Panoramica delle esclusioni
Microsoft Defender per endpoint e Defender for Business include un'ampia gamma di funzionalità per prevenire, rilevare, analizzare e rispondere a minacce informatiche avanzate. Microsoft preconfigura il prodotto in modo che funzioni correttamente nel sistema operativo in cui è installato. Non devono essere necessarie altre modifiche. Nonostante le impostazioni preconfigurate, a volte si verificano comportamenti imprevisti. Ecco alcuni esempi:
- Falsi positivi: file, cartelle o processi che in realtà non sono una minaccia possono essere rilevati come dannosi da Defender per endpoint o Microsoft Defender Antivirus. Queste entità possono essere bloccate o inviate in quarantena, anche se non sono una minaccia.
- Problemi di prestazioni: i sistemi riscontrano un impatto imprevisto sulle prestazioni durante l'esecuzione con Defender per endpoint
- Problemi di compatibilità delle applicazioni: le applicazioni riscontrano un comportamento imprevisto durante l'esecuzione con Defender per endpoint
La creazione di un'esclusione è un possibile approccio per risolvere questi tipi di problemi. Ma spesso ci sono altri passaggi che è possibile eseguire. Oltre a fornire una panoramica degli indicatori e delle esclusioni, questo articolo include alternative alla creazione di esclusioni e indicatori consentiti.
Nota
La creazione di un indicatore o di un'esclusione deve essere presa in considerazione solo dopo aver compreso accuratamente la causa radice del comportamento imprevisto.
Esempi di problemi e passaggi da considerare
| Scenario di esempio | Passaggi da considerare |
|---|---|
| Falso positivo: un'entità, ad esempio un file o un processo, è stata rilevata e identificata come dannosa, anche se l'entità non è una minaccia. | 1. Esaminare e classificare gli avvisi generati come risultato dell'entità rilevata. 2. Eliminare un avviso per un'entità nota. 3. Esaminare le azioni di correzione eseguite per l'entità rilevata. 4. Inviare il falso positivo a Microsoft per l'analisi . 5. Definire un indicatore o un'esclusione per l'entità (solo se necessario). |
|
Problemi di prestazioni , ad esempio uno dei problemi seguenti: - Un sistema presenta un utilizzo elevato della CPU o altri problemi di prestazioni. - Un sistema presenta problemi di perdita di memoria. - Il caricamento di un'app nei dispositivi è lento. - Un'app è lenta ad aprire un file nei dispositivi. |
1. Raccogliere i dati di diagnostica per Microsoft Defender Antivirus. 2. Se si usa una soluzione antivirus non Microsoft, rivolgersi al fornitore per verificare se sono presenti problemi noti con i prodotti antivirus. 3. Analizzare il log di Microsoft Protection per visualizzare l'impatto stimato sulle prestazioni. Per i problemi specifici delle prestazioni relativi a Microsoft Defender Antivirus, usare l'analizzatore delle prestazioni per Microsoft Defender Antivirus. 4. Definire un'esclusione per Microsoft Defender Antivirus (se necessario). 5. Creare un indicatore per Defender per endpoint (solo se necessario). |
|
Problemi di compatibilità con prodotti antivirus non Microsoft. Esempio: Defender per endpoint si basa sugli aggiornamenti dell'intelligence di sicurezza per i dispositivi, indipendentemente dal fatto che eseguano Microsoft Defender antivirus o una soluzione antivirus non Microsoft. |
1. Se si usa un prodotto antivirus non Microsoft come soluzione antivirus/antimalware primaria, impostare Microsoft Defender Antivirus sulla modalità passiva. 2. Se si passa da una soluzione antivirus/antimalware non Microsoft a Defender per endpoint, vedere Passare a Defender per endpoint. Le linee guida includono: - Esclusioni che potrebbe essere necessario definire per la soluzione antivirus/antimalware non Microsoft; - Esclusioni che potrebbe essere necessario definire per Microsoft Defender Antivirus; e - Risoluzione dei problemi relativi alle informazioni (nel caso in cui si verifichino problemi durante la migrazione). |
| Compatibilità con le applicazioni. Esempio: le applicazioni si arrestano in modo anomalo o si verificano comportamenti imprevisti dopo l'onboarding di un dispositivo in Microsoft Defender per endpoint. |
Vedere Risolvere i comportamenti indesiderati in Microsoft Defender per endpoint con esclusioni, indicatori e altre tecniche. |
Alternative alla creazione di esclusioni e indicatori consentiti
La creazione di un'esclusione o di un indicatore consenti crea un gap di protezione. Queste tecniche devono essere usate solo dopo aver determinato la causa radice del problema. Fino a quando non viene effettuata tale determinazione, considerare queste alternative:
- Inviare un file a Microsoft per l'analisi
- Eliminare un avviso
Invio di file per l'analisi
Se si dispone di un file che si ritiene erroneamente rilevato come malware (un falso positivo) o un file che si sospetta potrebbe essere malware anche se non è stato rilevato (un falso negativo), è possibile inviare il file a Microsoft per l'analisi. L'invio viene analizzato immediatamente e verrà quindi esaminato dagli analisti della sicurezza Microsoft. Puoi controllare lo stato dell'invio nella pagina della cronologia dell'invio.
