Résoudre les comportements indésirables dans Microsoft Defender pour point de terminaison avec des exclusions, des indicateurs et d’autres techniques

La fonction principale de Defender pour point de terminaison est d’empêcher et de détecter l’accès aux fichiers et processus malveillants. Defender pour point de terminaison est conçu pour permettre aux personnes de votre organization d’être protégées contre les menaces tout en restant productives par les paramètres et stratégies de sécurité par défaut. Parfois, des comportements indésirables peuvent se produire, tels que :

• Faux positifs : un faux positif est quand une entité, telle qu’un fichier ou un processus, a été détectée et identifiée comme malveillante, même si l’entité n’est pas une menace
• Performances médiocres : les applications rencontrent des problèmes de performances lorsque certaines fonctionnalités de Defender pour point de terminaison sont activées
• Incompatibilité d’application : les applications ne fonctionnent pas correctement lorsque certaines fonctionnalités de Defender pour point de terminaison sont activées

Cet article explique comment traiter ces types de comportements indésirables et inclut quelques exemples de scénarios.

Remarque

La création d’un indicateur ou d’une exclusion ne doit être envisagée qu’après avoir bien compris la cause racine du comportement inattendu.

Comment résoudre les comportements indésirables avec Defender pour point de terminaison

À un niveau élevé, le processus général de résolution d’un comportement indésirable dans Defender pour point de terminaison est le suivant :

1. Identifiez la fonctionnalité à l’origine du comportement indésirable. Vous devez savoir s’il existe une configuration incorrecte avec Microsoft Defender’antivirus, la détection et la réponse des points de terminaison, la réduction de la surface d’attaque, l’accès contrôlé aux dossiers, etc. dans Defender pour point de terminaison. Vous pouvez utiliser les informations dans le portail Microsoft Defender ou sur l’appareil pour prendre votre décision.

   Emplacement	Procédure
   Portail Microsoft Defender	Effectuez une ou plusieurs des actions suivantes pour identifier ce qui se passe : - Examiner les alertes - Utiliser la chasse avancée - Afficher les rapports
   Sur l’appareil	Effectuez une ou plusieurs des étapes suivantes pour identifier le problème : - Utiliser les outils de l’analyseur de performances - Examiner les journaux des événements et les codes d’erreur - Vérifier votre historique de protection

2. Selon les résultats de l’étape précédente, vous pouvez effectuer une ou plusieurs des actions suivantes :

   • Supprimer les alertes dans le portail Microsoft Defender
   • Définir des actions de correction personnalisées
   • Envoyer un fichier à Microsoft pour analyse
   • Définir des exclusions pour Microsoft Defender Antivirus
   • Créer des indicateurs pour Defender pour point de terminaison

   N’oubliez pas que la protection contre les falsifications détermine si des exclusions peuvent être modifiées ou ajoutées. Voir Que se passe-t-il lorsque la protection contre les falsifications est activée.

3. Vérifiez que vos modifications ont résolu le problème.

Exemples de comportements indésirables

Cette section inclut plusieurs exemples de scénarios qui peuvent être traités à l’aide d’exclusions et d’indicateurs. Pour plus d’informations sur les exclusions, consultez Vue d’ensemble des exclusions.

Une application est détectée par Microsoft Defender Antivirus quand l’application s’exécute

Dans ce scénario, chaque fois qu’un utilisateur exécute une certaine application, l’application est détectée par Microsoft Defender Antivirus comme une menace potentielle.

Comment traiter : créez un indicateur « autoriser » pour Microsoft Defender pour point de terminaison. Par exemple, vous pouvez créer un indicateur « autoriser » pour un fichier, tel qu’un fichier exécutable. Consultez Créer des indicateurs pour les fichiers.

Une application personnalisée auto-signée est détectée par Microsoft Defender Antivirus lors de l’exécution de l’application

Dans ce scénario, une application personnalisée est détectée par Microsoft Defender Antivirus comme une menace potentielle. L’application est mise à jour régulièrement et auto-signée.

Comment traiter : créez des indicateurs « autoriser » pour les certificats ou les fichiers. Consultez les articles suivants :

• Créer des indicateurs basés sur des certificats
• Créer des indicateurs pour les fichiers

Une application personnalisée accède à un ensemble de types de fichiers détectés comme malveillants lors de l’exécution de l’application

Dans ce scénario, une application personnalisée accède à un ensemble de types de fichiers, et l’ensemble est détecté comme malveillant par Microsoft Defender Antivirus chaque fois que l’application s’exécute.

