Microsoft Defender for Endpoint和Microsoft Defender防病毒的提交、抑制和排除

适用于：

• Microsoft Defender 防病毒
• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2

平台

• Windows

注意

作为Microsoft MVP，Fabian Bader 为本文贡献并提供了材料反馈。

Microsoft Defender for Endpoint包括各种功能，用于预防、检测、调查和响应高级网络威胁。 这些功能包括下一代保护 (，其中包括Microsoft Defender防病毒) 。 与任何终结点保护或防病毒解决方案一样，Defender for Endpoint 或 Microsoft Defender 防病毒有时可能会将实际不是威胁的文件、文件夹或进程检测为恶意。 这些实体可以阻止或发送到隔离区，即使它们不是真正的威胁。

本文介绍发生此行为的最常见场景，以及 Defender for Endpoint 和 Microsoft Defender 防病毒中提供的功能，可在不影响工作效率的情况下安全地防止或解决问题。 这些操作包括：

• 将文件提交到Microsoft进行分析
• 禁止显示警报
• 添加排除项或指示器

警告

定义排除项会降低 Defender for Endpoint 和 Microsoft Defender 防病毒提供的保护级别。 使用排除项作为最后手段，并确保仅定义必要的排除项。 请确保定期查看排除项，并删除不再需要的排除项。 请参阅 有关排除 项的要点和 要避免的常见错误。

提交、抑制和排除

处理误报或生成警报的已知实体时，不一定需要添加排除项。 有时，对警报进行分类和抑制就足够了。 建议) 提交误报 (和误报，以便Microsoft进行分析。 下表介绍了一些方案，以及针对文件提交、警报抑制和排除要采取的步骤。

应用场景	要考虑的步骤
误报：实体（如文件或进程）被检测到并标识为恶意，即使该实体不是威胁。	1. 查看并分类 由于检测到的实体而生成的警报。 2.取消已知实体的 警报 。 3. 查看为检测到的实体采取的 修正操作 。 4. 将误报提交到Microsoft 进行分析。 5. 仅在必要时) 时，才定义实体 (排除 项。
性能问题 ，例如以下问题之一： - 系统 CPU 使用率较高或其他性能问题。 - 系统存在内存泄漏问题。 - 应用在设备上加载速度较慢。 - 应用在设备上打开文件的速度较慢。	1. 收集Microsoft Defender防病毒的诊断数据。 2. 如果使用非Microsoft防病毒解决方案，请与供应商检查任何所需的排除项。 3. 分析Microsoft保护日志 以查看估计的性能影响。 4. 如有必要，) 为Microsoft Defender防病毒 (定义排除项。 5. 仅在必要时) 为 Defender for Endpoint (创建指示器 。
非Microsoft防病毒产品的兼容性问题。 示例：Defender for Endpoint 依赖于设备的安全智能更新，无论它们是运行Microsoft Defender防病毒解决方案还是非Microsoft防病毒解决方案。	1. 如果使用非Microsoft防病毒产品作为主要防病毒/反恶意软件解决方案，请将Microsoft Defender防病毒设置为被动模式。 2. 如果要从非Microsoft防病毒/反恶意软件解决方案切换到 Defender for Endpoint，请参阅 切换到 Defender for Endpoint。 本指南包括： - 可能需要为非Microsoft防病毒/反恶意软件解决方案定义的排除项; - 可能需要为防病毒Microsoft Defender定义的排除项;以及 - 故障排除信息 (迁移) 时出现问题。

重要

“允许”指示器是在 Defender for Endpoint 中可以定义的最强排除类型。 请确保仅在必要时) 时谨慎使用指示器 (，并定期查看所有排除项。

提交文件进行分析

如果你认为某个文件被错误地检测为恶意软件 (误报) ，或者你怀疑该文件可能是恶意软件，即使它未检测到 (假负) ，则可以将该文件提交到 Microsoft 进行分析。 系统会立即扫描提交，然后由Microsoft安全分析师审查。 可以在提交历史记录页上检查提交状态。

提交文件进行分析有助于减少所有客户的误报和误报。 若要了解详细信息，请参阅以下文章：

• 提交 可供所有客户) 分析 (文件
• 使用 Defender for Endpoint 中新的统一提交门户提交文件 (提供给拥有 Defender for Endpoint 计划 2 或Microsoft Defender XDR)

禁止显示警报

如果在Microsoft Defender门户中收到你知道实际上不是威胁的工具或进程的警报，则可以禁止显示这些警报。 若要禁止显示警报，请创建一个抑制规则，并指定要针对其他相同警报执行的操作。 可以为单个设备上的特定警报或组织中具有相同标题的所有警报创建抑制规则。

若要了解详细信息，请参阅以下文章：

• 禁止显示警报
• 介绍适用于 Defender for Endpoint) 的全新警报抑制体验 (

使用排除项和指示器

有时，术语排除用于指适用于 Defender for Endpoint 和防病毒Microsoft Defender的异常。 描述这些异常的更准确方法如下：

• Defender for Endpoint 的指示器;适用于 Defender for Endpoint 和 Microsoft Defender 防病毒) (;以及
• Microsoft Defender防病毒的排除项。

有关详细信息，请参阅 排除项概述。

另请参阅

• 有关排除项的要点
• 定义排除时要避免的常见错误
• 博客文章：Microsoft Defender for Endpoint排除的搭车者指南

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。