L'invio di file per l'analisi consente di ridurre i falsi positivi e i falsi negativi per tutti i clienti. Per altre informazioni, vedere gli articoli seguenti:
- Inviare file per l'analisi (disponibile per tutti i clienti)
- Inviare file usando il nuovo portale per gli invii unificati in Defender per endpoint (disponibile per i clienti che dispongono di Defender per endpoint piano 2 o Microsoft Defender XDR)
Eliminazione degli avvisi
Se si ricevono avvisi nel portale di Microsoft Defender per strumenti o processi che non sono effettivamente una minaccia, è possibile eliminare tali avvisi. Per eliminare un avviso, creare una regola di eliminazione e specificare le azioni da eseguire in altri avvisi identici. È possibile creare regole di eliminazione per un avviso specifico in un singolo dispositivo o per tutti gli avvisi con lo stesso titolo nell'organizzazione.
Per altre informazioni, vedere gli articoli seguenti:
- Elimina avvisi
- Blog della community tecnica: Introduzione alla nuova esperienza di eliminazione degli avvisi (per Defender per endpoint)
Tipi di esclusioni
Esistono diversi tipi di esclusioni da considerare. Alcuni tipi di esclusioni influiscono su più funzionalità in Defender per endpoint, mentre altri tipi sono specifici per Microsoft Defender Antivirus.
- Esclusioni personalizzate: si tratta di esclusioni definite per casi d'uso o scenari specifici e per determinati sistemi operativi, ad esempio Mac, Linux e Windows.
- Esclusioni antivirus preconfigurate: si tratta di esclusioni che non è necessario definire, ad esempio esclusioni automatiche dei ruoli del server e esclusioni antivirus predefinite. Anche se non è necessario definirli, è utile sapere cosa sono e come funzionano.
- Esclusioni di riduzione della superficie di attacco: si tratta di esclusioni che impediscono alle funzionalità di riduzione della superficie di attacco di bloccare le applicazioni legittime che l'organizzazione potrebbe usare.
- Esclusioni di cartelle di automazione: si tratta di esclusioni definite per impedire l'applicazione di funzionalità automatizzate di analisi e correzione a file o cartelle specifici.
- Esclusioni di accesso controllato alle cartelle: si tratta di esclusioni che consentono a determinate app o eseguibili di accedere alle cartelle protette.
- Azioni di correzione personalizzate: si tratta di azioni specificate per Microsoft Defender Antivirus quando determinati tipi di rilevamenti.
Per informazioni sugli indicatori, vedere Panoramica degli indicatori in Microsoft Defender per endpoint.
Esclusioni personalizzate
Microsoft Defender per endpoint consente di configurare esclusioni personalizzate per ottimizzare le prestazioni ed evitare falsi positivi. I tipi di esclusioni che è possibile impostare variano in base alle funzionalità di Defender per endpoint e ai sistemi operativi.
La tabella seguente riepiloga i tipi di esclusioni personalizzate che è possibile definire. Si noti l'ambito per ogni tipo di esclusione.
