Virheellisten positiivisten ja negatiivisten esiintymien korjaaminen Microsoft Defender for Endpointissa
Koskee seuraavia:
- Defender for Endpoint -palvelupaketti 1
- Defender for Endpoint Plan 2
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Päätepisteiden suojausratkaisuissa epätosi-positiivinen on entiteetti, kuten tiedosto tai prosessi, joka havaittiin ja tunnistettiin haitalliseksi, vaikka entiteetti ei todellisuudessa ole uhka. Epätosi-negatiivinen on entiteetti, jota ei havaittu uhkana, vaikka se todellisuudessa on haitallista. Vääriä positiivisia/negatiivisia voi esiintyä missä tahansa uhkien suojausratkaisussa, mukaan lukien Defender for Endpoint.
Onneksi tällaisten ongelmien ratkaisemiseksi ja vähentämiseksi voidaan ryhtyä toimiin. Jos Defender for Endpointissa ilmenee vääriä positiivisia/negatiivisia kohtia, suojaustoimintosi voivat korjata ne seuraavasti:
- Hälytysten tarkistaminen ja luokitteleminen
- Tarkista toteutetut korjaustoiminnot
- Tarkista ja määritä poissulkemiset
- Entiteetin lähettäminen analyysia varten
- Tarkista ja säädä uhkien suojausasetuksia
Voit saada apua, jos sinulla on edelleen ongelmia väärien positiivisten/negatiivisten kanssa tässä artikkelissa kuvattujen tehtävien suorittamisen jälkeen. Katso Lisätietoja: Tarvitsetko vielä apua?
Huomautus
Tämä artikkeli on tarkoitettu ohjeiksi suojausoperaattoreille ja suojauksen järjestelmänvalvojille, jotka käyttävät Defender for Endpointia.
Osa 1: Hälytysten tarkistaminen ja luokitteleminen
Jos näet hälytyksen , joka syntyi, koska jotakin on havaittu pahantahtoiseksi tai epäilyttäväksi, eikä sen pitäisi olla, voit estää kyseisen entiteetin hälytyksen. Voit myös piilottaa hälytykset, jotka eivät välttämättä ole vääriä positiivisia, mutta jotka eivät ole merkitsemättömiä. Suosittelemme myös luokittelemaan hälytykset.
Ilmoitusten hallinta ja tosi-/epätosi-positiivisten luokitteleminen auttaa hallitsemaan uhkien suojausratkaisua ja vähentämään false-positiivisten tai false-negatiivisten määrää ajan kuluessa. Näiden toimien tekeminen auttaa myös vähentämään jonossa olevaa melua, jotta suojaustiimisi voi keskittyä tärkeimpiin työkohteihin.
Määritä, onko ilmoitus oikein
Ennen kuin luokittelet tai piilotat ilmoituksen, määritä, onko ilmoitus tarkka, positiivinen epätosi vai hyvänlaatuinen.
Valitse Microsoft Defender portaalin siirtymisruudussa Tapaukset & hälytykset ja valitse sitten Hälytykset.
Valitse ilmoitus, jos haluat tarkastella sen lisätietoja. (Saat lisätietoja tästä tehtävästä ohjeartikkelista Ilmoitusten tarkasteleminen Defender for Endpointissa.)
Suorita seuraavassa taulukossa kuvatut vaiheet hälytyksen tilasta riippuen:
Ilmoituksen tila Mitä tehdä? Ilmoitus on tarkka Määritä ilmoitus ja tutki sitä tarkemmin. Ilmoitus on epätosi-positiivinen 1. Luokittele ilmoitus false-positiiviseksi.
2. Piilota ilmoitus.
3. Luo ilmaisin Microsoft Defender for Endpoint varten.
4. Lähetä tiedosto Microsoftille analyysia varten.Ilmoitus on tarkka, mutta hyvänlaatuinen (merkityksetön) Luokittele ilmoitus tosi-positiiviseksi ja piilota ilmoitus.
