Overzicht van uitsluitingen
Microsoft Defender voor Eindpunt en Defender voor Bedrijven bevat een breed scala aan mogelijkheden om geavanceerde cyberdreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. Microsoft configureert het product vooraf om goed te presteren op het besturingssysteem dat is geïnstalleerd. Er zijn geen andere wijzigingen nodig. Ondanks vooraf geconfigureerde instellingen treden soms onverwacht gedrag op. Dit zijn enkele voorbeelden:
- Fout-positieven: Bestanden, mappen of processen die geen bedreiging vormen, kunnen als schadelijk worden gedetecteerd door Defender voor Eindpunt of Microsoft Defender Antivirus. Deze entiteiten kunnen worden geblokkeerd of in quarantaine worden geplaatst, ook al vormen ze geen bedreiging.
- Prestatieproblemen: systemen ondervinden een onverwachte impact op de prestaties wanneer ze worden uitgevoerd met Defender voor Eindpunt
- Compatibiliteitsproblemen met toepassingen: toepassingen ondervinden onverwacht gedrag bij uitvoering met Defender voor Eindpunt
Het maken van een uitsluiting is een mogelijke aanpak voor het oplossen van dit soort problemen. Maar vaak zijn er andere stappen die u kunt nemen. Naast een overzicht van indicatoren en uitzonderingen bevat dit artikel alternatieven voor het maken van uitsluitingen en indicatoren voor toestaan.
Opmerking
Het maken van een indicator of uitsluiting moet alleen worden overwogen nadat u de hoofdoorzaak van het onverwachte gedrag grondig hebt doorgrond.
Voorbeelden van problemen en stappen die u moet overwegen
| Voorbeeldscenario's | Te overwegen stappen |
|---|---|
| Fout-positief: een entiteit, zoals een bestand of een proces, is gedetecteerd en geïdentificeerd als schadelijk, ook al is de entiteit geen bedreiging. | 1. Controleer en classificeer waarschuwingen die zijn gegenereerd als gevolg van de gedetecteerde entiteit. 2. Een waarschuwing voor een bekende entiteit onderdrukken. 3. Bekijk herstelacties die zijn uitgevoerd voor de gedetecteerde entiteit. 4. Verzend de fout-positieve naar Microsoft voor analyse. 5. Definieer een indicator of een uitsluiting voor de entiteit (alleen indien nodig). |
|
Prestatieproblemen , zoals een van de volgende problemen: - Een systeem heeft een hoog CPU-gebruik of andere prestatieproblemen. - Een systeem heeft problemen met geheugenlekken. - Een app wordt traag geladen op apparaten. - Een app is traag om een bestand op apparaten te openen. |
1. Verzamel diagnostische gegevens voor Microsoft Defender Antivirus. 2. Als u een niet-Microsoft-antivirusoplossing gebruikt, neem dan contact op met de leverancier om te zien of er bekende problemen zijn met antivirusproducten. 3. Analyseer het Microsoft-beveiligingslogboek om de geschatte impact op de prestaties te zien. Gebruik prestatieanalyse voor Microsoft Defender Antivirus voor prestatiespecifieke problemen met betrekking tot Microsoft Defender Antivirus. 4. Definieer een uitsluiting voor Microsoft Defender Antivirus (indien nodig). 5. Maak een indicator voor Defender voor Eindpunt (alleen indien nodig). |
|
Compatibiliteitsproblemen met niet-Microsoft-antivirusproducten. Voorbeeld: Defender voor Eindpunt is afhankelijk van updates van beveiligingsinformatie voor apparaten, of ze nu Microsoft Defender Antivirus of een niet-Microsoft-antivirusoplossing uitvoeren. |
1. Als u een niet-Microsoft-antivirusproduct gebruikt als uw primaire antivirus-/antimalwareoplossing, stelt u Microsoft Defender Antivirus in op passieve modus. 2. Als u overstapt van een niet-Microsoft-antivirus-/antimalwareoplossing naar Defender voor Eindpunt, raadpleegt u Overstappen naar Defender voor Eindpunt. Deze richtlijnen omvatten: - Uitsluitingen die u mogelijk moet definiëren voor de antivirus-/antimalwareoplossing die niet van Microsoft is; - Uitsluitingen die u mogelijk moet definiëren voor Microsoft Defender Antivirus; en - Informatie over het oplossen van problemen (voor het geval er iets misgaat tijdens de migratie). |
