Oversikt over utelatelser
Microsoft Defender for endepunkt og Defender for bedrifter inneholder en rekke funksjoner for å forhindre, oppdage, undersøke og svare på avanserte netttrusler. Microsoft forhåndskonfigurerer produktet slik at det fungerer bra på operativsystemet det er installert. Ingen andre endringer skal være nødvendig. Noen ganger oppstår uventede virkemåter til tross for forhåndskonfigurerte innstillinger. Her er noen eksempler:
- Falske positiver: Filer, mapper eller prosesser som egentlig ikke er en trussel, kan oppdages som skadelige av Defender for Endpoint eller Microsoft Defender Antivirus. Disse enhetene kan blokkeres eller sendes til karantene, selv om de ikke er en trussel.
- Ytelsesproblemer: Systemer opplever en uventet ytelsesinnvirkning når de kjører med Defender for Endpoint
- Programkompatibilitetsproblemer: Programmer opplever uventet virkemåte når de kjører med Defender for Endpoint
Oppretting av en utelatelse er én mulig fremgangsmåte for å løse disse problemtypene. Men ofte er det andre trinn du kan utføre. I tillegg til å gi en oversikt over indikatorer og utelatelser, inneholder denne artikkelen alternativer til å opprette utelatelser og tillate indikatorer.
Obs!
Oppretting av en indikator eller en utelukkelse bør bare vurderes etter grundig forståelse av hovedårsaken til den uventede virkemåten.
Eksempler på problemer og trinn du bør vurdere
| Eksempelscenario | Trinn du bør vurdere |
|---|---|
| Falsk positiv: En enhet, for eksempel en fil eller en prosess, ble oppdaget og identifisert som skadelig, selv om enheten ikke er en trussel. | 1. Se gjennom og klassifiser varsler som ble generert som et resultat av den oppdagede enheten. 2. Undertrykke et varsel for en kjent enhet. 3. Se gjennom utbedringshandlinger som ble utført for den oppdagede enheten. 4. Send den falske positive til Microsoft for analyse. 5. Definer en indikator eller en utelukkelse for enheten (bare om nødvendig). |
|
Ytelsesproblemer , for eksempel ett av følgende problemer: – Et system har høy CPU-bruk eller andre ytelsesproblemer. - Et system har problemer med minnelekkasjen. – Det tar lang tid å laste inn en app på enheter. – En app er treg til å åpne en fil på enheter. |
1. Samle inn diagnosedata for Microsoft Defender Antivirus. 2. Hvis du bruker en antivirusløsning som ikke er fra Microsoft, kontakter du leverandøren for kjente problemer med antivirusprodukter. 3. Se gjennom ytelseslogger (se Feilsøke Microsoft Defender antivirusytelsesproblemer med WPRUI) for å fastslå den estimerte innvirkningen på ytelsen. For ytelsesspesifikke problemer relatert til Microsoft Defender Antivirus, kan du bruke ytelsesanalyse for Microsoft Defender Antivirus. 4. Definer en utelatelse for Microsoft Defender Antivirus (om nødvendig). 5. Opprett en indikator for Defender for endepunkt (bare om nødvendig). |
|
Kompatibilitetsproblemer med antivirusprodukter som ikke er fra Microsoft. Eksempel: Defender for Endpoint er avhengig av sikkerhetsintelligensoppdateringer for enheter, enten de kjører Microsoft Defender Antivirus eller en antivirusløsning som ikke er fra Microsoft. |
1. Hvis du bruker et antivirusprodukt som primær løsning for antivirus-/beskyttelse mot skadelig programvare, angir du Microsoft Defender Antivirus til passiv modus. 2. Hvis du bytter fra en annen løsning for antivirus-/beskyttelse mot skadelig programvare fra Microsoft til Defender for Endpoint, kan du se Bytte til Defender for endepunkt. Denne veiledningen inkluderer: - Unntak du kanskje må definere for løsningen for antivirus-/beskyttelse mot skadelig programvare som ikke er fra Microsoft. - Unntak du kanskje må definere for Microsoft Defender Antivirus, og - Feilsøkingsinformasjon (i tilfelle noe går galt under overføring). |
| Kompatibilitet med programmer. Eksempel: Programmer krasjer eller opplever uventede virkemåter etter at en enhet er pålastet for å Microsoft Defender for endepunkt. |
Se uønsket virkemåte for adresser i Microsoft Defender for endepunkt med utelatelser, indikatorer og andre teknikker. |
Alternativer til å opprette utelatelser og tillate indikatorer
Oppretting av en utelatelse eller en tillatelsesindikator skaper et beskyttelsesgap. Disse teknikkene bør bare brukes etter å ha bestemt hovedårsaken til problemet. Inntil denne beslutningen er gjort, bør du vurdere disse alternativene:
- Send inn en fil til Microsoft for analyse
- Undertrykke et varsel
Sende filer til analyse
Hvis du har en fil som du tror feilaktig oppdages som skadelig programvare (en falsk positiv), eller en fil som du mistenker kan være skadelig programvare selv om den ikke ble oppdaget (en falsk negativ), kan du sende filen til Microsoft for analyse. Innsendingen skannes umiddelbart, og vil deretter bli gjennomgått av Microsofts sikkerhetsanalytikere. Du kan kontrollere statusen for innsendingen på siden for innsendingsloggen.