| Tipi di esclusione | Ambito | Situazioni di utilizzo |
|---|---|---|
| Esclusioni di Defender per endpoint personalizzate | Antivirus Regole di riduzione della superficie di attacco Defender per endpoint Protezione di rete |
Un file, una cartella o un processo viene identificato come dannoso, anche se non è una minaccia. Un'applicazione riscontra problemi imprevisti di prestazioni o compatibilità dell'applicazione durante l'esecuzione con Defender per endpoint |
| Esclusioni di riduzione della superficie di attacco di Defender per endpoint | Regole di riduzione della superficie di attacco | Una regola di riduzione della superficie di attacco causa un comportamento imprevisto. |
| Esclusioni di cartelle di automazione di Defender per endpoint | Indagine e reazione automatizzate | L'analisi automatica e la correzione interviene su un file, un'estensione o una directory che deve essere eseguita manualmente. |
| Esclusioni di accesso controllato alle cartelle di Defender per endpoint | Accesso alle cartelle controllato | L'accesso controllato alle cartelle impedisce a un'applicazione di accedere a una cartella protetta. |
| Indicatori di file di defender per endpoint e di autorizzazione del certificato | Antivirus Regole di riduzione della superficie di attacco Accesso alle cartelle controllato |
Un file o un processo firmato da un certificato viene identificato come dannoso anche se non lo è. |
| Indicatori di dominio/URL e indirizzo IP di Defender per endpoint | Protezione di rete SmartScreen Filtro contenuto Web |
SmartScreen segnala un falso positivo. Si vuole eseguire l'override di un blocco filtro contenuto Web in un sito specifico. |
Nota
La protezione della rete è direttamente influenzata dalle esclusioni dei processi in tutte le piattaforme. Un'esclusione del processo in qualsiasi sistema operativo (Windows, MacOS, Linux) impedisce a Protezione di rete di controllare il traffico o applicare regole per quel processo specifico.
Esclusioni in Mac
Per macOS, è possibile definire esclusioni che si applicano alle analisi su richiesta, alla protezione in tempo reale e al monitoraggio. I tipi di esclusione supportati includono:
- Estensione file: escludere tutti i file con un'estensione specifica.
- File: escludere un file specifico identificato dal relativo percorso completo.
- Cartella: escludere in modo ricorsivo tutti i file in una cartella specificata.
- Processo: escludere un processo specifico e tutti i file da esso aperti.
Per altre informazioni, vedere Configurare e convalidare le esclusioni per Microsoft Defender per endpoint in macOS.
Esclusioni in Linux
In Linux è possibile configurare sia l'antivirus che le esclusioni globali.
- Esclusioni antivirus: si applicano alle analisi su richiesta, alla protezione in tempo reale (RTP) e al monitoraggio del comportamento (BM).
- Esclusioni globali: si applicano alla protezione in tempo reale (RTP), al monitoraggio del comportamento (BM) e al rilevamento e alla risposta degli endpoint (EDR), arrestando tutti i rilevamenti antivirus e gli avvisi EDR associati.
Per ulteriori informazioni, vedere Configurare e convalidare le esclusioni per Microsoft Defender per endpoint su Linux.
Esclusioni in Windows
Microsoft Defender Antivirus può essere configurato per escludere combinazioni di processi, file ed estensioni da analisi pianificate, analisi su richiesta e protezione in tempo reale. Vedere Configurare esclusioni personalizzate per Microsoft Defender Antivirus.
Per un controllo più granulare che consenta di ridurre al minimo le lacune di protezione, è consigliabile usare esclusioni di file contestuali e processi.
Esclusioni preconfigurate antivirus
Questi tipi di esclusione sono preconfigurati in Microsoft Defender per endpoint per Microsoft Defender Antivirus.
| Tipi di esclusione | Configurazione | Descrizione |
|---|---|---|
| Esclusioni automatiche Microsoft Defender Antivirus | Automatico | Esclusioni automatiche per i ruoli e le funzionalità del server in Windows Server. Quando si installa un ruolo in Windows Server 2016 o versioni successive, Microsoft Defender Antivirus include esclusioni automatiche per il ruolo del server e tutti i file aggiunti durante l'installazione del ruolo. Queste esclusioni riguardano solo i ruoli attivi in Windows Server 2016 e versioni successive. |
| Esclusioni predefinite Microsoft Defender Antivirus | Automatico | Microsoft Defender Antivirus include esclusioni predefinite per i file del sistema operativo in tutte le versioni di Windows. |
Esclusioni automatiche dei ruoli del server
Le esclusioni automatiche dei ruoli server includono esclusioni per i ruoli e le funzionalità del server in Windows Server 2016 e versioni successive. Queste esclusioni non vengono analizzate dalla protezione in tempo reale , ma sono comunque soggette a analisi antivirus rapide, complete o su richiesta.
Alcuni esempi:
- Servizio Replica file (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- Server DNS.
- Server di stampa
- Server Web
- Windows Server Update Services
- ... e altro ancora.