| Compatibiliteit met toepassingen. Voorbeeld: Toepassingen lopen vast of ondervinden onverwacht gedrag nadat een apparaat is onboarding uitgevoerd op Microsoft Defender voor Eindpunt. |
Zie Ongewenst gedrag in Microsoft Defender voor Eindpunt aanpakken met uitsluitingen, indicatoren en andere technieken. |
Alternatieven voor het maken van uitsluitingen en indicatoren voor toestaan
Als u een uitsluiting of een indicator voor toestaan maakt, ontstaat er een beveiligingskloof. Deze technieken mogen alleen worden gebruikt nadat de hoofdoorzaak van het probleem is vastgesteld. Totdat deze beslissing is genomen, moet u de volgende alternatieven overwegen:
- Een bestand verzenden naar Microsoft voor analyse
- Een waarschuwing onderdrukken
Bestanden verzenden voor analyse
Als u een bestand hebt dat volgens u ten onrechte is gedetecteerd als malware (een fout-positief), of als u vermoedt dat het malware is, hoewel het niet is gedetecteerd (een fout-negatief), kunt u het bestand voor analyse naar Microsoft verzenden. Uw inzending wordt onmiddellijk gescand en wordt vervolgens beoordeeld door microsoft-beveiligingsanalisten. U kunt de status van uw inzending controleren op de pagina met de inzendingsgeschiedenis.
Het indienen van bestanden voor analyse helpt fout-positieven en fout-negatieven voor alle klanten te verminderen. Zie de volgende artikelen voor meer informatie:
- Bestanden verzenden voor analyse (beschikbaar voor alle klanten)
- Bestanden verzenden met behulp van de nieuwe portal voor geïntegreerde inzendingen in Defender voor Eindpunt (beschikbaar voor klanten met Defender voor Eindpunt-abonnement 2 of Microsoft Defender XDR)
Waarschuwingen onderdrukken
Als u waarschuwingen ontvangt in de Microsoft Defender portal voor hulpprogramma's of processen die niet echt een bedreiging vormen, kunt u deze waarschuwingen onderdrukken. Als u een waarschuwing wilt onderdrukken, maakt u een onderdrukkingsregel en geeft u op welke acties hiervoor moeten worden uitgevoerd op andere, identieke waarschuwingen. U kunt onderdrukkingsregels maken voor een specifieke waarschuwing op één apparaat of voor alle waarschuwingen met dezelfde titel in uw organisatie.
Zie de volgende artikelen voor meer informatie:
- Waarschuwingen onderdrukken
- Tech Community-blog: Introductie van de nieuwe ervaring voor het onderdrukken van waarschuwingen (voor Defender voor Eindpunt)
Typen uitsluitingen
Er zijn verschillende soorten uitsluitingen die u kunt overwegen. Sommige typen uitsluitingen zijn van invloed op meerdere mogelijkheden in Defender voor Eindpunt, terwijl andere typen specifiek zijn voor Microsoft Defender Antivirus.
- Aangepaste uitsluitingen: dit zijn uitsluitingen die u definieert voor specifieke gebruiksscenario's of scenario's, en voor bepaalde besturingssystemen, zoals Mac, Linux en Windows.
- Vooraf geconfigureerde antivirusuitsluitingen: dit zijn uitsluitingen die u niet hoeft te definiëren, zoals automatische uitsluitingen van serverfuncties en ingebouwde antivirusuitsluitingen. Hoewel u deze niet hoeft te definiëren, is het handig om te weten wat ze zijn en hoe ze werken.
- Uitsluitingen voor kwetsbaarheid voor aanvallen verminderen: dit zijn uitsluitingen om te voorkomen dat mogelijkheden voor het verminderen van kwetsbaarheid voor aanvallen legitieme toepassingen blokkeren die mogelijk door uw organisatie worden gebruikt.
