Adressere uønskede virkemåter i Microsoft Defender for endepunkt med utelatelser, indikatorer og andre teknikker

Den primære funksjonen til Defender for Endpoint er å forhindre og oppdage tilgang til skadelige prosesser og filer. Defender for Endpoint er utformet slik at personer i organisasjonen kan beskyttes mot trusler samtidig som de er produktive som standard sikkerhetsinnstillinger og -policyer. Av og til kan det oppstå uønskede virkemåter, for eksempel:

• Falske positiver: En falsk positiv er når en enhet, for eksempel en fil eller en prosess, ble oppdaget og identifisert som skadelig, selv om enheten ikke er en trussel
• Dårlig ytelse: Programmer opplever ytelsesproblemer når enkelte funksjoner i Defender for Endpoint er aktivert
• Programinkompatibilitet: Programmer fungerer ikke som de skal når enkelte funksjoner i Defender for Endpoint er aktivert

Denne artikkelen beskriver hvordan du løser disse typene uønskede virkemåter og inkluderer noen eksempler på scenarioer.

Obs!

Oppretting av en indikator eller en utelukkelse bør bare vurderes etter grundig forståelse av hovedårsaken til den uventede virkemåten.

Slik løser du uønskede virkemåter med Defender for Endpoint

På et høyt nivå er den generelle prosessen for å håndtere en uønsket virkemåte i Defender for endepunkt som følger:

1. Identifiser hvilken funksjon som forårsaker den uønskede virkemåten. Du må vite om det er feil konfigurasjon med Microsoft Defender Antivirus, endepunktregistrering og respons, reduksjon av angrepsoverflate, kontrollert mappetilgang og så videre, i Defender for Endpoint. Du kan bruke informasjonen i Microsoft Defender-portalen eller på enheten til å bestemme deg.

   Plassering	Hva du må gjøre
   Microsoft Defender-portalen	Utfør én eller flere av følgende handlinger for å identifisere hva som skjer: - Undersøke varsler - Bruk avansert jakt - Vis rapporter
   På enheten	Gjør ett eller flere av følgende trinn for å identifisere problemet: - Bruk verktøy for ytelsesanalyse - Se gjennom hendelseslogger og feilkoder - Kontroller beskyttelsesloggen

2. Avhengig av resultatene fra forrige trinn, kan du utføre én eller flere av følgende handlinger:

   • Undertrykk varsler i Microsoft Defender-portalen
   • Definer egendefinerte utbedringshandlinger
   • Send inn en fil til Microsoft for analyse
   • Definer utelatelser for Microsoft Defender Antivirus
   • Opprett indikatorer for Defender for endepunkt

   Husk at manipuleringsbeskyttelse påvirker om utelatelser kan endres eller legges til. Se hva som skjer når manipuleringsbeskyttelse er aktivert.

3. Kontroller at endringene har løst problemet.

Eksempler på uønsket atferd

Denne delen inneholder flere eksempelscenarioer som kan løses ved hjelp av utelatelser og indikatorer. Hvis du vil ha mer informasjon om utelatelser, kan du se Oversikt over utelatelser.

En app oppdages av Microsoft Defender Antivirus når programmet kjører

I dette scenarioet, når en bruker kjører et bestemt program, oppdages programmet av Microsoft Defender Antivirus som en potensiell trussel.

Slik adresserer du: Opprett en «tillat»-indikator for Microsoft Defender for endepunkt. Du kan for eksempel opprette en «tillat»-indikator for en fil, for eksempel en kjørbar fil. Se Opprette indikatorer for filer.

En egendefinert, selvsignert app oppdages av Microsoft Defender Antivirus når programmet kjører

I dette scenarioet oppdages en egendefinert app av Microsoft Defender Antivirus som en potensiell trussel. Appen oppdateres regelmessig og er selvsignert.

Slik adresserer du: Opprett «tillat»-indikatorer for sertifikater eller filer. Se følgende artikler:

• Opprette indikatorer basert på sertifikater
• Opprette indikatorer for filer

En egendefinert app får tilgang til et sett med filtyper som oppdages som skadelige når programmet kjører

I dette scenarioet får en egendefinert app tilgang til en angitt filtype, og settet oppdages som skadelig av Microsoft Defender Antivirus når programmet kjøres.