Nota
Le esclusioni automatiche per i ruoli del server non sono supportate in Windows Server 2012 R2. Per i server che eseguono Windows Server 2012 R2 con il ruolo del server Active Directory Domain Services (AD DS) installato, è necessario specificare manualmente le esclusioni per i controller di dominio. Vedere Esclusioni di Active Directory.
Per altre informazioni, vedere Esclusioni automatiche dei ruoli del server.
Esclusioni antivirus predefinite
Le esclusioni antivirus predefinite includono alcuni file del sistema operativo esclusi da Microsoft Defender Antivirus in tutte le versioni di Windows ,inclusi Windows 10, Windows 11 e Windows Server.
Alcuni esempi:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%allusersprofile%\NTUser.pol- file Windows Update
- file Sicurezza di Windows
- ... e altro ancora.
L'elenco delle esclusioni predefinite in Windows viene mantenuto aggiornato man mano che cambia il panorama delle minacce. Per altre informazioni su queste esclusioni, vedere Microsoft Defender Esclusioni antivirus in Windows Server: esclusioni predefinite.
Esclusioni di riduzione della superficie di attacco
Le regole di riduzione della superficie di attacco (note anche come regole ASR) sono destinate a determinati comportamenti software, ad esempio:
- Avvio di file eseguibili e script che tentano di scaricare o eseguire file
- Esecuzione di script che sembrano offuscati o altrimenti sospetti
- Esecuzione di comportamenti che le app in genere non avviano durante il normale lavoro quotidiano
A volte, le applicazioni legittime presentano comportamenti software che potrebbero essere bloccati dalle regole di riduzione della superficie di attacco. Se ciò si verifica nell'organizzazione, è possibile definire esclusioni per determinati file e cartelle. Tali esclusioni vengono applicate a tutte le regole di riduzione della superficie di attacco. Vedere Abilitare le regole di riduzione della superficie di attacco.
Nota
Le regole di riduzione della superficie di attacco rispettano le esclusioni dei processi, ma non tutte le regole di riduzione della superficie di attacco rispettano Microsoft Defender esclusioni antivirus. Vedere Informazioni di riferimento sulle regole di riduzione della superficie di attacco : Microsoft Defender esclusioni antivirus e regole asr.
Esclusioni di cartelle di automazione
Le esclusioni delle cartelle di automazione si applicano all'indagine automatizzata e alla correzione in Defender per endpoint, progettato per esaminare gli avvisi e intraprendere azioni immediate per risolvere le violazioni rilevate. Quando vengono attivati avvisi e viene eseguita un'indagine automatizzata, viene raggiunto un verdetto (dannoso, sospetto o nessuna minaccia trovata) per ogni elemento di prova indagato. A seconda del livello di automazione e di altre impostazioni di sicurezza, le azioni di correzione possono verificarsi automaticamente o solo dopo l'approvazione da parte del team delle operazioni di sicurezza.
È possibile specificare cartelle, estensioni di file in una directory specifica e nomi di file da escludere dalle funzionalità automatizzate di analisi e correzione. Tali esclusioni di cartelle di automazione si applicano a tutti i dispositivi caricati in Defender per endpoint. Queste esclusioni sono ancora soggette a analisi antivirus.
Per altre informazioni, vedere Gestire le esclusioni di cartelle di automazione.
Esclusioni di accesso controllato alle cartelle
L'accesso controllato alle cartelle monitora le app per le attività rilevate come dannose e protegge il contenuto di determinate cartelle (protette) nei dispositivi Windows. L'accesso controllato alle cartelle consente solo alle app attendibili di accedere alle cartelle protette, ad esempio cartelle di sistema comuni (inclusi i settori di avvio) e altre cartelle specificate. È possibile consentire a determinate app o eseguibili firmati di accedere alle cartelle protette definendo esclusioni.
Per altre informazioni, vedere Personalizzare l'accesso controllato alle cartelle.
Azioni di correzione personalizzate
Quando Microsoft Defender Antivirus rileva una potenziale minaccia durante l'esecuzione di un'analisi, tenta di correggere o rimuovere la minaccia rilevata. È possibile definire azioni di correzione personalizzate per configurare il modo in cui Microsoft Defender Antivirus deve affrontare determinate minacce, se è necessario creare un punto di ripristino prima della correzione e quando le minacce devono essere rimosse.
Per altre informazioni, vedere Configurare le azioni di correzione per i rilevamenti antivirus Microsoft Defender.