- Uitsluitingen van Automation-mappen: dit zijn uitsluitingen die u definieert om te voorkomen dat geautomatiseerd onderzoek en herstelmogelijkheden worden toegepast op specifieke bestanden of mappen.
- Uitsluitingen voor gecontroleerde maptoegang: dit zijn uitsluitingen om bepaalde apps of uitvoerbare bestanden toegang te geven tot beveiligde mappen.
- Aangepaste herstelacties: dit zijn acties die u opgeeft voor Microsoft Defender Antivirus bij bepaalde typen detecties.
Zie Overzicht van indicatoren in Microsoft Defender voor Eindpunt voor informatie over indicatoren.
Aangepaste uitsluitingen
met Microsoft Defender voor Eindpunt kunt u aangepaste uitsluitingen configureren om de prestaties te optimaliseren en fout-positieven te voorkomen. De typen uitsluitingen die u kunt instellen, variëren per Defender voor Eindpunt-mogelijkheden en per besturingssystemen.
De volgende tabel bevat een overzicht van de typen aangepaste uitsluitingen die u kunt definiëren. Noteer het bereik voor elk uitsluitingstype.
| Uitsluitingstypen | Bereik | Gebruiksvoorbeelden |
|---|---|---|
| Aangepaste defender voor eindpuntuitsluitingen | Antivirus Regels voor het verminderen van kwetsbaarheid voor aanvallen Defender voor Eindpunt Netwerkbeveiliging |
Een bestand, map of proces wordt geïdentificeerd als schadelijk, ook al is het geen bedreiging. Een toepassing ondervindt onverwachte prestatie- of toepassingscompatibiliteitsproblemen wanneer deze wordt uitgevoerd met Defender voor Eindpunt |
| Defender voor Eindpunt kwetsbaarheid voor het verminderen van uitsluitingen van aanvallen | Regels voor het verminderen van kwetsbaarheid voor aanvallen | Een regel voor het verminderen van kwetsbaarheid voor aanvallen veroorzaakt onverwacht gedrag. |
| Uitsluitingen van defender voor eindpuntautomatiseringsmappen | Geautomatiseerd onderzoek en reactie | Geautomatiseerd onderzoek en herstel ondernemen actie op een bestand, extensie of map die handmatig moet worden uitgevoerd. |
| Toegangsuitsluitingen voor beheerde mappen in Defender voor Eindpunt | Gecontroleerde mappentoegang | Gecontroleerde maptoegang blokkeert dat een toepassing toegang heeft tot een beveiligde map. |
| Indicatoren voor bestand en certificaat toestaan voor Defender for Endpoint | Antivirus Regels voor het verminderen van kwetsbaarheid voor aanvallen Gecontroleerde mappentoegang |
Een bestand of proces dat door een certificaat is ondertekend, wordt zelfs als schadelijk geïdentificeerd. |
| Indicatoren voor domein/URL en IP-adres van Defender voor Eindpunt | Netwerkbeveiliging SmartScreen Webinhoud filteren |
SmartScreen meldt een fout-positief. U wilt een filterblok voor webinhoud op een specifieke site overschrijven. |
Opmerking
Netwerkbeveiliging wordt rechtstreeks beïnvloed door procesuitsluitingen op alle platforms. Een procesuitsluiting op een besturingssysteem (Windows, MacOS, Linux) zorgt ervoor dat netwerkbeveiliging verkeer niet kan inspecteren of regels afdwingt voor dat specifieke proces.
Uitsluitingen op Mac
Voor macOS kunt u uitsluitingen definiëren die van toepassing zijn op scans op aanvraag, realtime-beveiliging en bewaking. De ondersteunde uitsluitingstypen zijn onder andere:
- Bestandsextensie: sluit alle bestanden met een specifieke extensie uit.
- Bestand: sluit een specifiek bestand uit dat wordt geïdentificeerd door het volledige pad.
- Map: sluit alle bestanden onder een opgegeven map recursief uit.
- Proces: sluit een specifiek proces en alle bestanden uit die hierdoor worden geopend.
Zie Uitsluitingen configureren en valideren voor Microsoft Defender voor Eindpunt in macOS voor meer informatie.
Uitsluitingen in Linux
In Linux kunt u zowel antivirus- als globale uitsluitingen configureren.