Innsending av filer til analyse bidrar til å redusere falske positiver og falske negativer for alle kunder. Hvis du vil ha mer informasjon, kan du se følgende artikler:
- Send inn filer for analyse (tilgjengelig for alle kunder)
- Send inn filer ved hjelp av den nye portalen for enhetlige innsendinger i Defender for Endpoint (tilgjengelig for kunder som har Defender for Endpoint Plan 2 eller Microsoft Defender XDR)
Undertrykke varsler
Hvis du får varsler i Microsoft Defender-portalen for verktøy eller prosesser som du vet egentlig ikke er en trussel, kan du undertrykke disse varslene. Hvis du vil undertrykke et varsel, oppretter du en undertrykkingsregel og angir hvilke handlinger som skal utføres for dette på andre, identiske varsler. Du kan opprette regler for undertrykkelse for et bestemt varsel på én enkelt enhet, eller for alle varsler som har samme tittel på tvers av organisasjonen.
Hvis du vil ha mer informasjon, kan du se følgende artikler:
- Undertrykk varsler
- Tech Community Blog: Innføring i den nye opplevelsen for å undertrykke varsler (for Defender for Endpoint)
Typer utelatelser
Det finnes flere ulike typer utelatelser å vurdere. Noen typer utelatelser påvirker flere funksjoner i Defender for Endpoint, mens andre typer er spesifikke for Microsoft Defender Antivirus.
- Egendefinerte unntak: Dette er unntak som du definerer for bestemte brukstilfeller eller scenarioer, og for bestemte operativsystemer, for eksempel Mac, Linux og Windows.
- Forhåndskonfigurerte antivirusutelukker: Dette er utelatelser som du ikke trenger å definere, for eksempel automatiske utelukkelser for serverrolle og innebygde antivirusutelukker. Selv om du ikke trenger å definere disse, er det nyttig å vite hva de er og hvordan de fungerer.
- Utelukkelser for reduksjon av angrepsoverflate: Dette er unntak for å hindre at funksjoner for reduksjon av angrepsoverflater blokkerer legitime programmer som organisasjonen bruker.
- Utelukkelser for automatiseringsmapper: Dette er utelatelser som du definerer for å hindre at automatiserte undersøkelses- og utbedringsfunksjoner gjelder for bestemte filer eller mapper.
- Kontrollerte utelukkelser for mappetilgang: Dette er unntak for å tillate at bestemte apper eller kjørbare filer får tilgang til beskyttede mapper.
- Egendefinerte utbedringshandlinger: Dette er handlinger du angir for Microsoft Defender Antivirus når bestemte typer gjenkjenninger.
Hvis du vil ha informasjon om indikatorer, kan du se Oversikt over indikatorer i Microsoft Defender for endepunkt.
Egendefinerte utelatelser
Microsoft Defender for endepunkt lar deg konfigurere egendefinerte utelatelser for å optimalisere ytelsen og unngå falske positiver. Typene utelatelser du kan angi, varierer avhengig av Defender for Endpoint-funksjoner og operativsystemer.
Tabellen nedenfor oppsummerer typer egendefinerte utelatelser som du kan definere. Legg merke til omfanget for hver utelatelsestype.