Hälytyksen luokitteleminen
Ilmoitukset voidaan luokitella epätosi-positiivisiksi tai tosi-positiivisiksi Microsoft Defender portaalissa. Ilmoitusten luokittelu auttaa kouluttamaan Defender for Endpointin niin, että ajan mittaan näet enemmän tosia ilmoituksia ja vähemmän vääriä ilmoituksia.
Valitse Microsoft Defender portaalin siirtymisruudussa Tapaukset & hälytykset, valitse Ilmoitukset ja valitse sitten ilmoitus.
Valitse valitulle ilmoitulle Hallitse ilmoitusta. Näyttöön avautuu pikaikkunaruutu.
Luokittele ilmoitus Hallitse ilmoitusta -osion Luokitus-kentässä (Tosi-positiivinen, Tietoinen, Odotettu toiminta tai Epätosi-positiivinen).
Vihje
Lisätietoja ilmoitusten piilottamisesta on kohdassa Defenderin hallinta päätepisteilmoituksia varten. Jos organisaatiosi käyttää suojaustietojen ja tapahtumien hallinnan palvelinta, muista myös määrittää estosääntö siellä.
Piilota ilmoitus
Jos sinulla on ilmoituksia, jotka ovat joko false-positiivisia tai tosi-positiivisia, mutta ei-turhia tapahtumia varten, voit piilottaa kyseiset ilmoitukset Microsoft Defender XDR. Ilmoitusten estäminen auttaa vähentämään jonon melua.
Valitse Microsoft Defender portaalin siirtymisruudussa Tapaukset & hälytykset ja valitse sitten Hälytykset.
Valitse ilmoitus, jonka haluat estää avaamalla sen Tiedot-ruudun .
Valitse Tiedot-ruudussa kolme pistettä (...) ja valitse sitten Luo piilotussääntö.
Määritä piilotussäännön kaikki asetukset ja valitse sitten Tallenna.
Vihje
Tarvitsetko apua vaimennussäännöissä? Katso Piilota ilmoitus ja luo uusi piilotussääntö.
Osa 2: Korjaamistoimien tarkistaminen
Korjaustoiminnot, kuten tiedoston lähettäminen karanteeniin tai prosessin lopettaminen, suoritetaan entiteeteille (kuten tiedostoille), jotka tunnistetaan uhkiksi. Useita erityyppisiä korjaustoimintoja suoritetaan automaattisesti automaattisen tutkinnan ja Microsoft Defender virustentorjunnan avulla:
- Aseta tiedosto karanteeniin
- Rekisteriavaimen poistaminen
- Prosessin tappaminen
- Pysäytä palvelu
- Ohjaimen poistaminen käytöstä
- Poista ajoitettu tehtävä
Muut toiminnot, kuten virustentorjuntatarkistuksen aloittaminen tai tutkimuspaketin kerääminen, tapahtuvat manuaalisesti tai reaaliaikaisen vastauksen kautta. Reaaliaikaisen vastauksen kautta suoritettuja toimintoja ei voi kumota.
Kun olet tarkistanut hälytykset, seuraava vaihe on tarkistaa korjaustoiminnot. Jos false-positiivisten toimintojen tuloksena tehtiin toimintoja, voit kumota useimmat korjaustoiminnot. Erityisesti voit:
- Palauta karanteeniin asetettu tiedosto toimintokeskuksesta
- Kumoa useita toimintoja kerralla
- Poista tiedosto karanteenista useasta laitteesta. ja
- Palauta tiedosto karanteenista
Kun olet tarkistanut ja kumonnut false-positiivisten tulosten seurauksena tehdyt toiminnot, tarkista tai määritä poissulkemiset.
Valmiiden toimintojen tarkistaminen
Valitse Microsoft Defender portaalissaToiminnot & lähetykset ja valitse sitten Toimintokeskus.
Valitsemalla Historia-välilehden voit tarkastella tehtyjen toimintojen luetteloa.
Valitse kohde, jos haluat tarkastella lisätietoja toteutetusta korjaustoiminnosta.
Palauta karanteeniin asetettu tiedosto toimintokeskuksesta
Valitse Microsoft Defender portaalissaToiminnot & lähetykset ja valitse sitten Toimintokeskus.