- Antivirusuitsluitingen: van toepassing op scans op aanvraag, realtime beveiliging (RTP) en gedragscontrole (BM).
- Wereldwijde uitsluitingen: van toepassing op realtime-beveiliging (RTP), gedragscontrole (BM) en eindpuntdetectie en -respons (EDR), en alle bijbehorende antivirusdetecties en EDR-waarschuwingen stoppen.
Zie Uitsluitingen configureren en valideren voor Microsoft Defender voor Eindpunt op Linux voor meer informatie.
Uitsluitingen in Windows
Microsoft Defender Antivirus kan worden geconfigureerd om combinaties van processen, bestanden en extensies uit te sluiten van geplande scans, scans op aanvraag en realtime-beveiliging. Zie Aangepaste uitsluitingen configureren voor Microsoft Defender Antivirus.
Voor gedetailleerdere controle waarmee u beveiligingsproblemen kunt minimaliseren, kunt u overwegen om contextuele bestands- en procesuitsluitingen te gebruiken.
Vooraf geconfigureerde uitsluitingen voor antivirus
Deze uitsluitingstypen zijn vooraf geconfigureerd in Microsoft Defender voor Eindpunt voor Microsoft Defender Antivirus.
| Uitsluitingstypen | Configuratie | Beschrijving |
|---|---|---|
| Automatische Microsoft Defender Antivirus-uitsluitingen | Automatisch | Automatische uitsluitingen voor serverfuncties en -onderdelen in Windows Server. Wanneer u een rol installeert op Windows Server 2016 of hoger, bevat Microsoft Defender Antivirus automatische uitsluitingen voor de serverfunctie en bestanden die worden toegevoegd tijdens het installeren van de rol. Deze uitsluitingen zijn alleen voor actieve rollen op Windows Server 2016 en hoger. |
| Ingebouwde Microsoft Defender Antivirus-uitsluitingen | Automatisch | Microsoft Defender Antivirus bevat ingebouwde uitsluitingen voor besturingssysteembestanden in alle versies van Windows. |
Automatische uitsluitingen van serverfuncties
Automatische uitsluitingen van serverfuncties omvatten uitsluitingen voor serverfuncties en -functies in Windows Server 2016 en hoger. Deze uitsluitingen worden niet gescand door realtime-beveiliging , maar zijn nog steeds onderhevig aan snelle, volledige of on-demand antivirusscans.
Voorbeelden zijn:
- File Replication Service (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- DNS-server
- Afdrukserver
- Webserver
- Windows Server Update Services
- ... en meer.
Opmerking
Automatische uitsluitingen voor serverfuncties worden niet ondersteund op Windows Server 2012 R2. Voor servers met Windows Server 2012 R2 waarop de Active Directory Domain Services (AD DS)-serverfunctie is geïnstalleerd, moeten uitsluitingen voor domeincontrollers handmatig worden opgegeven. Zie Active Directory-uitsluitingen.
Zie Automatische uitsluitingen van serverfuncties voor meer informatie.
Ingebouwde antivirusuitsluitingen
Ingebouwde antivirusuitsluitingen omvatten bepaalde besturingssysteembestanden die worden uitgesloten door Microsoft Defender Antivirus in alle versies van Windows (inclusief Windows 10, Windows 11 en Windows Server).
Voorbeelden zijn:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%allusersprofile%\NTUser.pol- Windows Update bestanden
- Windows-beveiliging bestanden
- ... en meer.
De lijst met ingebouwde uitsluitingen in Windows wordt bijgewerkt naarmate het bedreigingslandschap verandert. Zie Microsoft Defender Antivirusuitsluitingen op Windows Server: ingebouwde uitsluitingen voor meer informatie over deze uitsluitingen.
