Håndter uønskede funktionsmåder i Microsoft Defender for Endpoint med udeladelser, indikatorer og andre teknikker

Den primære funktion i Defender for Endpoint er at forhindre og registrere adgang til skadelige processer og filer. Defender for Endpoint er udviklet til at gøre det muligt for personer i din organisation at være beskyttet mod trusler, samtidig med at de forbliver produktive som standardsikkerhedsindstillinger og -politikker. Indimellem kan der opstå uønskede funktionsmåder, f.eks.:

• Falske positiver: Et falsk positivt er, når en enhed, f.eks. en fil eller en proces, blev registreret og identificeret som skadelig, selvom enheden ikke er en trussel
• Dårlig ydeevne: Programmer oplever problemer med ydeevnen, når visse funktioner i Defender for Endpoint er aktiveret
• Programukompatibilitet: Programmer fungerer ikke korrekt, når visse funktioner i Defender for Endpoint er aktiveret

I denne artikel beskrives det, hvordan du håndterer disse typer uønskede funktionsmåder og inkluderer nogle eksempelscenarier.

Bemærk!

Oprettelse af en indikator eller en udeladelse bør kun overvejes, når du har grundigt forstået den egentlige årsag til den uventede funktionsmåde.

Sådan håndterer du uønskede funktionsmåder med Defender for Endpoint

På et højt niveau er den generelle proces til løsning af en uønsket funktionsmåde i Defender for Endpoint som følger:

1. Identificer, hvilken funktion der forårsager den uønskede funktionsmåde. Du skal vide, om der er en forkert konfiguration med Microsoft Defender Antivirus, slutpunktsregistrering og -svar, reduktion af angrebsoverfladen, kontrolleret mappeadgang osv. i Defender for Endpoint. Du kan bruge oplysninger på Microsoft Defender portalen eller på enheden til at træffe din beslutning.

   Sted	Sådan gør du
   Portalen Microsoft Defender	Udfør en eller flere af følgende handlinger for at identificere, hvad der sker: - Undersøg beskeder - Brug avanceret jagt - Få vist rapporter
   På enheden	Udfør et eller flere af følgende trin for at identificere problemet: - Brug værktøjer til effektivitetsanalyse - Gennemse hændelseslogge og fejlkoder - Kontrollér din beskyttelseshistorik

2. Afhængigt af resultaterne fra det forrige trin kan du foretage en eller flere af følgende handlinger:

   • Skjul beskeder på Microsoft Defender-portalen
   • Definer brugerdefinerede afhjælpningshandlinger
   • Send en fil til Microsoft til analyse
   • Definer udeladelser for Microsoft Defender Antivirus
   • Opret indikatorer for Defender for Endpoint

   Vær opmærksom på, at ændringsbeskyttelse påvirker, om udeladelser kan ændres eller tilføjes. Se Hvad sker der, når manipulationsbeskyttelse er slået til.

3. Kontrollér, at dine ændringer har løst problemet.

Eksempler på uønskede funktionsmåder

Dette afsnit indeholder flere eksempelscenarier, der kan håndteres ved hjælp af udeladelser og indikatorer. Du kan få flere oplysninger om undtagelser under Oversigt over undtagelser.

En app registreres af Microsoft Defender Antivirus, når programmet kører

I dette scenarie, når en bruger kører et bestemt program, registreres programmet af Microsoft Defender Antivirus som en potentiel trussel.

Sådan håndteres: Opret en "tillad"-indikator for Microsoft Defender for Endpoint. Du kan f.eks. oprette en "tillad"-indikator for en fil, f.eks. en eksekverbar fil. Se Opret indikatorer til filer.

En brugerdefineret, selvsigneret app registreres af Microsoft Defender Antivirus, når programmet kører

I dette scenarie registreres en brugerdefineret app af Microsoft Defender Antivirus som en potentiel trussel. Appen opdateres jævnligt og er selvsigneret.

Sådan håndteres: Opret "tillad"-indikatorer for certifikater eller filer. Se følgende artikler:

• Opret indikatorer baseret på certifikater
• Opret indikatorer for filer

En brugerdefineret app får adgang til et sæt filtyper, der registreres som skadelige, når programmet kører

I dette scenarie får en brugerdefineret app adgang til et sæt filtyper, og sættet registreres som skadeligt af Microsoft Defender Antivirus, når programmet kører.