Valitse Historia-välilehdessä toiminto, jonka haluat kumota.
Valitse pikaikkunaruudussa Kumoa. Jos toimintoa ei voi kumota tällä menetelmällä, Et näe Kumoa-painiketta . (Lisätietoja on artikkelissa Kumoa valmiit toiminnot.)
Kumoa useita toimintoja kerralla
Valitse Microsoft Defender portaalissaToiminnot & lähetykset ja valitse sitten Toimintokeskus.
Valitse Historia-välilehdestä toiminnot, jotka haluat kumota.
Valitse näytön oikeassa reunassa olevassa pikaikkunaruudussa Kumoa.
Tiedoston poistaminen karanteenista useiden laitteiden välillä
Valitse Microsoft Defender portaalissaToiminnot & lähetykset ja valitse sitten Toimintokeskus.
Valitse Historia-välilehdeltä tiedosto, jossa on Toimintotyyppi Karanteenitiedosto.
Valitse näytön oikeassa reunassa olevassa ruudussa Käytä X:ään lisää tämän tiedoston esiintymiä ja valitse sitten Kumoa.
Tarkastele karanteeniin asetettuja viestejä
Valitse Microsoft Defender-portaalin siirtymisruudun Sähköposti & yhteistyö -kohdassa Exchange-viestien jäljitys.
Valitse viesti tietojen tarkastelemiseksi.
Palauta tiedosto karanteenista
Voit peruuttaa ja poistaa tiedoston karanteenista, jos olet todennut, että se on puhdas tutkinnan jälkeen. Suorita seuraava komento jokaisessa laitteessa, jossa tiedosto on karanteenissa.
Avaa komentokehote laitteen järjestelmänvalvojana:
- Siirry Aloitus-kohtaan ja kirjoita cmd.
- Napsauta komentoriviä hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.
Kirjoita seuraava komento ja paina Enter-näppäintä:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All
Tärkeää
Joissakin tilanteissa ThreatName voi näkyä muodossa
EUS:Win32/CustomEnterpriseBlock!cl
. Defender for Endpoint palauttaa kaikki mukautetut estetyt tiedostot, jotka on asetettu karanteeniin tässä laitteessa viimeisten 30 päivän aikana. Tiedosto, joka on asetettu karanteeniin mahdollisena verkkouhkana, ei ehkä ole palautettavissa. Jos käyttäjä yrittää palauttaa tiedoston karanteenin jälkeen, tiedostoa ei ehkä voi käyttää. Tämä voi johtua siitä, että järjestelmällä ei ole enää verkon tunnistetietoja tiedoston käyttämiseksi. Yleensä tämä on seurausta väliaikaisesta kirjautumisesta järjestelmään tai jaettuun kansioon ja käyttöoikeustietueet ovat vanhentuneet.Valitse näytön oikeassa reunassa olevassa ruudussa Käytä X:ään lisää tämän tiedoston esiintymiä ja valitse sitten Kumoa.
Osa 3: Poikkeusten tarkistaminen tai määritteleminen
Varoitus
Ennen kuin määrität poikkeuksen, tutustu yksityiskohtaisiin tietoihin artikkelissa Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunnan poissulkemisten hallinta. Muista, että jokainen määritetty poissulkeminen alentaa suojaustasoasi.
Poissulkeminen on entiteetti, kuten tiedosto tai URL-osoite, jonka määrität poikkeukseksi korjaustoimintoihin. Pois jätettyä entiteettiä voidaan silti havaita, mutta kyseiseen entiteettiin ei tehdä korjaustoimia. Toisin sanoen tunnistettua tiedostoa tai prosessia ei pysäytetä, lähetetä karanteeniin, poisteta tai muuteta Microsoft Defender for Endpoint.
