Ongewenst gedrag in Microsoft Defender voor Eindpunt aanpakken met uitsluitingen, indicatoren en andere technieken
De primaire functie van Defender voor Eindpunt is het voorkomen en detecteren van toegang tot schadelijke processen en bestanden. Defender voor Eindpunt is ontworpen om personen in uw organisatie te beschermen tegen bedreigingen en tegelijkertijd productief te blijven door standaard beveiligingsinstellingen en -beleid. Soms kan ongewenst gedrag optreden, zoals:
- Fout-positieven: een fout-positief is wanneer een entiteit, zoals een bestand of een proces, is gedetecteerd en geïdentificeerd als schadelijk, ook al is de entiteit geen bedreiging
- Slechte prestaties: toepassingen ondervinden prestatieproblemen wanneer bepaalde functies van Defender voor Eindpunt zijn ingeschakeld
- Incompatibiliteit van toepassingen: toepassingen werken niet goed wanneer bepaalde functies van Defender voor Eindpunt zijn ingeschakeld
In dit artikel wordt beschreven hoe u dit soort ongewenst gedrag kunt aanpakken en bevat enkele voorbeeldscenario's.
Opmerking
Het maken van een indicator of uitsluiting moet alleen worden overwogen nadat u de hoofdoorzaak van het onverwachte gedrag grondig hebt doorgrond.
Ongewenst gedrag aanpakken met Defender voor Eindpunt
Op hoog niveau is het algemene proces voor het aanpakken van ongewenst gedrag in Defender for Endpoint als volgt:
Bepaal welke mogelijkheid het ongewenste gedrag veroorzaakt. U moet weten of er een onjuiste configuratie is met Microsoft Defender Antivirus, eindpuntdetectie en -respons, kwetsbaarheid voor aanvallen verminderen, beheerde maptoegang, enzovoort, in Defender voor Eindpunt. U kunt informatie in de Microsoft Defender portal of op het apparaat gebruiken om uw beslissing te nemen.
Locatie Wat moet u doen? De Microsoft Defender-portal Voer een of meer van de volgende acties uit om te bepalen wat er gebeurt:
- Waarschuwingen onderzoeken
- Geavanceerde opsporing gebruiken
- Rapporten weergevenOp het apparaat Voer een of meer van de volgende stappen uit om het probleem te identificeren:
- Performance Analyzer-hulpprogramma's gebruiken
- Gebeurtenislogboeken en foutcodes controleren
- Uw beveiligingsgeschiedenis controlerenAfhankelijk van uw bevindingen uit de vorige stap, kunt u een of meer van de volgende acties uitvoeren:
- Waarschuwingen onderdrukken in de Microsoft Defender-portal
- Aangepaste herstelacties definiëren
- Een bestand verzenden naar Microsoft voor analyse
- Uitsluitingen definiëren voor Microsoft Defender Antivirus
- Indicatoren maken voor Defender voor Eindpunt
Houd er rekening mee dat manipulatiebeveiliging van invloed is op het wijzigen of toevoegen van uitsluitingen. Zie Wat gebeurt er wanneer manipulatiebeveiliging is ingeschakeld.
Controleer of uw wijzigingen het probleem hebben opgelost.
Voorbeelden van ongewenst gedrag
Deze sectie bevat verschillende voorbeeldscenario's die kunnen worden opgelost met behulp van uitsluitingen en indicatoren. Zie Overzicht van uitsluitingen voor meer informatie over uitsluitingen.
Een app wordt gedetecteerd door Microsoft Defender Antivirus wanneer de toepassing wordt uitgevoerd
In dit scenario wordt wanneer een gebruiker een bepaalde toepassing uitvoert, de toepassing door Microsoft Defender Antivirus gedetecteerd als een potentiële bedreiging.
Adressatie: maak een 'toestaan'-indicator voor Microsoft Defender voor Eindpunt. U kunt bijvoorbeeld een 'toestaan'-indicator maken voor een bestand, zoals een uitvoerbaar bestand. Zie Indicatoren voor bestanden maken.
Een aangepaste, zelfondertekende app wordt gedetecteerd door Microsoft Defender Antivirus wanneer de toepassing wordt uitgevoerd
In dit scenario wordt een aangepaste app door Microsoft Defender Antivirus gedetecteerd als een mogelijke bedreiging. De app wordt periodiek bijgewerkt en is zelfondertekend.
Adresseren: Indicatoren voor toestaan maken voor certificaten of bestanden. Zie de volgende artikelen:
Een aangepaste app opent een set bestandstypen die als schadelijk wordt gedetecteerd wanneer de toepassing wordt uitgevoerd
In dit scenario heeft een aangepaste app toegang tot een set bestandstypen en wordt de set gedetecteerd als schadelijk door Microsoft Defender Antivirus wanneer de toepassing wordt uitgevoerd.
