Hantera oönskade beteenden i Microsoft Defender för Endpoint med undantag, indikatorer och andra tekniker
Den primära funktionen för Defender för Endpoint är att förhindra och identifiera åtkomst till skadliga processer och filer. Defender för Endpoint är utformat för att tillåta att personer i din organisation skyddas från hot samtidigt som de är produktiva som standardinställningar och principer för säkerhet. Ibland kan oönskade beteenden uppstå, till exempel:
- Falska positiva identifieringar: En falsk positiv identifiering är när en entitet, till exempel en fil eller en process, identifierades som skadlig, även om entiteten inte är ett hot
- Dåliga prestanda: Program får prestandaproblem när vissa funktioner i Defender för Endpoint är aktiverade
- Inkompatibilitet för program: Program fungerar inte korrekt när vissa funktioner i Defender för Endpoint är aktiverade
Den här artikeln beskriver hur du hanterar dessa typer av oönskade beteenden och innehåller några exempelscenarier.
Obs!
Du bör bara överväga att skapa en indikator eller ett undantag när du har förstått rotorsaken till det oväntade beteendet noggrant.
Så här hanterar du oönskade beteenden med Defender för Endpoint
På hög nivå är den allmänna processen för att hantera ett oönskat beteende i Defender för Endpoint följande:
Identifiera vilken funktion som orsakar det oönskade beteendet. Du behöver veta om det finns en felkonfiguration med Microsoft Defender Antivirus, slutpunktsidentifiering och svar, minskning av attackytan, kontrollerad mappåtkomst och så vidare i Defender för Endpoint. Du kan använda information i Microsoft Defender-portalen eller på enheten för att bestämma dig.
Plats Lämplig åtgärd Microsoft Defender-portalen Vidta en eller flera av följande åtgärder för att identifiera vad som händer:
- Undersöka aviseringar
- Använda avancerad jakt
- Visa rapporterPå enheten Utför ett eller flera av följande steg för att identifiera problemet:
- Använda verktyg för prestandaanalys
- Granska händelseloggar och felkoder
- Kontrollera din skyddshistorikBeroende på dina resultat från föregående steg kan du vidta en eller flera av följande åtgärder:
- Ignorera aviseringar i Microsoft Defender-portalen
- Definiera anpassade reparationsåtgärder
- Skicka en fil till Microsoft för analys
- Definiera undantag för Microsoft Defender Antivirus
- Skapa indikatorer för Defender för Endpoint
Tänk på att manipuleringsskydd påverkar om undantag kan ändras eller läggas till. Se Vad händer när manipuleringsskydd är aktiverat.
Kontrollera att dina ändringar har åtgärdat problemet.
Exempel på oönskade beteenden
Det här avsnittet innehåller flera exempelscenarier som kan hanteras med hjälp av undantag och indikatorer. Mer information om undantag finns i Översikt över undantag.
En app identifieras av Microsoft Defender Antivirus när programmet körs
I det här scenariot identifieras programmet av Microsoft Defender Antivirus som ett potentiellt hot när en användare kör ett visst program.
Så här åtgärdar du: Skapa en "tillåt"-indikator för Microsoft Defender för Endpoint. Du kan till exempel skapa en "tillåt"-indikator för en fil, till exempel en körbar fil. Se Skapa indikatorer för filer.
En anpassad, självsignerad app identifieras av Microsoft Defender Antivirus när programmet körs
I det här scenariot identifieras en anpassad app av Microsoft Defender Antivirus som ett potentiellt hot. Appen uppdateras regelbundet och är självsignerad.
Så här åtgärdar du: Skapa "tillåt"-indikatorer för certifikat eller filer. Se följande artiklar:
En anpassad app får åtkomst till en uppsättning filtyper som identifieras som skadliga när programmet körs
I det här scenariot får en anpassad app åtkomst till en uppsättning filtyper och uppsättningen identifieras som skadlig av Microsoft Defender Antivirus när programmet körs.
Så här observerar du: När programmet körs identifieras det av Microsoft Defender Antivirus som en identifiering av beteendeövervakning.
Så här åtgärdar du: Definiera undantag för Microsoft Defender Antivirus, till exempel en fil- eller sökvägsundantag som kan innehålla jokertecken. Eller definiera ett anpassat filsökvägsundantag. Se följande artiklar:
- Åtgärda falska positiva/negativa i Microsoft Defender för Endpoint
- Konfigurera och validera undantag baserat på filnamnstillägg och mappplats
Ett program identifieras av Microsoft Defender Antivirus som en "beteendeidentifiering"
I det här scenariot identifieras ett program av Microsoft Defender Antivirus på grund av ett visst beteende, även om programmet inte är ett hot.
Så här hanterar du: Definiera ett processundantag. Se följande artiklar:
- Konfigurera och validera undantag baserat på filnamnstillägg och mappplats
- Konfigurera undantag för filer som öppnas av processer
En app anses vara ett potentiellt oönskat program (PUA)
I det här scenariot identifieras en app som PUA och du vill tillåta att den körs.
Så här åtgärdar du: Definiera ett undantag för appen. Se följande artiklar:
- Exkludera filer från PUA-skydd
- Konfigurera och validera undantag baserat på filnamnstillägg och mappplats
En app blockeras från att skriva till en skyddad mapp
I det här scenariot blockeras en legitim app från att skriva till mappar som skyddas av kontrollerad mappåtkomst.
Så här åtgärdar du: Lägg till appen i listan "tillåten" för kontrollerad mappåtkomst. Se Tillåt att specifika appar gör ändringar i kontrollerade mappar.
En app från tredje part identifieras som skadlig av Microsoft Defender Antivirus
I det här scenariot identifieras en tredjepartsapp som inte är ett hot och identifieras som skadlig av Microsoft Defender Antivirus.
Så här åtgärdar du: Skicka appen till Microsoft för analys. Se Skicka en fil till Microsoft för analys.
En app identifieras felaktigt och identifieras som skadlig av Defender för Endpoint
I det här scenariot identifieras en legitim app och identifieras som skadlig av en regel för minskning av attackytan i Defender för Endpoint. När en användare använder appen blockeras appen och allt nedladdat innehåll av regeln för minskning av attackytan, blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll.
Så här åtgärdar du:
I Microsoft Defender-portalen går du till Rapporter. Under Rapporter väljer du Säkerhetsrapport.
Rulla ned till enheter för att hitta dina kort för minskning av attackytan. Mer information finns i rapporten om regler för minskning av attackytan.
Använd informationen för att identifiera de filer och mappplatser som ska undantas.
Lägg till undantag. Se Konfigurera och validera undantag baserat på filnamnstillägg och mappplats.
Word mallar som innehåller makron som startar andra appar blockeras
När en användare i det här scenariot öppnar dokument som skapats med hjälp av Microsoft Word mallar som innehåller makron och dessa makron startar andra program, blockerar regeln för minskning av attackytan Win32 API-anrop från Office-makron Microsoft Word.
Så här åtgärdar du:
I Microsoft Defender-portalen går du till Rapporter. Under Rapporter väljer du Säkerhetsrapport.
Rulla ned till enheter för att hitta dina kort för minskning av attackytan. Mer information finns i rapporten om regler för minskning av attackytan.
Använd informationen för att identifiera de filer och mappplatser som ska undantas.
Lägg till undantag. Se Konfigurera och validera undantag baserat på filnamnstillägg och mappplats.