Sdílet prostřednictvím

Přehled vyloučení

  • Článek

Microsoft Defender for Endpoint a Defender pro firmy zahrnují širokou škálu funkcí pro prevenci, detekci, vyšetřování a reakci na pokročilé kybernetické hrozby. Microsoft předkonfiguruje produkt tak, aby fungoval dobře v operačním systému, ve který je nainstalovaný. Žádné další změny by neměly být potřeba. Navzdory předkonfigurovaným nastavením někdy dochází k neočekávanému chování. Tady je pár příkladů:

  • Falešně pozitivní výsledky: Soubory, složky nebo procesy, které ve skutečnosti nejsou hrozbou, může defender for Endpoint nebo Microsoft Defender Antivirová ochrana rozpoznat jako škodlivé. Tyto entity je možné zablokovat nebo odeslat do karantény, i když se nejedná o hrozbu.
  • Problémy s výkonem: Systémy mají při spuštění defenderu for Endpoint neočekávaný dopad na výkon.
  • Problémy s kompatibilitou aplikací: Při spuštění defenderu for Endpoint dochází k neočekávanému chování aplikací

Jedním z možných přístupů k řešení těchto typů problémů je vytvoření vyloučení. Často ale existují i další kroky, které můžete provést. Kromě poskytování přehledu ukazatelů a exclsuionů tento článek obsahuje alternativy k vytváření vyloučení a povolených indikátorů.

Poznámka

Vytvoření indikátoru nebo vyloučení by se mělo zvážit až po důkladném pochopení původní příčiny neočekávaného chování.

Příklady problémů a kroky, které je potřeba zvážit

Ukázkový scénář Kroky, které je třeba zvážit
Falešně pozitivní: Entita, jako je soubor nebo proces, byla zjištěna a identifikována jako škodlivá, i když entita není hrozbou. 1. Zkontrolujte a klasifikujte výstrahy , které byly generovány jako výsledek zjištěné entity.
2. Potlačit výstrahu pro známou entitu.
3. Zkontrolujte nápravné akce , které byly pro zjištěnou entitu podniknuty.
4. Odešlete falešně pozitivní výsledek společnosti Microsoft k analýze.
5. Definujte ukazatel nebo vyloučení pro entitu (pouze v případě potřeby).
Problémy s výkonem , například jeden z následujících problémů:
– Systém má vysoké využití procesoru nebo jiné problémy s výkonem.
– V systému dochází k problémům s nevracením paměti.
– Aplikace se na zařízení načítá pomalu.
– Aplikace pomalu otevírá soubor na zařízeních.		 1. Shromážděte diagnostická data pro Microsoft Defender Antivirus.
2. Pokud používáte antivirové řešení jiného výrobce než Microsoft, obraťte se na dodavatele a zjistěte, jestli neexistují nějaké známé problémy s antivirovými produkty.
3. Analyzujte protokol služby Microsoft Protection a podívejte se na odhadovaný dopad na výkon. V případě problémů s výkonem souvisejících s Microsoft Defender Antivirovou sadou použijte Analyzátor výkonu pro Microsoft Defender Antivirus.
4. Definujte vyloučení pro Microsoft Defender Antivirus (v případě potřeby).
5. Vytvořte indikátor pro Defender for Endpoint (jenom v případě potřeby).
Problémy s kompatibilitou antivirových produktů jiných společností než Microsoft
Příklad: Defender for Endpoint spoléhá na aktualizace bezpečnostních informací pro zařízení bez ohledu na to, jestli běží Microsoft Defender Antivirové řešení nebo antivirové řešení od jiných společností než Microsoft.		 1. Pokud jako primární antivirové nebo antimalwarové řešení používáte antivirový produkt od jiné společnosti než Microsoft, nastavte Microsoft Defender Antivirovou ochranu na pasivní režim.
2. Pokud přecházíte z antivirového nebo antimalwarového řešení jiného než Microsoftu na Defender for Endpoint, přečtěte si téma Přechod na Defender for Endpoint. Tyto doprovodné materiály zahrnují:
- Výjimky, které možná budete muset definovat pro antivirové nebo antimalwarové řešení jiné společnosti než Microsoft;
- Výjimky, které možná budete muset definovat pro Microsoft Defender Antivirus; a
- Informace o řešení potíží (jen pro případ, že se při migraci něco pokazí)
Kompatibilita s aplikacemi
Příklad: Aplikace selhávají nebo dochází k neočekávanému chování poté, co je zařízení nasazené do Microsoft Defender for Endpoint.		 Viz Řešení nežádoucího chování v Microsoft Defender for Endpoint vyloučeními, indikátory a dalšími technikami.

