Compartilhar via

Abordar comportamentos indesejados em Microsoft Defender para Ponto de Extremidade com exclusões, indicadores e outras técnicas

  • Artigo

A função principal do Defender para Endpoint é impedir e detetar o acesso a ficheiros e processos maliciosos. O Defender para Endpoint foi concebido para permitir que as pessoas na sua organização sejam protegidas contra ameaças, mantendo-se produtivas por predefinição de políticas e definições de segurança. Ocasionalmente, podem ocorrer comportamentos indesejados, tais como:

  • Falsos positivos: um falso positivo é quando uma entidade, como um ficheiro ou um processo, foi detetada e identificada como maliciosa, apesar de a entidade não ser uma ameaça
  • Fraco desempenho: as aplicações têm problemas de desempenho quando determinadas funcionalidades do Defender para Endpoint estão ativadas
  • Incompatibilidade de aplicações: as aplicações não funcionam corretamente quando determinadas funcionalidades do Defender para Ponto Final estão ativadas

Este artigo descreve como abordar estes tipos de comportamentos indesejados e inclui alguns cenários de exemplo.

Observação

A criação de um indicador ou uma exclusão só deve ser considerada depois de compreender exaustivamente a causa do comportamento inesperado.

Como lidar com comportamentos indesejados com o Defender para Endpoint

A um nível elevado, o processo geral para abordar um comportamento indesejado no Defender para Endpoint é o seguinte:

  1. Identifique que capacidade está a causar o comportamento indesejado. Precisa de saber se existe uma configuração incorreta com o Antivírus Microsoft Defender, deteção e resposta de pontos finais, redução da superfície de ataque, acesso controlado a pastas, etc. no Defender para Endpoint. Pode utilizar informações no portal do Microsoft Defender ou no dispositivo para determinar.

    Local O que fazer
    O portal do Microsoft Defender Efetue uma ou mais das seguintes ações para ajudar a identificar o que está a acontecer:
    - Investigar alertas
    - Utilizar investigação avançada
    - Ver relatórios
    No dispositivo Siga um ou mais dos seguintes passos para identificar o problema:
    - Utilizar ferramentas do analisador de desempenho
    - Rever registos de eventos e códigos de erro
    - Verificar o histórico de proteção

  2. Consoante as conclusões do passo anterior, poderá efetuar uma ou mais das seguintes ações:

    Tenha em atenção que a proteção contra adulteração afeta se as exclusões podem ser modificadas ou adicionadas. Veja O que acontece quando a proteção contra adulteração está ativada.

  3. Verifique se as alterações resolveram o problema.

Exemplos de comportamentos indesejados

Esta secção inclui vários cenários de exemplo que podem ser abordados através de exclusões e indicadores. Para obter mais informações sobre exclusões, veja Descrição geral das exclusões.

Uma aplicação é detetada pelo Antivírus Microsoft Defender quando a aplicação é executada

Neste cenário, sempre que um utilizador executa uma determinada aplicação, a aplicação é detetada pelo Microsoft Defender Antivírus como uma potencial ameaça.

Como endereçar: crie um indicador "permitir" para Microsoft Defender para Ponto de Extremidade. Por exemplo, pode criar um indicador "permitir" para um ficheiro, como um executável. Veja Criar indicadores para ficheiros.

Uma aplicação personalizada autoassinada é detetada pelo Antivírus Microsoft Defender quando a aplicação é executada

Neste cenário, uma aplicação personalizada é detetada pelo Antivírus Microsoft Defender como uma potencial ameaça. A aplicação é atualizada periodicamente e é autoassinada.

Como endereçar: crie indicadores "permitir" para certificados ou ficheiros. Confira os seguintes artigos:

Uma aplicação personalizada acede a um conjunto de tipos de ficheiro que é detetado como malicioso quando a aplicação é executada

Neste cenário, uma aplicação personalizada acede a um conjunto de tipos de ficheiro e o conjunto é detetado como malicioso por Microsoft Defender Antivírus sempre que a aplicação é executada.

Como observar: quando a aplicação está em execução, é detetada pelo antivírus Microsoft Defender como uma deteção de monitorização de comportamento.

Como abordar: defina exclusões para Microsoft Defender Antivírus, como um ficheiro ou exclusão de caminho que possa incluir carateres universais. Em alternativa, defina uma exclusão de caminho de ficheiro personalizado. Confira os seguintes artigos:

Uma aplicação é detetada pelo Antivírus Microsoft Defender como uma deteção de "comportamento"

Neste cenário, uma aplicação é detetada por Microsoft Defender Antivírus devido a determinado comportamento, embora a aplicação não seja uma ameaça.

Como resolver: defina uma exclusão de processo. Confira os seguintes artigos:

Uma aplicação é considerada uma aplicação potencialmente indesejada (PUA)

Neste cenário, uma aplicação é detetada como PUA e pretende permitir que seja executada.

Como resolver o problema: defina uma exclusão para a aplicação. Confira os seguintes artigos:

Uma aplicação é impedida de escrever numa pasta protegida

Neste cenário, uma aplicação legítima é impedida de escrever em pastas protegidas por acesso controlado a pastas.

Como endereçar: adicione a aplicação à lista "permitido" para acesso controlado a pastas. Veja Permitir que aplicações específicas façam alterações a pastas controladas.

Uma aplicação de terceiros é detetada como maliciosa pelo Antivírus do Microsoft Defender

Neste cenário, uma aplicação de terceiros que não seja uma ameaça é detetada e identificada como maliciosa por Microsoft Defender Antivírus.

Como endereçar: submeta a aplicação à Microsoft para análise. Veja Como submeter um ficheiro à Microsoft para análise.

Uma aplicação é detetada incorretamente e identificada como maliciosa pelo Defender para Endpoint

Neste cenário, uma aplicação legítima é detetada e identificada como maliciosa por uma regra de redução da superfície de ataque no Defender para Endpoint. Sempre que um utilizador utiliza a aplicação, a aplicação e qualquer conteúdo transferido são bloqueados pela regra de redução da superfície de ataque, impedir que JavaScript ou VBScript iniciem conteúdo executável transferido.

Como endereçar:

  1. No portal Microsoft Defender, aceda a Relatórios. Em Relatórios, selecione Relatório de segurança.

  2. Desloque-se para baixo até aos dispositivos para encontrar os cartões de redução da superfície de ataque. Para obter mais informações, veja Relatório de regras de redução da superfície de ataque.

  3. Utilize as informações para identificar os ficheiros e as localizações das pastas a excluir.

  4. Adicionar exclusões. Veja Configurar e validar exclusões com base na extensão de ficheiro e na localização da pasta.

Word modelos que contêm macros que iniciam outras aplicações estão bloqueados

Neste cenário, sempre que um utilizador abre documentos que foram criados com o Microsoft Word modelos que contêm macros e essas macros iniciam outras aplicações, a regra de redução da superfície de ataque Bloquear chamadas à API Win32 a partir de macros do Office bloqueia o Microsoft Word.

Como endereçar:

  1. No portal Microsoft Defender, aceda a Relatórios. Em Relatórios, selecione Relatório de segurança.

  2. Desloque-se para baixo até aos dispositivos para encontrar os cartões de redução da superfície de ataque. Para obter mais informações, veja Relatório de regras de redução da superfície de ataque.

  3. Utilize as informações para identificar os ficheiros e as localizações das pastas a excluir.

  4. Adicionar exclusões. Veja Configurar e validar exclusões com base na extensão de ficheiro e na localização da pasta.

Confira também