Voit määrittää poissulkemiset Microsoft Defender for Endpoint suorittamalla seuraavat tehtävät:
- Salli-ilmaisimien luominen Microsoft Defender for Endpoint
- Microsoft Defender virustentorjunnan poissulkemisten määrittäminen
Huomautus
Microsoft Defender virustentorjuntaan liittyvät poikkeukset koskevat vain virustentorjuntaa, eivät muissa Microsoft Defender for Endpoint ominaisuuksista. Jos haluat jättää tiedostot laajasti pois, käytä mukautettuja ilmaisimia Microsoft Defender for Endpoint ja poissulkemisille Microsoft Defender virustentorjuntaa varten.
Tämän osion menettelyissä kuvataan, miten indikaattorit ja poissulkemiset määritetään.
Defenderin päätepisteen ilmaisimet
Indikaattorit (erityisesti kompromissi- tai IOC-indikaattorit) mahdollistavat sen, että suojaustoimintatiimisi voi määrittää entiteettien tunnistamisen, estämisen ja poissulkemisen. Voit esimerkiksi määrittää tietyt tiedostot, jotka jätetään pois Microsoft Defender for Endpoint tarkistus- ja korjaustoiminnoista. Ilmaisimien avulla voidaan luoda hälytyksiä tietyille tiedostoille, IP-osoitteille tai URL-osoitteille.
Jos haluat määrittää entiteetit päätepisteen Defenderin poissulkemisiksi, luo näille entiteeteille "allow"-ilmaisimet. Tällaiset "salli"-indikaattorit koskevat seuraavan sukupolven suojausta ja automatisoituja tutkimuksia & korjauksia.
Salli-ilmaisimia voidaan luoda kohteelle:
Tiedostojen ilmaisimet
Kun luot tiedostolle "salli"-ilmaisimen, kuten suoritettavan tiedoston, se auttaa estämään organisaatiosi käyttämien tiedostojen estämisen. Tiedostot voivat sisältää kannettavia suoritettavan tiedoston (PE) tiedostoja, kuten .exe
ja .dll
tiedostoja.
Ennen kuin luot tiedostojen ilmaisimet, varmista, että seuraavat vaatimukset täyttyvät:
- Microsoft Defender virustentorjunta on määritetty niin, että pilvipohjainen suojaus on käytössä (katso Pilvipohjaisen suojauksen hallinta)
- Haittaohjelmien torjuntaohjelman versio on 4.18.1901.x tai uudempi
- Laitteissa on käytössä Windows 10, versio 1703 tai uudempi versio tai Windows 11; Windows Server 2012 R2 ja Windows Server 2016 modernilla yhdistetyllä ratkaisulla Defender for Endpointissa, Windows Server 2019:ssä tai Windows Server 2022:ssa
- Estä tai salli -ominaisuus on käytössä
IP-osoitteiden, URL-osoitteiden tai toimialueiden ilmaisimet
Kun luot "salli"-ilmaisimen IP-osoitteelle, URL-osoitteelle tai toimialueelle, se auttaa estämään organisaatiosi käyttämien sivustojen tai IP-osoitteiden estämisen.
Ennen kuin luot IP-osoitteiden, URL-osoitteiden tai toimialueiden ilmaisimet, varmista, että seuraavat vaatimukset täyttyvät:
- Verkkosuojaus Defender for Endpointissa on käytössä estotilassa (katso Verkon suojauksen käyttöönotto)
- Haittaohjelmien torjuntaohjelman versio on 4.18.1906.x tai uudempi
- Laitteissa on käytössä Windows 10, versio 1709 tai uudempi versio tai Windows 11
Mukautetut verkkoilmaisimet otetaan käyttöön Microsoft Defender XDR. Lisätietoja on artikkelissa Lisäominaisuudet.
Sovellusvarmenteiden ilmaisimet
Kun luot "salli"-ilmaisimen sovellusvarmenteelle, se auttaa estämään organisaation käyttämien sovellusten, kuten sisäisesti kehitettyjen sovellusten, estämisen.
.CER
-tiedostotunnisteita .PEM
tuetaan.