| Utelatelsestyper | Omfang | Brukstilfeller |
|---|---|---|
| Utelukkelser for egendefinert Defender for endepunkt | Antivirus Regler for reduksjon av angrepsoverflaten Defender for endepunkt Nettverksbeskyttelse |
En fil, mappe eller prosess identifiseres som skadelig, selv om det ikke er en trussel. Et program støter på uventet ytelse eller programkompatibilitetsproblem når du kjører med Defender for Endpoint |
| Utelukkelser for angrepsoverflatereduksjon for Defender for endepunkt | Regler for reduksjon av angrepsoverflaten | En regel for reduksjon av angrepsoverflaten forårsaker uventet virkemåte. |
| Utelukkelser for automatiseringsmappe for endepunkt for Defender for endepunkt | Automatisert undersøkelse og svar | Automatisert undersøkelse og utbedring utfører handlinger på en fil, filtype eller katalog som skal utføres manuelt. |
| Utelukkelser for kontroll av mappetilgang i Defender for endepunkt | Kontrollert mappetilgang | Kontrollert mappetilgang blokkerer et program fra å få tilgang til en beskyttet mappe. |
| Tillat indikatorer for Defender for endepunktfil og sertifikat | Antivirus Regler for reduksjon av angrepsoverflaten Kontrollert mappetilgang |
En fil eller prosess signert av et sertifikat identifiseres som ondsinnet selv ikke gjennom den. |
| Defender for endepunktdomene/URL-adresse og IP-adresseindikatorer | Nettverksbeskyttelse SmartScreen Filtrering av nettinnhold |
SmartScreen rapporterer en falsk positiv. Du vil overstyre en filtreringsblokk for nettinnhold på et bestemt område. |
Obs!
Nettverksbeskyttelse påvirkes direkte av prosessutelukkelser på alle plattformer. En prosessutelukkelse på enhver OS (Windows, MacOS, Linux) resulterer i å hindre nettverksbeskyttelse fra å undersøke trafikk eller håndheve regler for den bestemte prosessen.
Utelatelser på Mac
For macOS kan du definere utelatelser som gjelder for behovsbetingede skanninger, sanntidsbeskyttelse og overvåking. De støttede utelatelsestypene inkluderer:
- Filtype: Utelat alle filer med en bestemt filtype.
- Fil: Utelat en bestemt fil som identifiseres av den fullstendige banen.
- Mappe: Utelat alle filer under en angitt mappe rekursivt.
- Prosess: Utelat en bestemt prosess og alle filer som åpnes av den.
Hvis du vil ha mer informasjon, kan du se Konfigurere og validere utelatelser for Microsoft Defender for endepunkt på macOS.
Unntak på Linux
På Linux kan du konfigurere både antivirus og globale utelatelser.
- Antivirusutelukker: Bruk på behovsbetingede skanninger, sanntidsbeskyttelse (RTP) og overvåking av virkemåte (BM).
- Globale utelatelser: Gjelder for sanntidsbeskyttelse (RTP), overvåking av virkemåte (BM) og gjenkjenning av endepunkt og respons (EDR), som stopper alle tilknyttede antivirusgjenkjenninger og EDR-varsler.
Hvis du vil ha mer informasjon, kan du se Konfigurere og bekrefte utelatelser for Microsoft Defender for endepunkt på Linux.
Unntak i Windows
Microsoft Defender Antivirus kan konfigureres til å ekskludere kombinasjoner av prosesser, filer og utvidelser fra planlagte skanninger, behovsbetingede skanninger og sanntidsbeskyttelse. Se Konfigurere egendefinerte utelatelser for Microsoft Defender Antivirus.
Hvis du vil ha mer detaljert kontroll som bidrar til å minimere beskyttelseshull, kan du vurdere å bruke kontekstavhengige fil- og prosessutelukkelser.
Forhåndskonfigurerte utelatelser for antivirus
Disse utelatelsestypene er forhåndskonfigurert i Microsoft Defender for endepunkt for Microsoft Defender Antivirus.
| Utelatelsestyper | Konfigurasjon | Beskrivelse |
|---|---|---|
| Automatiske Microsoft Defender antivirusutelukker | Automatisk | Automatiske utelatelser for serverroller og -funksjoner i Windows Server. Når du installerer en rolle på Windows Server 2016 eller nyere, inneholder Microsoft Defender Antivirus automatiske utelukkelser for serverrollen og eventuelle filer som legges til mens du installerer rollen. Disse utelukkelsene gjelder bare for aktive roller på Windows Server 2016 og nyere. |
| Innebygde Microsoft Defender Antivirus-utelatelser | Automatisk | Microsoft Defender Antivirus inneholder innebygde utelatelser for operativsystemfiler i alle versjoner av Windows. |
Automatiske utelukkelser for serverrolle
Automatiske utelukkelser for serverrolle inkluderer utelukkelser for serverroller og funksjoner i Windows Server 2016 og nyere. Disse utelukkelsene skannes ikke av sanntidsbeskyttelse, men er fremdeles underlagt raske, fullstendige eller behovsbetingede antivirusskanninger.