Alternativy k vytváření vyloučení a povolení indikátorů

Vytvořením indikátoru vyloučení nebo povolení se vytvoří mezera v ochraně. Tyto techniky by se měly používat až po zjištění původní příčiny problému. Dokud nebude toto rozhodnutí učiněno, zvažte tyto alternativy:

  • Odeslání souboru do Microsoftu k analýze
  • Potlačení upozornění

Odesílání souborů k analýze

Pokud máte soubor, který je podle vás nesprávně zjištěn jako malware (falešně pozitivní), nebo soubor, u kterého máte podezření, že by mohl být malwarem, i když nebyl zjištěn (falešně negativní), můžete ho odeslat společnosti Microsoft k analýze. Odeslání se okamžitě zkontroluje a pak ho zkontrolují analytici zabezpečení Microsoftu. Stav odeslání můžete zkontrolovat na stránce historie odeslání.

Odesílání souborů k analýze pomáhá omezit počet falešně pozitivních a falešně negativních výsledků u všech zákazníků. Další informace najdete v následujících článcích:

Potlačení upozornění

Pokud se vám na portálu Microsoft Defender zobrazí upozornění na nástroje nebo procesy, o kterých víte, že ve skutečnosti nejsou hrozbou, můžete tato upozornění potlačit. Pokud chcete potlačit výstrahu, vytvořte pravidlo potlačení a určete, jaké akce se mají provést u jiných identických výstrah. Pravidla potlačení můžete vytvořit pro konkrétní výstrahu na jednom zařízení nebo pro všechna upozornění se stejným názvem v rámci vaší organizace.

Další informace najdete v následujících článcích:

Typy vyloučení

Existuje několik různých typů vyloučení, které je potřeba zvážit. Některé typy vyloučení mají vliv na více funkcí v Defenderu for Endpoint, zatímco jiné typy jsou specifické pro Microsoft Defender Antivirovou ochranu.

Informace o indikátorech najdete v tématu Přehled indikátorů v Microsoft Defender for Endpoint.

Vlastní vyloučení

Microsoft Defender for Endpoint umožňuje nakonfigurovat vlastní vyloučení, abyste optimalizovali výkon a vyhnuli se falešně pozitivním výsledkům. Typy vyloučení, které můžete nastavit, se liší podle možností defenderu for Endpoint a operačních systémů.

Následující tabulka shrnuje typy vlastních vyloučení, které můžete definovat. Poznamenejte si rozsah jednotlivých typů vyloučení.

Typy vyloučení Rozsah Případy použití
Vyloučení vlastních defenderů pro koncové body Antivirus
Pravidla pro omezení potenciální oblasti útoku
Defender for Endpoint
Ochrana sítě		 Soubor, složka nebo proces jsou identifikovány jako škodlivé, i když se nejedná o hrozbu.

Při spuštění defenderu for Endpoint dochází u aplikace k neočekávanému problému s výkonem nebo kompatibilitou aplikací
Vyloučení omezení potenciálního útoku v Defenderu for Endpoint Pravidla pro omezení potenciální oblasti útoku Pravidlo omezení potenciální oblasti útoku způsobuje neočekávané chování.
Vyloučení složek automatizace v Defenderu for Endpoint Automatizované vyšetřování a reakce (Automated Investigation and Response) Automatizované šetření a náprava provádějí akce u souboru, přípony nebo adresáře, které by se měly provést ručně.
Vyloučení přístupu ke složkám řízené službou Defender for Endpoint Řízený přístup ke složkám Řízený přístup ke složkě blokuje aplikaci přístup k chráněné složce.
Indikátory povolení souboru a certifikátu Defenderu for Endpoint Antivirus
Pravidla pro omezení potenciální oblasti útoku
Řízený přístup ke složkám		 Soubor nebo proces podepsaný certifikátem je identifikován jako škodlivý, i když není.
Indikátory domény/adresy URL a IP adresy Defenderu pro koncový bod Ochrana sítě
SmartScreen
Filtrování webového obsahu		 Filtr SmartScreen hlásí falešně pozitivní výsledky.