Ennen kuin luot sovellusvarmenteiden ilmaisimia, varmista, että seuraavat vaatimukset täyttyvät:
- Microsoft Defender virustentorjunta on määritetty niin, että pilvipohjainen suojaus on käytössä (katso Pilvipohjaisen suojauksen hallinta
- Haittaohjelmien torjuntaohjelman versio on 4.18.1901.x tai uudempi
- Laitteissa on käytössä Windows 10, versio 1703 tai uudempi versio tai Windows 11; Windows Server 2012 R2 ja Windows Server 2016 modernilla yhdistetyllä ratkaisulla Defender for Endpointissa, Windows Server 2019:ssä tai Windows Server 2022:ssa
- Virusten ja uhkien suojaamisen määritykset ovat ajan tasalla
Vihje
Kun luot ilmaisimia, voit määrittää ne yksi kerrallaan tai tuoda useita kohteita kerrallaan. Muista, että yksittäisessä vuokraajassa on enintään 15 000 ilmaisinta. Saatat myös joutua keräämään ensin tiettyjä tietoja, kuten tiedoston hajautusarvon tiedot. Tarkista edellytykset ennen ilmaisimien luomista.
Virustentorjuntaan Microsoft Defender poikkeukset
Yleensä sinun ei pitäisi joutua määrittämään poissulkemisia virustentorjuntaa Microsoft Defender varten. Varmista, että määrität poikkeukset säästeliäästi ja että sisällytät vain tiedostot, kansiot, prosessit ja prosessilla avatut tiedostot, joiden tuloksena on false-positiivisia arvoja. Tarkista myös määritetyt poikkeukset säännöllisesti. Suosittelemme käyttämään Microsoft Intune määrittämään tai muokkaamaan virustentorjunnan poissulkemisia. Voit kuitenkin käyttää muita menetelmiä, kuten ryhmäkäytäntö (katso Microsoft Defender for Endpoint hallinta).
Vihje
Tarvitsetko apua virustentorjuntaan liittyvien poissulkemisten kanssa? Katso Microsoft Defender virustentorjunnan poissulkemisten määrittäminen ja vahvistaminen.
Intune avulla voit hallita virustentorjunnan poissulkemisia (olemassa oleville käytännöille)
Valitse Microsoft Intune hallintakeskuksessaPäätepisteen suojauksen>virustentorjunta ja valitse sitten olemassa oleva käytäntö. (Jos sinulla ei ole aiemmin luotua käytäntöä tai haluat luoda uuden käytännön, siirry kohtaan Käytä Intune luodaksesi uuden virustentorjuntakäytännön, jossa on poissulkemisia.)
Valitse Ominaisuudet ja valitse sitten Määritysasetukset-kohdan vieristä Muokkaa.
Laajenna virustentorjuntaohjelman poissulkemisten Microsoft Defender ja määritä poikkeukset.
-
Pois jätetyt tunnisteet ovat poissulkemisia, jotka määrität tiedostotyypin tunnisteen mukaan. Nämä tunnisteet koskevat mitä tahansa tiedostonimeä, jonka tunniste on määritetty ilman tiedostopolkua tai kansiota. Erota kukin luettelon tiedostotyyppi toisistaan menneellä
|
. Esimerkiksilib|obj
. Lisätietoja on kohdassa ExcludedExtensions. -
Pois jätetyt polut ovat poissulkemisia, jotka määrität niiden sijainnin (polun) mukaan. Tällaisia poissulkemisia kutsutaan myös tiedosto- ja kansiopoikkeuksi. Erota luettelon jokainen polku menneellä
|
. EsimerkiksiC:\Example|C:\Example1
. Lisätietoja on kohdassa ExcludedPaths. -
Pois jätetyt prosessit ovat pois jätettyjä tiedostoja, jotka avataan tietyillä prosesseilla. Erota luettelon jokainen tiedostotyyppi menneellä
|
. EsimerkiksiC:\Example. exe|C:\Example1.exe
. Nämä poikkeukset eivät ole todellisia prosesseja varten. Jos haluat jättää prosesseja pois, voit käyttää tiedostojen ja kansioiden poissulkemisia. Lisätietoja on kohdassa ExcludedProcesses.