Come vengono valutate le esclusioni e gli indicatori
La maggior parte delle organizzazioni ha diversi tipi di esclusioni e indicatori per determinare se gli utenti devono essere in grado di accedere e usare un file o un processo. Le esclusioni e gli indicatori vengono elaborati in un ordine specifico in modo da gestire sistematicamente i conflitti di criteri.
Tenere presente quanto segue:
Se un file/processo rilevato non è consentito da Windows Defender Application Control e AppLocker, viene bloccato. In caso contrario, procede a Microsoft Defender Antivirus.
Se il file/processo rilevato non fa parte di un'esclusione per Microsoft Defender Antivirus, viene bloccato. In caso contrario, Defender per endpoint verifica la presenza di un indicatore personalizzato per il file o il processo.
Se il file/processo rilevato ha un indicatore Blocca o Avvisa, viene eseguita tale azione. In caso contrario, il file/processo è consentito e procede alla valutazione in base alle regole di riduzione della superficie di attacco, all'accesso controllato alle cartelle e alla protezione SmartScreen.
Se il file/processo rilevato non è bloccato dalle regole di riduzione della superficie di attacco, dall'accesso controllato alle cartelle o dalla protezione SmartScreen, procede a Microsoft Defender Antivirus.
Se il file/processo rilevato non è consentito da Microsoft Defender Antivirus, viene verificata la presenza di un'azione in base all'ID minaccia.
Come vengono gestiti i conflitti di criteri
Nei casi in cui gli indicatori di Defender per endpoint sono in conflitto, ecco cosa aspettarsi:
Se sono presenti indicatori di file in conflitto, viene applicato l'indicatore che usa l'hash più sicuro. Ad esempio, SHA256 ha la precedenza su SHA-1, che ha la precedenza su MD5.
Se sono presenti indicatori URL in conflitto, viene usato l'indicatore più rigoroso. Per Microsoft Defender SmartScreen, viene applicato un indicatore che usa il percorso URL più lungo. Ad esempio,
www.dom.ain/admin/ha la precedenza suwww.dom.ain. La protezione di rete si applica ai domini, anziché alle pagine secondarie all'interno di un dominio.Se sono presenti indicatori simili per un file o un processo con azioni diverse, l'indicatore con ambito per un gruppo di dispositivi specifico ha la precedenza su un indicatore destinato a tutti i dispositivi.
Funzionamento dell'indagine e della correzione automatizzate con gli indicatori
Le funzionalità di indagine e correzione automatizzate in Defender per endpoint determinano prima un verdetto per ogni evidenza e quindi eseguono un'azione a seconda degli indicatori di Defender per endpoint. Pertanto, un file o un processo potrebbe ottenere un verdetto di "buono" (il che significa che non sono state trovate minacce) e comunque essere bloccato se è presente un indicatore con tale azione. Analogamente, un'entità potrebbe ottenere un verdetto "negativo" (il che significa che è determinata per essere dannosa) e comunque essere consentita se è presente un indicatore con tale azione.
Per altre informazioni, vedere analisi automatizzata e correzione e indicatori.
Altri carichi di lavoro del server ed esclusioni
Se l'organizzazione usa altri carichi di lavoro server, ad esempio Exchange Server, SharePoint Server o SQL Server, tenere presente che solo i ruoli del server predefiniti (che potrebbero essere prerequisiti per il software installato in un secondo momento) in Windows Server vengono esclusi dalla funzionalità di esclusione automatica dei ruoli del server (e solo quando si usa il percorso di installazione predefinito). È probabile che sia necessario definire esclusioni antivirus per questi altri carichi di lavoro o per tutti i carichi di lavoro se si disabilitano le esclusioni automatiche.
Ecco alcuni esempi di documentazione tecnica per identificare e implementare le esclusioni necessarie:
- Esecuzione di software antivirus in Exchange Server
- Cartelle da escludere dalle analisi antivirus in SharePoint Server
- Scelta del software antivirus per SQL Server
A seconda di ciò che si sta usando, potrebbe essere necessario fare riferimento alla documentazione per il carico di lavoro del server.
Vedere anche
- Risolvere gli scenari di falsi positivi comuni con esclusioni
- Configurare le esclusioni per Microsoft Defender Antivirus
- Errori comuni da evitare quando si definiscono le esclusioni
- Panoramica degli indicatori in Microsoft Defender per endpoint
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.