Eksempler inkluderer:
- File Replication Service (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- DNS-server
- Utskriftsserver
- Webserver
- Windows Server Update Services
- ... og mer.
Obs!
Automatiske utelatelser for serverroller støttes ikke på Windows Server 2012 R2. For servere som kjører Windows Server 2012 R2 med serverrollen Active Directory Domain Services (AD DS) installert, må utelukkelser for domenekontrollere angis manuelt. Se Active Directory-utelatelser.
Hvis du vil ha mer informasjon, kan du se Utelukkelser for automatisk serverrolle.
Innebygde antivirusutelukkelser
Innebygde antivirusutelukker inkluderer visse operativsystemfiler som er utelatt av Microsoft Defender Antivirus i alle versjoner av Windows (inkludert Windows 10, Windows 11 og Windows Server).
Eksempler inkluderer:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%allusersprofile%\NTUser.pol- Windows Update filer
- Windows Sikkerhet filer
- ... og mer.
Listen over innebygde utelatelser i Windows holdes oppdatert når trussellandskapet endres. Hvis du vil ha mer informasjon om disse utelukkelsene, kan du se Microsoft Defender Antivirus-utelukkelser på Windows Server: Innebygde utelatelser.
Utelukkelser for reduksjon av angrepsoverflate
Regler for reduksjon av angrepsoverflater (også kjent som ASR-regler) retter seg mot visse programvarevirkemåter, for eksempel:
- Starter kjørbare filer og skript som prøver å laste ned eller kjøre filer
- Kjører skript som ser ut til å være obfuscated eller på annen måte mistenkelig
- Utføre virkemåter som apper vanligvis ikke starter under vanlig daglig arbeid
Noen ganger viser legitime programmer programvareatferd som kan blokkeres av regler for reduksjon av angrepsoverflater. Hvis dette skjer i organisasjonen, kan du definere utelatelser for bestemte filer og mapper. Slike utelukkelser brukes på alle regler for reduksjon av angrepsoverflaten. Se Aktiver regler for reduksjon av angrepsoverflate.
Obs!
Regler for reduksjon av angrepsoverflate overholder prosessutelukkingsregler, men ikke alle regler for reduksjon av angrepsoverflater overholder Microsoft Defender Antivirus-utelukkelser. Se referanse til regler for reduksjon av angrepsoverflaten – Microsoft Defender Antivirus-utelukkelser og ASR-regler.
Utelukkelser for automatiseringsmappe
Utelukkelser for automatiseringsmapper gjelder for automatisert undersøkelse og utbedring i Defender for Endpoint, som er utformet for å undersøke varsler og iverksette umiddelbare tiltak for å løse oppdagede brudd. Når varsler utløses, og en automatisert undersøkelse kjøres, er en dom (Ondsinnet, Mistenkelig eller Ingen trusler funnet) nådd for hvert bevis som undersøkes. Avhengig av automatiseringsnivået og andre sikkerhetsinnstillinger, kan utbedringshandlinger skje automatisk eller bare ved godkjenning av sikkerhetsoperasjonsteamet.
Du kan angi mapper, filtyper i en bestemt katalog og filnavn som skal utelukkes fra automatisert undersøkelse og utbedringsfunksjoner. Slike utelukkelser for automatiseringsmapper gjelder for alle enheter som er innebygd i Defender for endepunkt. Disse utelukkelsene er fremdeles underlagt antivirusskanninger.
Hvis du vil ha mer informasjon, kan du se Behandle utelukkelser for automatiseringsmapper.
Kontrollert tilgangsutelukkelse for mappe
Kontrollert mappetilgang overvåker apper for aktiviteter som oppdages som skadelige og beskytter innholdet i bestemte (beskyttede) mapper på Windows-enheter. Kontrollert mappetilgang gir bare klarerte apper tilgang til beskyttede mapper, for eksempel vanlige systemmapper (inkludert oppstartssektorer) og andre mapper du angir. Du kan tillate at bestemte apper eller signerte kjørbare filer får tilgang til beskyttede mapper ved å definere utelatelser.
Hvis du vil ha mer informasjon, kan du se Tilpasse kontrollert mappetilgang.
Egendefinerte utbedringshandlinger
Når Microsoft Defender Antivirus oppdager en potensiell trussel mens du kjører en skanning, forsøker den å utbedre eller fjerne den oppdagede trusselen. Du kan definere egendefinerte utbedringshandlinger for å konfigurere hvordan Microsoft Defender Antivirus skal håndtere visse trusler, om et gjenopprettingspunkt skal opprettes før utbedring, og når trusler skal fjernes.