-
Pois jätetyt tunnisteet ovat poissulkemisia, jotka määrität tiedostotyypin tunnisteen mukaan. Nämä tunnisteet koskevat mitä tahansa tiedostonimeä, jonka tunniste on määritetty ilman tiedostopolkua tai kansiota. Erota kukin luettelon tiedostotyyppi toisistaan menneellä
Valitse Tarkista + tallenna ja valitse sitten Tallenna.
Luo Intune avulla uusi virustentorjuntakäytäntö, joka sisältää poissulkemisia
Valitse Microsoft Intune hallintakeskuksessaPäätepisteen suojauksen>virustentorjunta>+ Luo käytäntö.
Valitse käyttöympäristö (kuten Windows 10, Windows 11 ja Windows Server).
Valitse Profiili-kohdassaMicrosoft Defender virustentorjunnan poikkeukset ja valitse sitten Luo.
Määritä Luo profiili -vaiheessa profiilin nimi ja kuvaus ja valitse sitten Seuraava.
Määritä Määritysasetukset-välilehdessä virustentorjuntasi poikkeukset ja valitse sitten Seuraava.
-
Pois jätetyt tunnisteet ovat poissulkemisia, jotka määrität tiedostotyypin tunnisteen mukaan. Nämä tunnisteet koskevat mitä tahansa tiedostonimeä, jonka tunniste on määritetty ilman tiedostopolkua tai kansiota. Erota luettelon jokainen tiedostotyyppi menneellä
|
. Esimerkiksilib|obj
. Lisätietoja on kohdassa ExcludedExtensions. -
Pois jätetyt polut ovat poissulkemisia, jotka määrität niiden sijainnin (polun) mukaan. Tällaisia poissulkemisia kutsutaan myös tiedosto- ja kansiopoikkeuksi. Erota luettelon jokainen polku menneellä
|
. EsimerkiksiC:\Example|C:\Example1
. Lisätietoja on kohdassa ExcludedPaths. -
Pois jätetyt prosessit ovat pois jätettyjä tiedostoja, jotka avataan tietyillä prosesseilla. Erota luettelon jokainen tiedostotyyppi menneellä
|
. EsimerkiksiC:\Example. exe|C:\Example1.exe
. Nämä poikkeukset eivät ole todellisia prosesseja varten. Jos haluat jättää prosesseja pois, voit käyttää tiedostojen ja kansioiden poissulkemisia. Lisätietoja on kohdassa ExcludedProcesses.
-
Pois jätetyt tunnisteet ovat poissulkemisia, jotka määrität tiedostotyypin tunnisteen mukaan. Nämä tunnisteet koskevat mitä tahansa tiedostonimeä, jonka tunniste on määritetty ilman tiedostopolkua tai kansiota. Erota luettelon jokainen tiedostotyyppi menneellä
Jos käytät Käyttöaluetunnisteet-välilehdessä käyttöaluetunnisteita organisaatiossasi, määritä käyttöaluetunnisteet luomallesi käytännölle. (Katso käyttöalueen tunnisteet.)
Määritä Määritykset-välilehdessä käyttäjät ja ryhmät, joille käytäntöäsi käytetään, ja valitse sitten Seuraava. (Jos tarvitset apua varausten kanssa, katso Käyttäjä- ja laiteprofiilien määrittäminen Microsoft Intune.)
Tarkista + luo -välilehdessä asetukset ja valitse sitten Luo.
Osa 4: Tiedoston lähettäminen analyysia varten
Voit lähettää Microsoftille analysoitaessa entiteettejä, kuten tiedostoja ja tiedostottomia tunnistuksia. Microsoftin tietoturvatutkijat analysoivat kaikki lähetykset, ja niiden tulokset auttavat ilmoittamaan Defenderille päätepisteen uhkien suojausominaisuuksista. Kun kirjaudut lähetyssivustoon, voit seurata lähetyksiäsi.
Lähetä tiedosto analyysia varten
Jos sinulla on tiedosto, joka on joko virheellisesti tunnistettu haitalliseksi tai jota ei havaittu, lähetä tiedosto analyysia varten seuraavasti.
Lue ohjeet täältä: Lähetä tiedostot analyysia varten.
