Ei-toivottujen käyttäytymisten korjaaminen Microsoft Defender for Endpoint poissulkemisten, ilmaisimien ja muiden tekniikoiden avulla
Defender for Endpointin ensisijainen funktio on estää haitallisia prosesseja ja tiedostoja ja tunnistaa niiden käyttö. Defender for Endpoint on suunniteltu siten, että organisaatiosi ihmiset voidaan suojata uhkilta ja samalla pysyä tuottavina oletusarvoisten suojausasetusten ja käytäntöjen mukaan. Joskus voi ilmetä ei-toivottuja toimintoja, kuten:
- False-positiiviset: Epätosi-positiivinen on, kun kohde, kuten tiedosto tai prosessi, tunnistettiin haitalliseksi, vaikka entiteetti ei ole uhka.
- Huono suorituskyky: Sovelluksissa ilmenee suorituskykyongelmia, kun tietyt Defender for Endpointin ominaisuudet ovat käytössä
- Sovelluksen yhteensopimattomuus: Sovellukset eivät toimi oikein, kun tietyt Defender for Endpointin ominaisuudet ovat käytössä
Tässä artikkelissa kuvataan, miten tällaisiin ei-toivottuihin toimintoihin puututaan, ja annetaan esimerkkejä skenaarioista.
Huomautus
Ilmaisimen tai poissulkemisen luominen tulee ottaa huomioon vasta sen jälkeen, kun olet ymmärtänyt täysin odottamattoman toiminnan perimmäisen syyn.
Ei-toivottujen käyttäytymisten korjaaminen Defender for Endpointin avulla
Korkealla tasolla yleinen prosessi ei-toivotun käyttäytymisen käsittelemiseksi Defender for Endpointissa on seuraava:
Selvitä, mikä ominaisuus aiheuttaa ei-toivotun toiminnan. Sinun on tiedettävä, onko Microsoft Defender virustentorjuntaan, päätepisteen tunnistamiseen ja reagointiin, hyökkäyksen pinnan vähentämiseen, kansion hallittuun käyttöön ja niin edelleen, virheellinen määritys Defender for Endpointissa. Voit käyttää tietoja Microsoft Defender portaalissa tai laitteessa päätöksen tekemiseksi.
Sijainti Mitä tehdä? Microsoft Defender portaali Tee jokin seuraavista toimista sen tunnistamiseksi, mitä tapahtuu:
- Ilmoitusten tutkiminen
- Käytä kehittynyttä metsästystä
- Näytä raportitLaitteessa Tunnista ongelma noudattamalla seuraavia vaiheita:
- Suorituskyvyn analysointityökalujen käyttäminen
- Tarkastele tapahtumalokeja ja virhekoodeja
- Suojaushistorian tarkistaminenEdellisen vaiheen havainnoista riippuen saatat suorittaa yhden tai useamman seuraavista toimista:
- Piilota ilmoitukset Microsoft Defender portaalissa
- Mukautettujen korjaustoimintojen määrittäminen
- Lähetä tiedosto Microsoftille analyysia varten
- Microsoft Defender virustentorjunnan poissulkemisten määrittäminen
- Luo Defenderin päätepisteen ilmaisimet
Muista, että peukaloinnin suojaus vaikuttaa siihen, voidaanko poissulkemisia muokata tai lisätä. Katso Mitä tapahtuu, kun peukaloinnin suojaus on käytössä.
Varmista, että muutoksesi ovat korjanneet ongelman.
Esimerkkejä ei-toivotuista toiminnoista
Tässä osiossa on useita esimerkkitilanteita, joihin voidaan puuttua käyttämällä poissulkemisia ja indikaattoreita. Lisätietoja poissulkemisista on kohdassa Poissulkemisten yleiskatsaus.
Microsoft Defender virustentorjuntaohjelma havaitsee sovelluksen, kun sovellus suoritetaan
Tässä skenaariossa aina, kun käyttäjä suorittaa tietyn sovelluksen, Microsoft Defender virustentorjunta havaitsee sovelluksen mahdolliseksi uhaksi.
Toimintaohje: Luo "salli"-ilmaisin Microsoft Defender for Endpoint varten. Voit esimerkiksi luoda tiedostolle "salli"-ilmaisimen, kuten suoritettavan tiedoston. Katso Tiedostojen ilmaisimien luominen.
Microsoft Defender virustentorjuntaohjelma havaitsee mukautetun, itse allekirjoitetun sovelluksen, kun sovellus suoritetaan
Tässä skenaariossa Microsoft Defender virustentorjuntaohjelma havaitsee mukautetun sovelluksen mahdolliseksi uhaksi. Sovellusta päivitetään säännöllisesti, ja se on itse allekirjoitettu.
Toimintaohje: Luo "salli"-ilmaisimia varmenteille tai tiedostoille. Tutustu seuraaviin artikkeleihin:
Mukautettu sovellus käyttää tiedostotyyppejä, jotka havaitaan haitallisiksi sovelluksen suorittamisen yhteydessä
Tässä skenaariossa mukautettu sovellus käyttää määritettyjä tiedostotyyppejä, ja Microsoft Defender virustentorjunta havaitsee joukon haitallisiksi aina, kun sovellus suoritetaan.
