Udostępnij za pośrednictwem

Rozwiązywanie niechcianych zachowań w Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu wykluczeń, wskaźników i innych technik

  • Artykuł

Podstawową funkcją usługi Defender for Endpoint jest zapobieganie złośliwym procesom i plikom oraz wykrywanie go. Usługa Defender for Endpoint została zaprojektowana tak, aby umożliwić osobom w organizacji ochronę przed zagrożeniami przy jednoczesnym zachowaniu produktywności domyślnych ustawień zabezpieczeń i zasad. Czasami mogą wystąpić niepożądane zachowania, takie jak:

  • Wyniki fałszywie dodatnie: wynik fałszywie dodatni jest wtedy, gdy jednostka, taka jak plik lub proces, została wykryta i zidentyfikowana jako złośliwa, mimo że jednostka nie jest zagrożeniem
  • Niska wydajność: w aplikacjach występują problemy z wydajnością, gdy są włączone niektóre funkcje usługi Defender for Endpoint
  • Niezgodność aplikacji: aplikacje nie działają prawidłowo po włączeniu niektórych funkcji usługi Defender dla punktu końcowego

W tym artykule opisano sposób rozwiązywania tego typu niechcianych zachowań i przedstawiono kilka przykładowych scenariuszy.

Uwaga

Tworzenie wskaźnika lub wykluczenia powinno być brane pod uwagę tylko po dokładnym zrozumieniu głównej przyczyny nieoczekiwanego zachowania.

Jak rozwiązywać niepożądane zachowania za pomocą usługi Defender for Endpoint

Na wysokim poziomie ogólny proces rozwiązywania niechcianego zachowania w usłudze Defender for Endpoint jest następujący:

  1. Określ, która funkcja powoduje niepożądane zachowanie. Musisz wiedzieć, czy wystąpiła błędna konfiguracja z programem antywirusowym Microsoft Defender, wykrywaniem i reagowaniem na punkty końcowe, zmniejszaniem obszaru ataków, kontrolowanym dostępem do folderów itd. w usłudze Defender for Endpoint. Do ustalenia można użyć informacji w portalu Microsoft Defender lub na urządzeniu.

    Lokalizacja Co robić
    Portal Microsoft Defender Wykonaj co najmniej jedną z następujących akcji, aby określić, co się dzieje:
    - Badanie alertów
    - Korzystanie z zaawansowanego wyszukiwania zagrożeń
    - Wyświetlanie raportów
    Na urządzeniu Aby zidentyfikować problem, wykonaj co najmniej jedną z następujących czynności:
    - Korzystanie z narzędzi analizatora wydajności
    - Przeglądanie dzienników zdarzeń i kodów błędów
    - Sprawdzanie historii ochrony

  2. W zależności od wyników z poprzedniego kroku możesz wykonać co najmniej jedną z następujących akcji:

    Należy pamiętać, że ochrona przed naruszeniami ma wpływ na to, czy można modyfikować lub dodawać wykluczenia. Zobacz Co się stanie po włączeniu ochrony przed naruszeniami.

  3. Sprawdź, czy zmiany rozwiązały problem.

Przykłady niechcianych zachowań

Ta sekcja zawiera kilka przykładowych scenariuszy, które można rozwiązać przy użyciu wykluczeń i wskaźników. Aby uzyskać więcej informacji na temat wykluczeń, zobacz Omówienie wykluczeń.

Aplikacja jest wykrywana przez program antywirusowy Microsoft Defender po uruchomieniu aplikacji

W tym scenariuszu za każdym razem, gdy użytkownik uruchamia określoną aplikację, aplikacja jest wykrywana przez program antywirusowy Microsoft Defender jako potencjalne zagrożenie.

Jak rozwiązać problem: utwórz wskaźnik "zezwalaj" dla Ochrona punktu końcowego w usłudze Microsoft Defender. Można na przykład utworzyć wskaźnik "zezwalania" dla pliku, taki jak plik wykonywalny. Zobacz Tworzenie wskaźników dla plików.

Niestandardowa aplikacja z podpisem własnym jest wykrywana przez program antywirusowy Microsoft Defender po uruchomieniu aplikacji

W tym scenariuszu aplikacja niestandardowa jest wykrywana przez program antywirusowy Microsoft Defender jako potencjalne zagrożenie. Aplikacja jest okresowo aktualizowana i jest z podpisem własnym.

Adres: tworzenie wskaźników "zezwalaj" dla certyfikatów lub plików. Zobacz następujące artykuły:

Aplikacja niestandardowa uzyskuje dostęp do zestawu typów plików, które są wykrywane jako złośliwe podczas uruchamiania aplikacji

W tym scenariuszu aplikacja niestandardowa uzyskuje dostęp do zestawu typów plików, a zestaw jest wykrywany jako złośliwy przez program antywirusowy Microsoft Defender przy każdym uruchomieniu aplikacji.