Chcete přepsat blok filtrování webového obsahu na konkrétním webu.

Poznámka

Ochrana sítě je přímo ovlivněna vyloučením procesů na všech platformách. Vyloučení procesů v jakémkoli operačním systému (Windows, MacOS, Linux) vede k tomu, že ochrana sítě brání v kontrole provozu nebo vynucování pravidel pro tento konkrétní proces.

Vyloučení na Macu

Pro macOS můžete definovat vyloučení, která se vztahují na kontroly na vyžádání, ochranu v reálném čase a monitorování. Mezi podporované typy vyloučení patří:

  • Přípona souboru: Vylučte všechny soubory s konkrétní příponou.
  • Soubor: Vylučte konkrétní soubor označený úplnou cestou.
  • Složka: Rekurzivně vylučte všechny soubory v zadané složce.
  • Proces: Vylučte konkrétní proces a všechny soubory, které otevře.

Další informace najdete v tématu Konfigurace a ověření vyloučení pro Microsoft Defender for Endpoint v macOS.

Vyloučení v Linuxu

V Linuxu můžete nakonfigurovat antivirová i globální vyloučení.

  • Vyloučení antivirové ochrany: Platí pro kontroly na vyžádání, ochranu v reálném čase (RTP) a monitorování chování (BM).
  • Globální vyloučení: Platí pro ochranu v reálném čase (RTP), monitorování chování (BM) a detekci a odezvu koncových bodů (EDR), zastavení všech přidružených antivirových detekcí a upozornění EDR.

Další informace najdete v tématu Konfigurace a ověření vyloučení Microsoft Defender for Endpoint v systému Linux.

Vyloučení ve Windows

Microsoft Defender Antivirus je možné nakonfigurovat tak, aby z plánovaných kontrol, kontrol na vyžádání a ochrany v reálném čase vyloučil kombinace procesů, souborů a rozšíření. Viz Konfigurace vlastních vyloučení pro Microsoft Defender Antivirus.

Pokud chcete podrobnější kontrolu, která pomáhá minimalizovat mezery v ochraně, zvažte použití vyloučení kontextových souborů a procesů.

Antivirová předkonfigurovaná vyloučení

Tyto typy vyloučení jsou předem nakonfigurované v Microsoft Defender for Endpoint pro Microsoft Defender Antivirus.

Typy vyloučení Konfigurace Popis
Vyloučení automatického Microsoft Defender Antivirové ochrany Automatický Automatická vyloučení rolí a funkcí serveru ve Windows Serveru Když nainstalujete roli na Windows Server 2016 nebo novější, Microsoft Defender Antivirus zahrnuje automatická vyloučení role serveru a všech souborů, které se při instalaci role přidají.
Tato vyloučení jsou určena pouze pro aktivní role v Windows Server 2016 a novějších.
Integrovaná vyloučení Microsoft Defender Antivirus Automatický Microsoft Defender Antivirus obsahuje integrovaná vyloučení pro soubory operačního systému ve všech verzích Windows.

Automatická vyloučení rolí serveru

Automatická vyloučení rolí serveru zahrnují vyloučení rolí a funkcí serveru v Windows Server 2016 a novějších verzích. Tato vyloučení nejsou kontrolována ochranou v reálném čase , ale stále podléhají rychlým, úplným antivirovým kontrolám nebo kontrolám na vyžádání.

Mezi příklady patří:

  • Služba replikace souborů (FRS)
  • Hyper-V
  • SYSVOL
  • Active Directory
  • DNS Server
  • Tiskový server
  • Webový server
  • Windows Server Update Services
  • ... a další.