Toimintaohje: kun sovellus on käynnissä, Microsoft Defender virustentorjunta havaitsee sen toiminnan seurantatunnistuksena.
Toimintaohje: Määritä Microsoft Defender virustentorjuntaohjelman poikkeukset, kuten tiedosto tai polkupoikkeus, joka saattaa sisältää yleismerkkejä. Voit myös määrittää mukautetun tiedostopolun poikkeuksen. Tutustu seuraaviin artikkeleihin:
- Virheellisten positiivisten ja negatiivisten esiintymien korjaaminen Microsoft Defender for Endpointissa
- Määritä ja vahvista poissulkemiset tiedostotunnisteen ja kansion sijainnin perusteella
Microsoft Defender virustentorjuntaohjelma havaitsee sovelluksen toiminnan tunnistamiseksi
Tässä skenaariossa Microsoft Defender virustentorjuntaohjelma havaitsee sovelluksen tietyn toiminnan vuoksi, vaikka sovellus ei ole uhka.
Toimintaohje: Määritä prosessin poissulkeminen. Tutustu seuraaviin artikkeleihin:
- Määritä ja vahvista poissulkemiset tiedostotunnisteen ja kansion sijainnin perusteella
- Prosessien avaamien tiedostojen poissulkemisten määrittäminen
Sovellusta pidetään mahdollisesti ei-toivottuna sovelluksena (PUA)
Tässä skenaariossa sovellus tunnistetaan PUA:ksi, ja haluat sallia sen suorittamisen.
Toimintaohje: Määritä sovellukselle poikkeus. Tutustu seuraaviin artikkeleihin:
- Jätä pois tiedostoja PUA-suojauksesta
- Määritä ja vahvista poissulkemiset tiedostotunnisteen ja kansion sijainnin perusteella
Sovellusta on estetty kirjoittamasta suojattuun kansioon
Tässä skenaariossa laillista sovellusta estetään kirjoittamasta kansioihin, jotka on suojattu valvotulla kansion käyttöoikeudella.
Toimintaohje: Lisää sovellus valvotun kansion käytön sallittujen luetteloon. Katso Salli tiettyjen sovellusten tehdä muutoksia valvottuihin kansioihin.
Microsoft Defender virustentorjuntaohjelma havaitsee kolmannen osapuolen sovelluksen haitalliseksi
Tässä skenaariossa Microsoft Defender virustentorjuntaohjelma havaitsee ja tunnistaa kolmannen osapuolen sovelluksen, joka ei ole uhka.
Ohjeet osoitteeseen: Lähetä sovellus Microsoftille analyysia varten. Katso , miten voit lähettää tiedoston Microsoftille analyysia varten.
Defender on havainnut sovelluksen virheellisesti ja tunnistanut sen haitalliseksi päätepisteelle
Tässä skenaariossa defender for Endpointin hyökkäyspinnan pienentämissääntö havaitsee ja tunnistaa laillisen sovelluksen haitalliseksi. Aina kun käyttäjä käyttää sovellusta, hyökkäyspinnan pienentämissääntö, Estä JavaScript tai VBScript lataamasta suoritettavaa sisältöä estää sovellusta ja ladattua sisältöä.
Toimintaohje:
Siirry Microsoft Defender portaalissa kohtaan Raportit. Valitse Raportit-kohdastaSuojausraportti.
Vieritä alaspäin kohtaan laitteet, joiden avulla löydät hyökkäyspinnan vähentämiskortit. Lisätietoja on kohdassa Hyökkäyspinnan pienentämissääntöjen raportti.
Tietojen avulla voit tunnistaa ohitettavat tiedostot ja kansiosijainnit.
Lisää poikkeukset. Katso Poikkeuksen määrittäminen ja vahvistaminen tiedostotunnisteen ja kansiosijainnin perusteella.
Word malleja, jotka sisältävät makroja, jotka käynnistävät muita sovelluksia, on estetty
Tässä skenaariossa aina, kun käyttäjä avaa tiedostoja, jotka on luotu Käyttämällä Microsoft Word malleja, jotka sisältävät makroja ja makrot käynnistävät muita sovelluksia, hyökkäyspinnan pienentämissääntö Estä Win32-ohjelmointirajapintakutsut Office-makroista estää Microsoft Word.
Toimintaohje:
Siirry Microsoft Defender portaalissa kohtaan Raportit. Valitse Raportit-kohdastaSuojausraportti.
Vieritä alaspäin kohtaan laitteet, joiden avulla löydät hyökkäyspinnan vähentämiskortit. Lisätietoja on kohdassa Hyökkäyspinnan pienentämissääntöjen raportti.
Tietojen avulla voit tunnistaa ohitettavat tiedostot ja kansiosijainnit.
Lisää poikkeukset. Katso Poikkeuksen määrittäminen ja vahvistaminen tiedostotunnisteen ja kansiosijainnin perusteella.