Observeren: wanneer de toepassing wordt uitgevoerd, wordt deze gedetecteerd door Microsoft Defender Antivirus als detectie van gedragscontrole.
Aanpak: definieer uitsluitingen voor Microsoft Defender Antivirus, zoals een uitsluiting van bestanden of paden die jokertekens kunnen bevatten. Of definieer een uitsluiting van een aangepast bestandspad. Zie de volgende artikelen:
- Actie ondernemen voor fout-positieven/-negatieven in Microsoft Defender voor Eindpunt
- Uitsluitingen configureren en valideren op basis van bestandsextensie en maplocatie
Een toepassing wordt gedetecteerd door Microsoft Defender Antivirus als gedragsdetectie
In dit scenario wordt een toepassing gedetecteerd door Microsoft Defender Antivirus vanwege bepaald gedrag, ook al is de toepassing geen bedreiging.
Adressering: Definieer een procesuitsluiting. Zie de volgende artikelen:
- Uitsluitingen configureren en valideren op basis van bestandsextensie en maplocatie
- Uitsluitingen configureren voor bestanden die zijn geopend door processen
Een app wordt beschouwd als een mogelijk ongewenste toepassing (PUA)
In dit scenario wordt een app gedetecteerd als PUA en wilt u toestaan dat deze wordt uitgevoerd.
Oplossing: definieer een uitsluiting voor de app. Zie de volgende artikelen:
- Bestanden uitsluiten van PUA-beveiliging
- Uitsluitingen configureren en valideren op basis van bestandsextensie en maplocatie
Een app kan niet naar een beveiligde map schrijven
In dit scenario kan een legitieme app niet schrijven naar mappen die worden beveiligd door gecontroleerde maptoegang.
Adresinformatie: voeg de app toe aan de lijst 'toegestaan' voor gecontroleerde maptoegang. Zie Specifieke apps toestaan wijzigingen aan te brengen in beheerde mappen.
Een app van derden wordt gedetecteerd als schadelijk door Microsoft Defender Antivirus
In dit scenario wordt een app van derden die geen bedreiging is gedetecteerd en geïdentificeerd als schadelijk door Microsoft Defender Antivirus.
Adresinformatie: verzend de app naar Microsoft voor analyse. Zie Een bestand verzenden naar Microsoft voor analyse.
Een app is onjuist gedetecteerd en geïdentificeerd als schadelijk door Defender voor Eindpunt
In dit scenario wordt een legitieme app gedetecteerd en geïdentificeerd als schadelijk door een regel voor het verminderen van kwetsbaarheid voor aanvallen in Defender voor Eindpunt. Wanneer een gebruiker de app gebruikt, worden de app en alle gedownloade inhoud geblokkeerd door de regel voor het verminderen van kwetsbaarheid voor aanvallen, Zodat JavaScript of VBScript geen gedownloade uitvoerbare inhoud kan starten.
Adresse:
Ga in de Microsoft Defender-portal naar Rapporten. Selecteer onder Rapportende optie Beveiligingsrapport.
Schuif omlaag naar apparaten om uw kwetsbaarheidskaarten voor aanvallen te vinden. Zie het rapport regels voor het verminderen van kwetsbaarheid voor aanvallen voor meer informatie.
Gebruik de informatie om de bestanden en maplocaties te identificeren die moeten worden uitgesloten.
Uitsluitingen toevoegen. Zie Uitsluitingen configureren en valideren op basis van de bestandsextensie en maplocatie.
Word sjablonen die macro's bevatten waarmee andere apps worden gestart, worden geblokkeerd
In dit scenario, wanneer een gebruiker documenten opent die zijn gemaakt met behulp van Microsoft Word sjablonen die macro's bevatten en die macro's andere toepassingen starten, blokkeert de regel voor het verminderen van het kwetsbaarheidsoppervlak Van Win32 blokkeren vanuit Office-macro's Microsoft Word.
Adresse:
Ga in de Microsoft Defender-portal naar Rapporten. Selecteer onder Rapportende optie Beveiligingsrapport.
Schuif omlaag naar apparaten om uw kwetsbaarheidskaarten voor aanvallen te vinden. Zie het rapport regels voor het verminderen van kwetsbaarheid voor aanvallen voor meer informatie.
Gebruik de informatie om de bestanden en maplocaties te identificeren die moeten worden uitgesloten.
Uitsluitingen toevoegen. Zie Uitsluitingen configureren en valideren op basis van de bestandsextensie en maplocatie.