Řešení nežádoucího chování v Microsoft Defender for Endpoint pomocí vyloučení, indikátorů a dalších technik

Primární funkcí Defenderu for Endpoint je prevence a detekce přístupu k škodlivým procesům a souborům. Defender for Endpoint je navržený tak, aby uživatelům ve vaší organizaci umožnil ochranu před hrozbami a zároveň zůstali produktivní pomocí výchozích nastavení a zásad zabezpečení. Občas může dojít k nežádoucímu chování, například:

• Falešně pozitivní: Falešně pozitivní je, když byla entita, například soubor nebo proces, zjištěna a identifikována jako škodlivá, i když entita není hrozbou.
• Nízký výkon: U aplikací dochází k problémům s výkonem, když jsou povolené některé funkce Defenderu for Endpoint
• Nekompatibilní aplikace: Aplikace nefungují správně, když jsou povolené určité funkce Defenderu for Endpoint

Tento článek popisuje, jak řešit tyto typy nežádoucího chování, a obsahuje několik ukázkových scénářů.

Poznámka

Vytvoření indikátoru nebo vyloučení by se mělo zvážit až po důkladném pochopení původní příčiny neočekávaného chování.

Řešení nežádoucího chování pomocí Defenderu for Endpoint

Obecný proces řešení nežádoucího chování v Defenderu for Endpoint je obecně následující:

1. Zjistěte, která funkce způsobuje nežádoucí chování. Potřebujete vědět, jestli v Defenderu for Endpoint nedochází k chybné konfiguraci Microsoft Defender antivirové ochrany, zjišťování a odezvy koncových bodů, snížení potenciální oblasti útoku, řízenému přístupu ke složkě atd. K rozhodnutí můžete použít informace na portálu Microsoft Defender nebo na zařízení.

   Umístění	Co dělat
   Portál Microsoft Defender	Proveďte jednu nebo více následujících akcí, které vám pomůžou identifikovat, co se děje: - Prozkoumání výstrah - Použití rozšířeného proaktivního vyhledávání - Zobrazení sestav
   Na zařízení	Při identifikaci problému proveďte jeden nebo více následujících kroků: - Použití nástrojů analyzátoru výkonu - Kontrola protokolů událostí a kódů chyb - Kontrola historie ochrany

2. V závislosti na zjištěních z předchozího kroku můžete provést jednu nebo více následujících akcí:

   • Potlačení upozornění na portálu Microsoft Defender
   • Definování vlastních nápravných akcí
   • Odeslání souboru do Microsoftu k analýze
   • Definování vyloučení pro Microsoft Defender Antivirus
   • Vytvoření indikátorů pro Defender for Endpoint

   Mějte na paměti, že ochrana před falšováním ovlivňuje, jestli je možné vyloučení upravit nebo přidat. Podívejte se na článek Co se stane, když je zapnutá ochrana před falšováním.

3. Ověřte, že vaše změny problém vyřešily.

Příklady nežádoucího chování

Tato část obsahuje několik ukázkových scénářů, které je možné řešit pomocí vyloučení a indikátorů. Další informace o vyloučeních najdete v tématu Přehled vyloučení.

Aplikace je rozpoznána aplikací Microsoft Defender Antivirus při spuštění aplikace

V tomto scénáři pokaždé, když uživatel spustí určitou aplikaci, je aplikace rozpoznána Microsoft Defender Antivirus jako potenciální hrozba.

Postup řešení: Vytvořte pro Microsoft Defender for Endpoint indikátor povolení. Můžete například vytvořit indikátor "povolit" pro soubor, například spustitelný soubor. Viz Vytváření indikátorů pro soubory.

Vlastní aplikaci podepsanou svým držitelem zjistí Microsoft Defender Antivirus při spuštění aplikace

V tomto scénáři zjistí Microsoft Defender Antivirová ochrana vlastní aplikaci jako potenciální hrozbu. Aplikace se pravidelně aktualizuje a je podepsaná svým držitelem.

Řešení: Vytvořte indikátory "povolení" pro certifikáty nebo soubory. Projděte si následující články:

• Vytvoření indikátorů založených na certifikátech
• Vytváření indikátorů pro soubory

Vlastní aplikace přistupuje k sadě typů souborů, které se při spuštění aplikace zjistí jako škodlivé.

