補救。

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。