Poznámka

Automatická vyloučení rolí serveru nejsou v Windows Server 2012 R2 podporovaná. U serverů se systémem Windows Server 2012 R2 s nainstalovanou rolí serveru Active Directory Domain Services (AD DS) musí být vyloučení řadičů domény zadána ručně. Viz Vyloučení služby Active Directory.

Další informace najdete v tématu Automatická vyloučení rolí serveru.

Integrovaná antivirová vyloučení

Integrovaná antivirová vyloučení zahrnují určité soubory operačního systému, které Microsoft Defender Antivirus vylučuje ve všech verzích Windows (včetně Windows 10, Windows 11 a Windows Serveru).

Mezi příklady patří:

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • služba Windows Update souborů
  • Zabezpečení Windows souborů
  • ... a další.

Seznam předdefinovaných vyloučení ve Windows se průběžně aktualizuje s tím, jak se mění prostředí hrozeb. Další informace o těchto vyloučeních najdete v tématu vyloučení Microsoft Defender Antivirové ochrany ve Windows Serveru: Integrovaná vyloučení.

Vyloučení omezení potenciální oblasti útoku

Pravidla omezení potenciální oblasti útoku (označovaná také jako pravidla ASR) se zaměřují na určité chování softwaru, například:

  • Spouštění spustitelných souborů a skriptů, které se pokoušejí stáhnout nebo spustit soubory
  • Spouštění skriptů, které se zdají být obfuskované nebo jinak podezřelé
  • Provádění chování, které aplikace obvykle neiniciují při běžné každodenní práci

V některých případech legitimní aplikace vykazují chování softwaru, které by mohlo být zablokováno pravidly omezení potenciální oblasti útoku. Pokud k tomu dochází ve vaší organizaci, můžete definovat vyloučení pro určité soubory a složky. Tato vyloučení se použijí na všechna pravidla omezení potenciální oblasti útoku. Viz Povolení pravidel omezení potenciální oblasti útoku.

Poznámka

Pravidla omezení potenciální oblasti útoku respektují vyloučení procesů, ale ne všechna pravidla omezení potenciální oblasti útoku dodržují Microsoft Defender vyloučení antivirové ochrany. Viz Referenční informace k pravidlům omezení potenciální oblasti útoku – vyloučení antivirové ochrany a pravidla ASR Microsoft Defender.

Vyloučení složek Automation

Vyloučení složek Automation se vztahují na automatizované šetření a nápravu v Defenderu for Endpoint, který je navržený tak, aby prověřoval výstrahy a okamžitě řešil zjištěné porušení zabezpečení. Při aktivaci výstrah a spuštění automatizovaného vyšetřování se dosáhne verdiktu (Škodlivé, Podezřelé nebo Nenašly se žádné hrozby) u každého prošetřeného důkazu. V závislosti na úrovni automatizace a dalších nastaveních zabezpečení se nápravné akce můžou provádět automaticky nebo pouze po schválení vaším týmem pro operace zabezpečení.

Můžete zadat složky, přípony souborů v konkrétním adresáři a názvy souborů, které se mají vyloučit z automatizovaných možností vyšetřování a nápravy. Taková vyloučení složek automatizace platí pro všechna zařízení nasazená v Defenderu for Endpoint. Tato vyloučení jsou stále předmětem antivirových kontrol.

Další informace najdete v tématu Správa vyloučení automatizačních složek.

Vyloučení řízeného přístupu ke složkám

Řízený přístup ke složkám monitoruje aktivity aplikací, které jsou zjištěné jako škodlivé, a chrání obsah určitých (chráněných) složek na zařízeních s Windows. Řízený přístup ke složkám umožňuje přístup k chráněným složkám jenom důvěryhodným aplikacím, jako jsou běžné systémové složky (včetně spouštěcích sektorů) a další vámi zadané složky. Definováním vyloučení můžete určitým aplikacím nebo podepsaným spustitelným souborům povolit přístup k chráněným složkám.

Další informace najdete v tématu Přizpůsobení řízeného přístupu ke složkům.

Vlastní nápravné akce

Když Microsoft Defender Antivirus při spuštění kontroly zjistí potenciální hrozbu, pokusí se zjištěnou hrozbu napravit nebo odebrat. Můžete definovat vlastní nápravné akce a nakonfigurovat, jak Microsoft Defender Antivirová ochrana má řešit určité hrozby, jestli se má před nápravou vytvořit bod obnovení a kdy se mají hrozby odebrat.