Lähetä tiedostoja Defender for Endpointiin tai käy Microsoftin suojaustiedustelu lähetyssivustossa ja lähetä tiedostosi.
Lähetä tiedostoton tunnistaminen analyysia varten
Jos jotain on havaittu haittaohjelmaksi toiminnan perusteella, eikä sinulla ole tiedostoa, voit lähettää Mpsupport.cab
tiedoston analyysia varten. Voit saada .cab -tiedoston Windows 10 tai Windows 11 Microsoft Malware Protection Command-Line Utility (MPCmdRun.exe) -työkalulla.
Siirry osoitteeseen
C:\ProgramData\Microsoft\Windows Defender\Platform\<version>
ja suoritaMpCmdRun.exe
sitten järjestelmänvalvojana.Kirjoita
mpcmdrun.exe -GetFiles
ja paina sitten Enter-näppäintä.Luodaan .cab tiedosto, joka sisältää erilaisia diagnostiikkalokeja. Tiedoston sijainti määritetään komentokehotteen tulosteessa. Sijainti on
C:\ProgramData\Microsoft\Microsoft Defender\Support\MpSupportFiles.cab
oletusarvoisesti .Lue ohjeet täältä: Lähetä tiedostot analyysia varten.
Käy Microsoftin suojaustiedustelu lähetyssivustossa (https://www.microsoft.com/wdsi/filesubmission) ja lähetä .cab tiedostot.
Mitä tapahtuu tiedoston lähettämisen jälkeen?
Järjestelmämme tarkistavat lähetyksesi välittömästi, jotta saat viimeisimmän päätöksen jo ennen kuin analyytikko alkaa käsitellä tapaustasi. On mahdollista, että analyytikko on jo lähettänyt ja käsitellyt tiedoston. Näissä tapauksissa päätös tehdään nopeasti.
Jos lähetystä ei vielä käsitelty, ne priorisoidaan analysoitaessa seuraavasti:
- Laajalle levinneet tiedostot, jotka voivat vaikuttaa suureen määrään tietokoneita, ovat etusijalla.
- Todennetut asiakkaat, erityisesti yritysasiakkaat, joilla on kelvolliset Software Assurance -tunnukset (SAID) , ovat etusijalla.
- SAID-haltijoiden erittäin tärkeiksi merkitsemiin lähetyksiin kiinnitetään välitöntä huomiota.
Jos haluat tarkistaa lähetykseesi liittyvät päivitykset, kirjaudu sisään Microsoftin suojaustiedustelu lähetyssivustoon.
Vihje
Lisätietoja on artikkelissa Tiedostojen lähettäminen analyysia varten.
Osa 5: Uhkien suojausasetusten tarkistaminen ja säätäminen
Defender for Endpoint tarjoaa monenlaisia vaihtoehtoja, kuten mahdollisuuden hienosäätää eri ominaisuuksien ja ominaisuuksien asetuksia. Jos saat lukuisia vääriä positiivisia tietoja, tarkista organisaatiosi uhkien suojausasetukset. Saatat joutua tekemään joitakin muutoksia:
- Pilvipalveluun toimitettu suojaus
- Mahdollisesti ei-toivottujen sovellusten korjaaminen
- Automaattinen tutkinta ja korjaus
Pilvipalveluun toimitettu suojaus
Tarkista Microsoft Defender virustentorjuntaohjelma pilvipalvelun toimittamalta suojaustasoltasi. Oletusarvon mukaan pilvipalveluun toimitettu suojaus on ei määritetty. Suosittelemme kuitenkin ottamaan sen käyttöön. Lisätietoja pilvipalveluun toimitetun suojauksen määrittämisestä on artikkelissa Pilvisuojauksen ottaminen käyttöön Microsoft Defender virustentorjuntaohjelmassa.
Voit muokata tai määrittää pilvipalveluun toimitettuja suojausasetuksia Intune tai muilla menetelmillä, kuten ryhmäkäytäntö.
Katso Pilvisuojauksen ottaminen käyttöön Microsoft Defender virustentorjuntaohjelmassa.
