Поделиться через

Устранение нежелательных действий в Microsoft Defender для конечной точки с помощью исключений, индикаторов и других методов

  • Статья

Основная функция Defender для конечной точки заключается в предотвращении и обнаружении доступа к вредоносным процессам и файлам. Defender для конечной точки предназначен для защиты пользователей вашей организации от угроз, сохраняя при этом производительность с помощью параметров безопасности и политик по умолчанию. Иногда может возникать нежелательное поведение, например:

  • Ложные срабатывания. Ложноположительный результат — это когда сущность, например файл или процесс, была обнаружена и идентифицирована как вредоносная, даже если сущность не является угрозой.
  • Низкая производительность: при включении некоторых функций Defender для конечной точки возникают проблемы с производительностью приложений.
  • Несовместимость приложений. Приложения не работают должным образом, если включены определенные функции Defender для конечной точки

В этой статье описывается, как устранять эти типы нежелательных действий, и приведены примеры сценариев.

Примечание.

Создание индикатора или исключения следует рассматривать только после тщательного изучения первопричины непредвиденного поведения.

Устранение нежелательных действий с помощью Defender для конечной точки

На высоком уровне общий процесс устранения нежелательного поведения в Defender для конечной точки выглядит следующим образом:

  1. Определите, какая возможность вызывает нежелательное поведение. Необходимо знать, есть ли неправильная конфигурация с Microsoft Defender антивирусной программы, обнаружением конечных точек и реагированием на нее, сокращением направлений атак, управляемым доступом к папкам и т. д. в Defender для конечной точки. Вы можете использовать сведения на портале Microsoft Defender или на устройстве, чтобы принять решение.

    Расположение Действия
    Портал Microsoft Defender Выполните одно или несколько из следующих действий, чтобы определить, что происходит:
    - Изучение оповещений
    - Использование расширенной охоты
    - Просмотр отчетов
    На устройстве Выполните одно или несколько из следующих действий, чтобы определить проблему:
    - Использование средств анализатора производительности
    - Просмотр журналов событий и кодов ошибок
    - Проверка журнала защиты

  2. В зависимости от результатов предыдущего шага можно выполнить одно или несколько из следующих действий:

    Помните, что защита от незаконного изменения влияет на возможность изменения или добавления исключений. См. статью Что происходит при включении защиты от незаконного изменения.

  3. Убедитесь, что изменения устранены.

Примеры нежелательного поведения

В этом разделе содержится несколько примеров сценариев, которые можно решить с помощью исключений и индикаторов. Дополнительные сведения об исключениях см. в статье Обзор исключений.

Приложение обнаруживается антивирусной программой Microsoft Defender при запуске приложения

В этом сценарии каждый раз, когда пользователь запускает определенное приложение, Microsoft Defender антивирусная программа обнаруживает это приложение как потенциальную угрозу.

Практическое руководство. Создание индикатора "разрешить" для Microsoft Defender для конечной точки. Например, можно создать индикатор разрешения для файла, например исполняемого файла. См . статью Создание индикаторов для файлов.

Настраиваемое самозаверяющее приложение обнаруживается антивирусной программой Microsoft Defender при запуске приложения

В этом сценарии настраиваемое приложение определяется антивирусной программой Microsoft Defender как потенциальная угроза. Приложение периодически обновляется и самозаверяется.

Практическое руководство. Создание индикаторов разрешений для сертификатов или файлов. См. следующие статьи:

Пользовательское приложение обращается к набору типов файлов, которые обнаруживаются как вредоносные при запуске приложения.

В этом сценарии пользовательское приложение обращается к набору типов файлов, и набор обнаруживается как вредоносный при каждом запуске приложения Microsoft Defender Антивирусная программа.

Практическое руководство. При выполнении приложения оно обнаруживается Microsoft Defender антивирусной программой в качестве обнаружения мониторинга поведения.

Практическое руководство. Определите исключения для антивирусной программы Microsoft Defender, например исключение файла или пути, которые могут содержать подстановочные знаки. Или определите исключение пользовательского пути к файлу. См. следующие статьи:

Приложение обнаруживается антивирусной программой Microsoft Defender как обнаружение "поведения"

В этом сценарии приложение обнаруживается Microsoft Defender антивирусной программой из-за определенного поведения, даже если приложение не представляет угрозы.

Практическое руководство. Определение исключения процесса. См. следующие статьи:

Приложение считается потенциально нежелательным приложением (PUA)

В этом сценарии приложение определяется как PUA, и вы хотите разрешить его запуск.

Практическое руководство. Определение исключения для приложения. См. следующие статьи:

Приложение заблокировано для записи в защищенную папку

В этом сценарии допустимому приложению блокируется запись в папки, защищенные управляемым доступом к папкам.

Практическое руководство. Добавьте приложение в список разрешенных для управляемого доступа к папкам. См . раздел Разрешить определенным приложениям вносить изменения в управляемые папки.

Антивирусная программа Microsoft Defender обнаруживает стороннее приложение как вредоносное

В этом сценарии стороннее приложение, не являющееся угрозой, обнаруживается и определяется как вредоносное с помощью антивирусной программы Microsoft Defender.

Практическое руководство. Отправьте приложение в Корпорацию Майкрософт для анализа. См . статью Отправка файла в Корпорацию Майкрософт для анализа.

Приложение неправильно обнаружено и идентифицируется как вредоносное приложение в Defender для конечной точки

В этом сценарии допустимое приложение обнаруживается и определяется как вредоносное с помощью правила сокращения направлений атаки в Defender для конечной точки. Всякий раз, когда пользователь использует приложение, приложение и скачаемое содержимое блокируются правилом уменьшения направлений атаки. Блокирует запуск загруженного исполняемого содержимого javaScript или VBScript.

Практическое руководство.

  1. На портале Microsoft Defender перейдите в раздел Отчеты. В разделе Отчеты выберите Отчет о безопасности.

  2. Прокрутите вниз до устройств, чтобы найти карты сокращения направлений атаки. Дополнительные сведения см. в отчете о правилах сокращения направлений атак.

  3. Используйте эти сведения для определения файлов и папок, которые необходимо исключить.

  4. Добавление исключений. См . раздел Настройка и проверка исключений на основе расширения файла и расположения папки.

Word шаблоны, содержащие макросы, запускающие другие приложения, блокируются

В этом сценарии каждый раз, когда пользователь открывает документы, созданные с помощью microsoft Word шаблонов, содержащих макросы, и эти макросы запускают другие приложения, правило сокращения направлений атаки блокирует вызовы API Win32 из макросов Office, блокирует microsoft Word.

Практическое руководство.

  1. На портале Microsoft Defender перейдите в раздел Отчеты. В разделе Отчеты выберите Отчет о безопасности.

  2. Прокрутите вниз до устройств, чтобы найти карты сокращения направлений атаки. Дополнительные сведения см. в отчете о правилах сокращения направлений атак.

  3. Используйте эти сведения для определения файлов и папок, которые необходимо исключить.

  4. Добавление исключений. См . раздел Настройка и проверка исключений на основе расширения файла и расположения папки.

См. также