Uitsluitingen voor kwetsbaarheid voor aanvallen verminderen
Regels voor het verminderen van kwetsbaarheid voor aanvallen (ook wel bekend als ASR-regels) zijn gericht op bepaald softwaregedrag, zoals:
- Uitvoerbare bestanden en scripts starten die proberen bestanden te downloaden of uit te voeren
- Scripts uitvoeren die verborgen of anderszins verdacht lijken te zijn
- Gedrag uitvoeren dat apps meestal niet initiëren tijdens normaal dagelijks werk
Soms vertonen legitieme toepassingen softwaregedrag dat kan worden geblokkeerd door regels voor het verminderen van kwetsbaarheid voor aanvallen. Als dat gebeurt in uw organisatie, kunt u uitsluitingen definiëren voor bepaalde bestanden en mappen. Dergelijke uitsluitingen worden toegepast op alle regels voor het verminderen van kwetsbaarheid voor aanvallen. Zie Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen.
Opmerking
Regels voor het verminderen van kwetsbaarheid voor aanvallen honoreert procesuitsluitingen, maar niet alle regels voor het verminderen van kwetsbaarheid voor aanvallen komen na Microsoft Defender Antivirus-uitsluitingen. Zie Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen - Microsoft Defender Antivirusuitsluitingen en ASR-regels.
Uitsluitingen van Automation-mappen
Uitsluitingen van Automation-mappen zijn van toepassing op geautomatiseerd onderzoek en herstel in Defender for Endpoint, dat is ontworpen om waarschuwingen te onderzoeken en onmiddellijk actie te ondernemen om gedetecteerde schendingen op te lossen. Wanneer waarschuwingen worden geactiveerd en een geautomatiseerd onderzoek wordt uitgevoerd, wordt er een vonnis (Schadelijk, Verdacht of Geen bedreigingen gevonden) bereikt voor elk onderzocht bewijs. Afhankelijk van het automatiseringsniveau en andere beveiligingsinstellingen kunnen herstelacties automatisch of alleen na goedkeuring door uw beveiligingsteam worden uitgevoerd.
U kunt mappen, bestandsextensies in een specifieke map en bestandsnamen opgeven die moeten worden uitgesloten van mogelijkheden voor geautomatiseerd onderzoek en herstel. Dergelijke uitsluitingen van automatiseringsmappen zijn van toepassing op alle apparaten die zijn toegevoegd aan Defender for Endpoint. Deze uitsluitingen zijn nog steeds onderhevig aan antivirusscans.
Zie Uitsluitingen van automatiseringsmappen beheren voor meer informatie.
Uitsluitingen voor gecontroleerde maptoegang
Gecontroleerde maptoegang bewaakt apps op activiteiten die worden gedetecteerd als schadelijk en beveiligt de inhoud van bepaalde (beveiligde) mappen op Windows-apparaten. Met gecontroleerde maptoegang hebben alleen vertrouwde apps toegang tot beveiligde mappen, zoals algemene systeemmappen (inclusief opstartsectoren) en andere mappen die u opgeeft. U kunt bepaalde apps of ondertekende uitvoerbare bestanden toegang geven tot beveiligde mappen door uitsluitingen te definiëren.
Zie Beheerde maptoegang aanpassen voor meer informatie.
Aangepaste herstelacties
Wanneer Microsoft Defender Antivirus een potentiële bedreiging detecteert tijdens het uitvoeren van een scan, wordt geprobeerd de gedetecteerde bedreiging te herstellen of te verwijderen. U kunt aangepaste herstelacties definiëren om te configureren hoe Microsoft Defender Antivirus bepaalde bedreigingen moet aanpakken, of er een herstelpunt moet worden gemaakt voordat u het herstelt en wanneer bedreigingen moeten worden verwijderd.
Zie Herstelacties configureren voor Microsoft Defender Antivirusdetecties voor meer informatie.
Hoe uitsluitingen en indicatoren worden geëvalueerd
De meeste organisaties hebben verschillende soorten uitsluitingen en indicatoren om te bepalen of gebruikers toegang moeten hebben tot en gebruik moeten kunnen maken van een bestand of proces. Uitsluitingen en indicatoren worden in een bepaalde volgorde verwerkt, zodat beleidsconflicten systematisch worden afgehandeld.
Dit werkt als volgt:
Als een gedetecteerd bestand/proces niet is toegestaan door Windows Defender Application Control en AppLocker, wordt het geblokkeerd. Anders gaat het verder met Microsoft Defender Antivirus.