Mahdollisesti ei-toivottujen sovellusten korjaaminen
Mahdollisesti ei-toivotut sovellukset (PUA) ovat ohjelmistoluokka, joka voi saada laitteet toimimaan hitaasti, näyttämään odottamattomia mainoksia tai asentamaan muita ohjelmistoja, jotka saattavat olla odottamattomia tai ei-toivottuja. ESIMERKKEJÄ PUA:sta ovat mainosohjelmistot, ohjelmistojen niputtaminen ja veropetosohjelmistot, jotka toimivat eri tavalla tietoturvatuotteiden kanssa. Vaikka PUA:a ei pidetä haittaohjelmistona, jotkut ohjelmistot ovat PUA:n käyttäytymisen ja maineen perusteella.
Lisätietoja PUA:sta on kohdassa Mahdollisesti ei-toivottujen sovellusten havaitseminen ja estäminen.
Organisaatiosi käyttämistä sovelluksista riippuen saatat saada vääriä positiivisia tietoja PUA-suojausasetustesi seurauksena. Jos se on tarpeen, harkitse PUA-suojauksen suorittamista valvontatilassa jonkin aikaa tai käytä PUA-suojausta organisaatiosi laitteiden alijoukossa. PUA-suojaus voidaan määrittää Microsoft Edge -selaimessa ja Microsoft Defender virustentorjuntaa varten.
On suositeltavaa käyttää Intune PUA-suojausasetusten muokkaamiseen tai määrittämiseen. Voit kuitenkin käyttää muita menetelmiä, kuten ryhmäkäytäntö.
Katso PUA-suojauksen määrittäminen Microsoft Defender virustentorjuntaohjelmassa.
Automaattinen tutkinta ja korjaus
Automaattiset tutkimus- ja korjaustoiminnot (AIR) on suunniteltu tutkimaan hälytyksiä ja ryhtymään välittömiin toimiin rikkomisten ratkaisemiseksi. Kun hälytykset käynnistetään ja automatisoitu tutkinta suoritetaan, kullekin tutkitulle todisteelle luodaan tuomio. Tuomiot voivat olla haitallisia, epäilyttäviä tai uhkia ei löytynyt.
Organisaatiollesi määritetyn automaation ja muiden suojausasetusten mukaan korjaustoimintoja suoritetaan artefakteihin, joita pidetään haitallisina tai epäilyttävinä. Joissakin tapauksissa korjaustoimet tapahtuvat automaattisesti. muissa tapauksissa korjaustoimet suoritetaan manuaalisesti tai vain suojaustoimintaryhmäsi hyväksynnän jälkeen.
Tärkeää
Suosittelemme täydellisen automaation käyttöä automatisoidussa tutkimuksessa ja korjaamisessa. Älä poista näitä ominaisuuksia käytöstä, koska epätosi on positiivinen. Sen sijaan voit määrittää poikkeuksia "salli"-ilmaisimien avulla ja pitää automaattisen tutkimuksen ja korjaamisen määritettynä, jotta asianmukaiset toimet voidaan suorittaa automaattisesti. Näiden ohjeiden noudattaminen auttaa vähentämään suojaustoimintaryhmäsi käsittelemien hälytysten määrää.
Tarvitsetko lisää ohjeita?
Jos olet käynyt läpi kaikki tämän artikkelin vaiheet ja tarvitset silti apua, ota yhteyttä tekniseen tukeen.
Valitse Microsoft Defender portaalin oikeasta yläkulmasta kysymysmerkki (?) ja valitse sitten Microsoftin tuki.
Kuvaile ongelmaa Tukiavustaja-ikkunassa ja lähetä viesti. Sieltä voit avata palvelupyynnön.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Hallitse päätepisteen Defenderiä
- Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunnan poissulkemisten hallinta
- Portaalin Microsoft Defender yleiskatsaus
- Microsoft Defender for Endpoint Macissa
- Microsoft Defender for Endpoint Linuxissa
- Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä
- Defender for Endpointin ominaisuuksien määrittäminen Androidissa
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.