Hvis du vil ha mer informasjon, kan du se Konfigurere utbedringshandlinger for Microsoft Defender antivirusregistreringer.
Slik evalueres utelatelser og indikatorer
De fleste organisasjoner har flere ulike typer utelatelser og indikatorer for å avgjøre om brukere skal kunne få tilgang til og bruke en fil eller prosess. Utelukkelser og indikatorer behandles i en bestemt rekkefølge, slik at politiske konflikter håndteres systematisk.
Slik fungerer det:
Hvis en oppdaget fil/prosess ikke er tillatt av Windows Defender Application Control og AppLocker, blokkeres den. Ellers fortsetter den til Microsoft Defender Antivirus.
Hvis den oppdagede filen/prosessen ikke er en del av en utelukkelse for Microsoft Defender Antivirus, blokkeres den. Ellers ser Defender for Endpoint etter en egendefinert indikator for filen/prosessen.
Hvis den registrerte filen/prosessen har en blokk- eller advarselsindikator, utføres denne handlingen. Ellers er filen/prosessen tillatt, og fortsetter evalueringen av regler for reduksjon av angrepsoverflaten, kontrollert mappetilgang og SmartScreen-beskyttelse.
Hvis den oppdagede filen/prosessen ikke blokkeres av regler for reduksjon av angrepsoverflaten, kontrollert mappetilgang eller SmartScreen-beskyttelse, fortsetter den til Microsoft Defender Antivirus.
Hvis den registrerte filen/prosessen ikke er tillatt av Microsoft Defender Antivirus, kontrolleres den for en handling basert på trussel-ID-en.
Slik håndteres policykonflikter
I tilfeller der Indikatorer for Defender for Endpoint er i konflikt, kan du se hva du kan forvente:
Hvis det finnes motstridende filindikatorer, brukes indikatoren som bruker den sikreste hash-koden. SHA256 har for eksempel forrang over SHA-1, som har prioritet over MD5.
Hvis det finnes indikatorer for motstridende nettadresser, brukes den strengere indikatoren. For Microsoft Defender SmartScreen brukes en indikator som bruker den lengste URL-banen. For eksempel har
www.dom.ain/admin/prioritet overwww.dom.ain. (Nettverksbeskyttelse gjelder for domener i stedet for undersider i et domene.)Hvis det finnes lignende indikatorer for en fil eller prosess som har forskjellige handlinger, har indikatoren som er begrenset til en bestemt enhetsgruppe, forrang over en indikator som er rettet mot alle enheter.
Slik fungerer automatisert undersøkelse og utbedring med indikatorer
Automatiserte undersøkelses- og utbedringsfunksjoner i Defender for Endpoint bestemmer først en dom for hvert bevis, og deretter utfører du en handling avhengig av Defender for endepunktindikatorer. Dermed kan en fil/prosess få en dom av "god" (noe som betyr at ingen trusler ble funnet) og fortsatt bli blokkert hvis det er en indikator med denne handlingen. På samme måte kan en enhet få en dom av "dårlig" (noe som betyr at den er fast bestemt på å være ondsinnet) og fortsatt være tillatt hvis det er en indikator med denne handlingen.
Hvis du vil ha mer informasjon, kan du se automatisert undersøkelse og utbedring og indikatorer.
Andre serverarbeidsbelastninger og utelatelser
Hvis organisasjonen bruker andre serverarbeidsbelastninger, for eksempel Exchange Server, SharePoint Server eller SQL Server, må du huske på at bare innebygde serverroller (som kan være forutsetninger for programvare du installerer senere) på Windows Server utelukkes av funksjonen for automatisk serverrolleutelukkelse (og bare når du bruker standard installasjonsplassering). Du må sannsynligvis definere antivirusutelukkelser for disse andre arbeidsbelastningene, eller for alle arbeidsbelastninger hvis du deaktiverer automatiske utelatelser.
Her er noen eksempler på teknisk dokumentasjon for å identifisere og implementere unntakene du trenger:
- Kjører antivirusprogramvare på Exchange Server
- Mapper som skal utelates fra antivirusskanninger på SharePoint Server
- Velge antivirusprogram for SQL Server
Avhengig av hva du bruker, må du kanskje referere til dokumentasjonen for denne serverarbeidsbelastningen.
Se også
- Adresser vanlige falske positive scenarier med utelatelser
- Konfigurere utelatelser for Microsoft Defender Antivirus
- Vanlige feil du bør unngå når du definerer utelatelser
- Oversikt over indikatorer i Microsoft Defender for endepunkt
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.