Sådan observeres: Når programmet kører, registreres det af Microsoft Defender Antivirus som en registrering af adfærdsovervågning.

Sådan adresserer du: Definer udeladelser for Microsoft Defender Antivirus, f.eks. en fil- eller stiudeladelse, der kan indeholde jokertegn. Eller definer en udeladelse af brugerdefinerede filstier. Se følgende artikler:

• Adresser falske positive/negativer i Microsoft Defender for Endpoint
• Konfigurer og valider udeladelser baseret på filtypenavn og mappeplacering

Et program registreres af Microsoft Defender Antivirus som en registrering af funktionsmåde

I dette scenarie registreres et program af Microsoft Defender Antivirus på grund af en bestemt funktionsmåde, selvom programmet ikke er en trussel.

Sådan adresserer du: Definer en procesudeladelse. Se følgende artikler:

• Konfigurer og valider udeladelser baseret på filtypenavn og mappeplacering
• Konfigurer udeladelser for filer, der er åbnet af processer

En app betragtes som et potentielt uønsket program (PUA)

I dette scenarie registreres en app som PUA, og du vil tillade, at den kører.

Sådan adresserer du: Definer en udeladelse for appen. Se følgende artikler:

• Udelad filer fra PUA-beskyttelse
• Konfigurer og valider udeladelser baseret på filtypenavn og mappeplacering

En app er blokeret fra at skrive til en beskyttet mappe

I dette scenarie blokeres en legitim app fra at skrive til mapper, der er beskyttet af kontrolleret mappeadgang.

Sådan adresseres: Føj appen til listen "tilladt" for at få kontrolleret mappeadgang. Se Tillad, at bestemte apps foretager ændringer i styrede mapper.

En tredjepartsapp registreres som skadelig af Microsoft Defender Antivirus

I dette scenarie registreres og identificeres en tredjepartsapp, der ikke er en trussel, som skadelig af Microsoft Defender Antivirus.

Sådan håndterer du: Send appen til Microsoft til analyse. Se Sådan sender du en fil til Microsoft til analyse.

En app er fejlagtigt registreret og identificeret som skadelig af Defender for Endpoint

I dette scenarie registreres og identificeres en legitim app som skadelig af en regel for reduktion af angrebsoverfladen i Defender for Endpoint. Når en bruger bruger appen, blokeres appen og eventuelt downloadet indhold af reglen for reduktion af angrebsoverfladen, bloker JavaScript eller VBScript fra at starte downloadet eksekverbart indhold.

Sådan adresserer du:

1. Gå til Rapporter på Microsoft Defender-portalen. Under Rapporter skal du vælge Sikkerhedsrapport.

2. Rul ned til enheder for at finde dine kort til reduktion af angrebsoverfladen. Du kan få flere oplysninger i rapporten over regler for reduktion af angrebsoverfladen.

3. Brug oplysningerne til at identificere de filer og mappeplaceringer, der skal udelades.

4. Tilføj udeladelser. Se Konfigurer og valider udeladelser baseret på filtypenavn og mappeplacering.

Word skabeloner, der indeholder makroer, som starter andre apps, blokeres

Når en bruger i dette scenarie åbner dokumenter, der er oprettet ved hjælp af Microsoft Word skabeloner, der indeholder makroer, og disse makroer starter andre programmer, blokerer reglen for reduktion af angrebsoverfladen Win32-API-kald fra Office-makroer Microsoft Word.

Sådan adresserer du:

1. Gå til Rapporter på Microsoft Defender-portalen. Under Rapporter skal du vælge Sikkerhedsrapport.

2. Rul ned til enheder for at finde dine kort til reduktion af angrebsoverfladen. Du kan få flere oplysninger i rapporten over regler for reduktion af angrebsoverfladen.

3. Brug oplysningerne til at identificere de filer og mappeplaceringer, der skal udelades.

4. Tilføj udeladelser. Se Konfigurer og valider udeladelser baseret på filtypenavn og mappeplacering.

Se også

• Oversigt over udeladelser
• Reference til administration af udeladelser