V tomto scénáři vlastní aplikace přistupuje k nastaveným typům souborů a sada je rozpoznána jako škodlivá Microsoft Defender Antivirus při každém spuštění aplikace.

Jak sledovat: Když je aplikace spuštěná, zjistí ji Microsoft Defender Antivirus jako detekci sledování chování.

Postup řešení: Definujte vyloučení pro Microsoft Defender Antivirovou ochranu, například vyloučení souborů nebo cest, které můžou obsahovat zástupné cardy. Nebo definujte vlastní vyloučení cesty k souboru. Projděte si následující články:

• Řešení falešně pozitivních/negativních výsledků v programu Microsoft Defender for Endpoint
• Konfigurace a ověření vyloučení na základě přípony souboru a umístění složky

Microsoft Defender Antivirus detekuje aplikaci jako detekci chování.

V tomto scénáři je aplikace rozpoznána Microsoft Defender Antivirus kvůli určitému chování, i když aplikace není hrozbou.

Postup řešení: Definujte vyloučení procesu. Projděte si následující články:

• Konfigurace a ověření vyloučení na základě přípony souboru a umístění složky
• Konfigurace vyloučení pro soubory otevřené procesy

Aplikace se považuje za potenciálně nežádoucí aplikaci (PUA).

V tomto scénáři se aplikace zjistí jako PUA a vy jí chcete povolit spuštění.

Řešení: Definujte pro aplikaci vyloučení. Projděte si následující články:

• Vyloučit soubory z ochrany proti PUA
• Konfigurace a ověření vyloučení na základě přípony souboru a umístění složky

Aplikaci se zablokuje zápis do chráněné složky.

V tomto scénáři je legitimní aplikaci zablokován zápis do složek, které jsou chráněny řízeným přístupem ke složkám.

Postup adresování: Přidejte aplikaci do seznamu povolených pro řízený přístup ke složkům. Viz Povolení provádění změn řízených složek určitým aplikacím.

Microsoft Defender Antivirus zjistí, že aplikace jiného výrobce je škodlivá.

V tomto scénáři je aplikace jiného výrobce, která není hrozbou, detekována a identifikována jako škodlivá Microsoft Defender Antivirová ochrana.

Postup řešení: Odešlete aplikaci do Microsoftu k analýze. Viz Jak odeslat soubor do Microsoftu k analýze.

Defender for Endpoint nesprávně detekuje aplikaci a identifikuje ji jako škodlivou.

V tomto scénáři se v Defenderu for Endpoint detekuje legitimní aplikace a identifikuje ji jako škodlivou. Kdykoli uživatel aplikaci použije, zablokuje ji a veškerý stažený obsah pravidlo omezení potenciální oblasti útoku, blokování javascriptu nebo jazyka VBScript ve spuštění staženého spustitelného obsahu.

Postup řešení:

1. Na portálu Microsoft Defender přejděte na Sestavy. V části Sestavy vyberte Sestava zabezpečení.

2. Posuňte se dolů na zařízení a vyhledejte karty pro snížení počtu možností útoku. Další informace najdete v sestavě pravidel omezení potenciální oblasti útoku.

3. Pomocí informací identifikujte soubory a umístění složek, které mají být vyloučeny.

4. Přidejte vyloučení. Viz Konfigurace a ověření vyloučení na základě přípony souboru a umístění složky.

Word jsou zablokované šablony obsahující makra, která spouštějí jiné aplikace

V tomto scénáři pokaždé, když uživatel otevře dokumenty vytvořené pomocí šablon Microsoft Word obsahující makra a tato makra spustí jiné aplikace, pravidlo omezení potenciální oblasti útoku Blokovat volání rozhraní API Win32 z maker Office blokuje Microsoft Word.

Postup řešení:

1. Na portálu Microsoft Defender přejděte na Sestavy. V části Sestavy vyberte Sestava zabezpečení.

2. Posuňte se dolů na zařízení a vyhledejte karty pro snížení počtu možností útoku. Další informace najdete v sestavě pravidel omezení potenciální oblasti útoku.

3. Pomocí informací identifikujte soubory a umístění složek, které mají být vyloučeny.

4. Přidejte vyloučení. Viz Konfigurace a ověření vyloučení na základě přípony souboru a umístění složky.

Viz také

• Přehled vyloučení
• Referenční informace ke správě vyloučení