Další informace najdete v tématu Konfigurace nápravných akcí pro zjišťování Microsoft Defender antivirové ochrany.

Jak se vyhodnocují vyloučení a indikátory

Většina organizací má několik různých typů vyloučení a indikátorů, které určují, jestli by uživatelé měli mít přístup k souboru nebo procesu a používat je. Vyloučení a indikátory se zpracovávají v určitém pořadí, aby se konflikty zásad řešily systematicky.

Funguje to takto:

  1. Pokud řízení aplikací v programu Windows Defender a AppLocker detekovaný soubor nebo proces nepovolují, zablokují se. V opačném případě bude pokračovat Microsoft Defender Antivirus.

  2. Pokud zjištěný soubor nebo proces není součástí vyloučení pro Microsoft Defender Antivirus, je zablokovaný. V opačném případě Defender for Endpoint vyhledá vlastní indikátor pro soubor nebo proces.

  3. Pokud má zjištěný soubor nebo proces indikátor blokování nebo upozornění, provede se tato akce. V opačném případě je soubor nebo proces povolený a pokračuje k vyhodnocení pravidly omezení potenciální oblasti útoku, řízeným přístupem ke složkům a ochranou filtrem SmartScreen.

  4. Pokud zjištěný soubor nebo proces neblokují pravidla omezení potenciální oblasti útoku, řízený přístup ke složkům nebo ochrana smartscreenem, pokračuje Microsoft Defender antivirovou ochranou.

  5. Pokud Microsoft Defender Antivirová ochrana nepovoluje zjištěný soubor nebo proces, zkontroluje se akce na základě ID hrozby.

Jak se zpracovávají konflikty zásad

V případech, kdy dochází ke konfliktu indikátorů Defenderu for Endpoint, můžete očekávat následující:

  • Pokud existují konfliktní indikátory souborů, použije se indikátor, který používá nejbezpečnější hodnotu hash. Například SHA256 má přednost před SHA-1, který má přednost před MD5.

  • Pokud existují konfliktní indikátory adresy URL, použije se přísnější indikátor. U Microsoft Defender filtru SmartScreen se použije indikátor, který používá nejdelší cestu url. Například má www.dom.ain/admin/ přednost před www.dom.ain. (Ochrana sítě se vztahuje na domény, nikoli na podstránky v rámci domény.)

  • Pokud existují podobné indikátory pro soubor nebo proces, které mají různé akce, má ukazatel vymezený na konkrétní skupinu zařízení přednost před indikátorem, který cílí na všechna zařízení.

Jak automatizované šetření a náprava fungují s indikátory

Funkce automatizovaného vyšetřování a nápravy v Defenderu for Endpoint nejprve určují verdikt pro jednotlivé důkazy a pak proveďte akci v závislosti na indikátorech defenderu for Endpoint. Soubor nebo proces by tak mohl získat verdikt "dobrý" (což znamená, že nebyly nalezeny žádné hrozby) a stále být blokované, pokud je u dané akce indikátor. Podobně může entita získat verdikt "špatného" (což znamená, že je označená jako škodlivá) a přesto může být povolená, pokud je u dané akce indikátor.

Další informace najdete v tématu automatizované šetření, náprava a indikátory.

Další serverové úlohy a vyloučení

Pokud vaše organizace používá jiné serverové úlohy, jako je Exchange Server, SharePoint Server nebo SQL Server, mějte na paměti, že funkce automatického vyloučení rolí serveru (a jenom při použití výchozího umístění instalace) jsou vyloučené pouze předdefinované role serveru (které můžou být předpokladem pro software, který nainstalujete později). Pokud zakážete automatická vyloučení, budete pravděpodobně muset definovat antivirová vyloučení pro tyto další úlohy nebo pro všechny úlohy.

Tady je několik příkladů technické dokumentace k identifikaci a implementaci vyloučení, která potřebujete:

V závislosti na tom, co používáte, se možná budete muset podívat do dokumentace k dané úloze serveru.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.