Jak obserwować: gdy aplikacja jest uruchomiona, jest wykrywana przez program antywirusowy Microsoft Defender jako wykrywanie monitorowania zachowania.

Jak rozwiązać problem: definiowanie wykluczeń programu antywirusowego Microsoft Defender, takich jak wykluczenie pliku lub ścieżki, które może zawierać symbole wieloznaczne. Możesz też zdefiniować wykluczenie niestandardowej ścieżki pliku. Zobacz następujące artykuły:

Aplikacja jest wykrywana przez program antywirusowy Microsoft Defender jako wykrywanie "zachowania"

W tym scenariuszu aplikacja jest wykrywana przez program antywirusowy Microsoft Defender z powodu pewnego zachowania, nawet jeśli aplikacja nie stanowi zagrożenia.

Jak rozwiązać problem: definiowanie wykluczenia procesu. Zobacz następujące artykuły:

Aplikacja jest uważana za potencjalnie niechcianą aplikację (PUA)

W tym scenariuszu aplikacja jest wykrywana jako pua i chcesz zezwolić na jej uruchamianie.

Jak rozwiązać problem: definiowanie wykluczenia dla aplikacji. Zobacz następujące artykuły:

Aplikacja nie może zapisywać w folderze chronionym

W tym scenariuszu legalna aplikacja nie może zapisywać w folderach chronionych przez kontrolowany dostęp do folderów.

Adres: dodaj aplikację do listy "dozwolone" na potrzeby kontrolowanego dostępu do folderów. Zobacz Zezwalaj określonym aplikacjom na wprowadzanie zmian w kontrolowanych folderach.

Aplikacja innej firmy jest wykrywana jako złośliwa przez program antywirusowy Microsoft Defender

W tym scenariuszu aplikacja innej firmy, która nie stanowi zagrożenia, jest wykrywana i identyfikowana jako złośliwa przez program antywirusowy Microsoft Defender.

Jak rozwiązać problem: prześlij aplikację do firmy Microsoft w celu analizy. Zobacz Jak przesłać plik do firmy Microsoft w celu analizy.

Aplikacja jest niepoprawnie wykrywana i identyfikowana jako złośliwa przez usługę Defender for Endpoint

W tym scenariuszu legalna aplikacja jest wykrywana i identyfikowana jako złośliwa przez regułę zmniejszania obszaru ataków w usłudze Defender for Endpoint. Za każdym razem, gdy użytkownik korzysta z aplikacji, aplikacja i dowolna pobrana zawartość są blokowane przez regułę zmniejszania obszaru ataków, blokuj uruchamianie pobranej zawartości wykonywalnej w języku JavaScript lub VBScript.

Jak rozwiązać ten problem:

  1. W portalu Microsoft Defender przejdź do pozycji Raporty. W obszarze Raporty wybierz pozycję Raport zabezpieczeń.

  2. Przewiń w dół do urządzeń, aby znaleźć karty redukcji obszaru ataków. Aby uzyskać więcej informacji, zobacz raport reguł zmniejszania obszaru ataków.

  3. Informacje te umożliwiają zidentyfikowanie plików i lokalizacji folderów, które mają zostać wykluczone.

  4. Dodaj wykluczenia. Zobacz Konfigurowanie i weryfikowanie wykluczeń na podstawie rozszerzenia pliku i lokalizacji folderu.

Word szablony zawierające makra, które uruchamiają inne aplikacje, są blokowane

W tym scenariuszu za każdym razem, gdy użytkownik otwiera dokumenty utworzone przy użyciu szablonów Word firmy Microsoft zawierających makra i te makra uruchamiają inne aplikacje, reguła zmniejszania obszaru ataków Blokuj wywołania interfejsu API Win32 z makr pakietu Office blokuje usługę Microsoft Word.

Jak rozwiązać ten problem:

  1. W portalu Microsoft Defender przejdź do pozycji Raporty. W obszarze Raporty wybierz pozycję Raport zabezpieczeń.

  2. Przewiń w dół do urządzeń, aby znaleźć karty redukcji obszaru ataków. Aby uzyskać więcej informacji, zobacz raport reguł zmniejszania obszaru ataków.

  3. Informacje te umożliwiają zidentyfikowanie plików i lokalizacji folderów, które mają zostać wykluczone.

  4. Dodaj wykluczenia. Zobacz Konfigurowanie i weryfikowanie wykluczeń na podstawie rozszerzenia pliku i lokalizacji folderu.

Zobacz też