Slik observerer du: Når programmet kjører, oppdages det av Microsoft Defender Antivirus som en gjenkjenning av virkemåteovervåking.

Fremgangsmåte: Definer utelatelser for Microsoft Defender Antivirus, for eksempel en fil- eller baneutelukkelse som kan inneholde jokertegn. Eller definer en utelukkelse av egendefinert filbane. Se følgende artikler:

• Adresser falske positiver/negativer i Microsoft Defender for endepunkt
• Konfigurere og validere utelatelser basert på filtype og mappeplassering

Et program oppdages av Microsoft Defender Antivirus som en «virkemåte»-gjenkjenning

I dette scenarioet oppdages et program av Microsoft Defender Antivirus på grunn av visse virkemåter, selv om programmet ikke er en trussel.

Slik adresserer du: Definer en prosessutelukkelse. Se følgende artikler:

• Konfigurere og validere utelatelser basert på filtype og mappeplassering
• Konfigurere utelatelser for filer som åpnes av prosesser

En app regnes som et potensielt uønsket program (PUA)

I dette scenarioet oppdages en app som PUA, og du vil tillate at den kjører.

Slik adresserer du: Definer en utelatelse for appen. Se følgende artikler:

• Utelat filer fra PUA-beskyttelse
• Konfigurere og validere utelatelser basert på filtype og mappeplassering

En app er blokkert fra å skrive til en beskyttet mappe

I dette scenarioet blokkeres en legitim app fra å skrive til mapper som er beskyttet av kontrollert mappetilgang.

Slik adresserer du: Legg til appen i «tillatt»-listen for kontrollert mappetilgang. Se Tillat bestemte apper å gjøre endringer i kontrollerte mapper.

En tredjepartsapp oppdages som skadelig av Microsoft Defender Antivirus

I dette scenarioet oppdages og identifiseres en tredjepartsapp som ikke er en trussel, som er skadelig av Microsoft Defender Antivirus.

Slik adresserer du: Send inn appen til Microsoft for analyse. Se Hvordan du sender inn en fil til Microsoft for analyse.

En app blir feilaktig oppdaget og identifisert som skadelig av Defender for Endpoint

I dette scenarioet oppdages og identifiseres en legitim app som er skadelig av en regel for reduksjon av angrepsoverflaten i Defender for Endpoint. Når en bruker bruker appen, blokkeres appen og alt nedlastet innhold av regelen for reduksjon av angrepsoverflaten, Blokker JavaScript eller VBScript fra å starte nedlastet kjørbart innhold.

Slik adresserer du:

1. Gå til Rapporteri Microsoft Defender-portalen. Velg Sikkerhetsrapport under Rapporter.

2. Rull ned til enheter for å finne kortene for reduksjon av angrepsoverflaten. Hvis du vil ha mer informasjon, kan du se rapporten over regler for reduksjon av angrepsoverflater.

3. Bruk informasjonen til å identifisere filene og mappeplasseringene som skal utelates.

4. Legg til utelatelser. Se Konfigurere og validere utelatelser basert på filtype og mappeplassering.

Word maler som inneholder makroer som starter andre apper, blokkeres

I dette scenarioet, når en bruker åpner dokumenter som ble opprettet ved hjelp av Microsoft Word-maler som inneholder makroer, og disse makroene starter andre programmer, blokkerer angrepsoverflatereduksjonsregelen Blokker Win32-API-kall fra Office-makroer Microsoft Word.

Slik adresserer du:

1. Gå til Rapporteri Microsoft Defender-portalen. Velg Sikkerhetsrapport under Rapporter.

2. Rull ned til enheter for å finne kortene for reduksjon av angrepsoverflaten. Hvis du vil ha mer informasjon, kan du se rapporten over regler for reduksjon av angrepsoverflater.

3. Bruk informasjonen til å identifisere filene og mappeplasseringene som skal utelates.

4. Legg til utelatelser. Se Konfigurere og validere utelatelser basert på filtype og mappeplassering.

Se også

• Oversikt over utelatelser
• Referanse for behandling av utelatelser