Als het gedetecteerde bestand/proces geen deel uitmaakt van een uitsluiting voor Microsoft Defender Antivirus, wordt het geblokkeerd. Anders controleert Defender voor Eindpunt op een aangepaste indicator voor het bestand/proces.
Als het gedetecteerde bestand/proces een blok- of waarschuwingsindicator heeft, wordt die actie uitgevoerd. Anders is het bestand/proces toegestaan en wordt het geëvalueerd door regels voor het verminderen van kwetsbaarheid voor aanvallen, beheerde maptoegang en SmartScreen-beveiliging.
Als het gedetecteerde bestand/proces niet wordt geblokkeerd door regels voor het verminderen van kwetsbaarheid voor aanvallen, gecontroleerde maptoegang of SmartScreen-beveiliging, gaat het verder met Microsoft Defender Antivirus.
Als het gedetecteerde bestand/proces niet is toegestaan door Microsoft Defender Antivirus, wordt het gecontroleerd op een actie op basis van de bedreigings-id.
Hoe beleidsconflicten worden verwerkt
In gevallen waarin defender voor eindpuntindicatoren conflict, kunt u het volgende verwachten:
Als er conflicterende bestandsindicatoren zijn, wordt de indicator die gebruikmaakt van de veiligste hash toegepast. SHA256 heeft bijvoorbeeld voorrang op SHA-1, dat voorrang heeft op MD5.
Als er conflicterende URL-indicatoren zijn, wordt de striktere indicator gebruikt. Voor Microsoft Defender SmartScreen wordt een indicator toegepast die het langste URL-pad gebruikt. Heeft bijvoorbeeld
www.dom.ain/admin/voorrang opwww.dom.ain. (Netwerkbeveiliging is van toepassing op domeinen, in plaats van subpagina's binnen een domein.)Als er vergelijkbare indicatoren zijn voor een bestand of proces met verschillende acties, heeft de indicator die is gericht op een specifieke apparaatgroep voorrang op een indicator die is gericht op alle apparaten.
Hoe geautomatiseerd onderzoek en herstel werkt met indicatoren
Geautomatiseerde onderzoeks- en herstelmogelijkheden in Defender voor Eindpunt bepalen eerst een oordeel voor elk bewijsstuk en ondernemen vervolgens een actie, afhankelijk van defender voor eindpuntindicatoren. Zo kan een bestand/proces een oordeel krijgen over 'goed' (wat betekent dat er geen bedreigingen zijn gevonden) en nog steeds worden geblokkeerd als er een indicator is met die actie. Op dezelfde manier kan een entiteit een oordeel krijgen over 'slecht' (wat betekent dat deze schadelijk is) en nog steeds wordt toegestaan als er een indicator is met die actie.
Zie geautomatiseerd onderzoek en herstel en indicatoren voor meer informatie.
Andere serverworkloads en uitsluitingen
Als uw organisatie andere serverworkloads gebruikt, zoals Exchange Server, SharePoint Server of SQL Server, moet u er rekening mee houden dat alleen ingebouwde serverfuncties (die vereisten kunnen zijn voor software die u later installeert) op Windows Server worden uitgesloten door de functie voor automatische uitsluiting van serverfuncties (en alleen wanneer de standaardinstallatielocatie wordt gebruikt). U moet waarschijnlijk antivirusuitsluitingen definiëren voor deze andere workloads of voor alle workloads als u automatische uitsluitingen uitschakelt.
Hier volgen enkele voorbeelden van technische documentatie voor het identificeren en implementeren van de uitsluitingen die u nodig hebt:
- Antivirussoftware uitvoeren op Exchange Server
- Mappen die moeten worden uitgesloten van antivirusscans op SharePoint Server
- Antivirussoftware kiezen voor SQL Server
Afhankelijk van wat u gebruikt, moet u mogelijk de documentatie voor die serverworkload raadplegen.
Zie ook
- Veelvoorkomende fout-positieve scenario's met uitsluitingen aanpakken
- Uitsluitingen configureren voor Microsoft Defender Antivirus
- Veelvoorkomende fouten bij het definiëren van uitsluitingen voorkomen
- Overzicht van indicatoren in Microsoft Defender voor Eindpunt
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.