Comment observer : lorsque l’application est en cours d’exécution, elle est détectée par Microsoft Defender Antivirus en tant que détection de surveillance du comportement.

Guide pratique pour résoudre les problèmes : Définissez des exclusions pour Microsoft Defender Antivirus, telles qu’une exclusion de fichier ou de chemin d’accès qui peut inclure des caractères génériques. Ou définissez une exclusion de chemin d’accès de fichier personnalisé. Consultez les articles suivants :

• Résoudre des faux négatifs/positifs dans Microsoft Defender pour point de terminaison
• Configurer et valider des exclusions en fonction de l’extension de fichier et de l’emplacement du dossier

Une application est détectée par Microsoft Defender Antivirus comme détection de « comportement »

Dans ce scénario, une application est détectée par Microsoft Defender Antivirus en raison de certains comportements, même si l’application n’est pas une menace.

Comment traiter : définir une exclusion de processus. Consultez les articles suivants :

• Configurer et valider des exclusions en fonction de l’extension de fichier et de l’emplacement du dossier
• Configurer des exclusions pour les fichiers ouverts par les processus

Une application est considérée comme une application potentiellement indésirable (PUA)

Dans ce scénario, une application est détectée comme puA et vous souhaitez l’autoriser à s’exécuter.

Guide pratique pour traiter : définissez une exclusion pour l’application. Consultez les articles suivants :

• Exclure des fichiers de la protection contre les applications potentiellement indésirables (PUA)
• Configurer et valider des exclusions en fonction de l’extension de fichier et de l’emplacement du dossier

Une application ne peut pas écrire dans un dossier protégé

Dans ce scénario, une application légitime ne peut pas écrire dans des dossiers protégés par un accès contrôlé aux dossiers.

Comment traiter : ajoutez l’application à la liste « autorisée » pour l’accès contrôlé aux dossiers. Consultez Autoriser des applications spécifiques à apporter des modifications aux dossiers contrôlés.

Une application tierce est détectée comme malveillante par Microsoft Defender Antivirus

Dans ce scénario, une application tierce qui n’est pas une menace est détectée et identifiée comme malveillante par Microsoft Defender Antivirus.

Comment traiter : soumettre l’application à Microsoft pour analyse. Consultez Comment envoyer un fichier à Microsoft à des fins d’analyse.

Une application est détectée de manière incorrecte et identifiée comme malveillante par Defender pour point de terminaison

Dans ce scénario, une application légitime est détectée et identifiée comme malveillante par une règle de réduction de la surface d’attaque dans Defender pour point de terminaison. Chaque fois qu’un utilisateur utilise l’application, l’application et tout contenu téléchargé sont bloqués par la règle de réduction de la surface d’attaque, Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé.

Comment traiter :

1. Dans le portail Microsoft Defender, accédez à Rapports. Sous Rapports, sélectionnez Rapport de sécurité.

2. Faites défiler jusqu’aux appareils pour trouver vos cartes de réduction de la surface d’attaque. Pour plus d’informations, consultez le rapport sur les règles de réduction de la surface d’attaque.

3. Utilisez les informations pour identifier les emplacements des fichiers et des dossiers à exclure.

4. Ajoutez des exclusions. Consultez Configurer et valider des exclusions en fonction de l’extension de fichier et de l’emplacement du dossier.

Word les modèles qui contiennent des macros qui lancent d’autres applications sont bloqués

Dans ce scénario, chaque fois qu’un utilisateur ouvre des documents créés à l’aide de modèles Microsoft Word qui contiennent des macros et que ces macros lancent d’autres applications, la règle de réduction de la surface d’attaque Bloquer les appels d’API Win32 à partir des macros Office bloque Microsoft Word.

Comment traiter :

1. Dans le portail Microsoft Defender, accédez à Rapports. Sous Rapports, sélectionnez Rapport de sécurité.

2. Faites défiler jusqu’aux appareils pour trouver vos cartes de réduction de la surface d’attaque. Pour plus d’informations, consultez le rapport sur les règles de réduction de la surface d’attaque.

3. Utilisez les informations pour identifier les emplacements des fichiers et des dossiers à exclure.

4. Ajoutez des exclusions. Consultez Configurer et valider des exclusions en fonction de l’extension de fichier et de l’emplacement du dossier.

Voir aussi

• Vue d’ensemble des exclusions
• Informations de référence sur la gestion des exclusions