Ochrana cloudu a odeslání ukázky na Microsoft Defender Antivirus

Článek
04/26/2024

Platí pro:

Plán 1 pro Microsoft Defender for Endpoint
Plán 2 pro Microsoft Defender pro koncový bod
Antivirová ochrana v programu Microsoft Defender

Platformy

Windows
macOS
Linux
Windows Server

Microsoft Defender Antivirus používá k detekci malwaru mnoho inteligentních mechanismů. Jednou z nejvýkonnějších funkcí je schopnost využít výkon cloudu k detekci malwaru a provádění rychlých analýz. Ochrana cloudu a automatické odesílání vzorků spolupracují s Microsoft Defender Antivirovou ochranou a pomáhají chránit před novými a vznikajícími hrozbami.

Pokud se zjistí podezřelý nebo škodlivý soubor, odešle se ukázka do cloudové služby k analýze, zatímco Microsoft Defender Antivirus soubor zablokuje. Jakmile dojde k rozhodnutí, což se stane rychle, soubor je buď uvolněn nebo blokován Microsoft Defender Antivirus.

Tento článek poskytuje přehled cloudové ochrany a automatického odesílání vzorků na Microsoft Defender Antivirus. Další informace o ochraně cloudu najdete v tématu Cloudová ochrana a Microsoft Defender Antivirus.

Jak ochrana cloudu a odesílání ukázek spolupracují

Abyste pochopili, jak cloudová ochrana funguje společně s ukázkovým odesláním, může být užitečné pochopit, jak Defender for Endpoint chrání před hrozbami. Microsoft Intelligent Security Graph monitoruje data hrozeb z rozsáhlé sítě senzorů. Microsoft vrství cloudové modely strojového učení, které můžou vyhodnocovat soubory na základě signálů z klienta a rozsáhlé sítě senzorů a dat v Intelligent Security Graphu. Tento přístup dává Defenderu for Endpoint možnost blokovat mnoho dosud nevíraných hrozeb.

Následující obrázek znázorňuje tok cloudové ochrany a ukázkového odeslání pomocí Microsoft Defender Antivirové ochrany:

Microsoft Defender Antivirová ochrana a cloudová ochrana automaticky blokují většinu nových, nikdy předtím nečekaných hrozeb na první pohled pomocí následujících metod:

Zjednodušené klientské modely strojového učení, které blokují nový i neznámý malware.
Analýza místního chování, zastavení útoků založených na souborech a bez souborů
Vysoce přesný antivirový program, který detekuje běžný malware prostřednictvím obecných a heuristických technik.
Pokročilá cloudová ochrana je k dispozici pro případy, kdy Microsoft Defender Antivirus spuštěný na koncovém bodu potřebuje více informací, aby ověřil záměr podezřelého souboru.
1. V případě, že Microsoft Defender Antivirus nedokáže jasně určit, odešlou se do služby cloudové ochrany metadata souborů. Služba cloudové ochrany často během milisekund dokáže na základě metadat určit, jestli je soubor škodlivý nebo ne hrozbou.
  - Cloudový dotaz na metadata souboru může být výsledkem chování, značky webu nebo jiných charakteristik, u kterých není určen jasný verdikt.
  - Odešle se malá datová část metadat s cílem dosáhnout verdiktu malwaru, nebo ne hrozby. Metadata nezahrnují identifikovatelné osobní údaje(PII). Informace, jako jsou názvy souborů, se zatřiďují hodnotou hash.
  - Může být synchronní nebo asynchronní. Synchronní soubor se neotevře, dokud cloud nevykreslí verdikt. V případě asynchronního se soubor otevře, zatímco cloudová ochrana provádí analýzu.
  - Metadata můžou zahrnovat atributy PE, atributy statického souboru, dynamické a kontextové atributy a další (viz Příklady metadat odesílaných do služby cloudové ochrany).
2. Pokud Microsoft Defender antivirová cloudová ochrana nemůže po prozkoumání metadat dosáhnout nezvratného verdiktu, může si vyžádat vzorek souboru k další kontrole. Tento požadavek respektuje konfiguraci nastavení pro odeslání ukázky:
  1. Automatické odesílání bezpečných vzorků
    - Bezpečné ukázky jsou vzorky, které obvykle neobsahují data osobních údajů, jako jsou: .bat, .scr, .dll .exe.
    - Pokud je pravděpodobné, že soubor bude obsahovat osobní údaje, uživatel obdrží žádost o povolení odeslání ukázky souboru.
    - Tato možnost je výchozí ve Windows, macOS a Linuxu.
  2. Vždy se dotázat
    - Pokud je tato konfigurace nakonfigurovaná, zobrazí se uživateli před odesláním souboru vždy výzva k vyjádření souhlasu.
    - Toto nastavení není dostupné v cloudové ochraně macOS a Linuxu.
  3. Automatické odesílání všech ukázek
    - Pokud je nakonfigurovaná, všechny ukázky se odesílají automaticky.
    - Pokud chcete, aby odeslání ukázky zahrnovalo makra vložená do Word docs, musíte zvolit možnost Posílat všechny ukázky automaticky.
    - Toto nastavení není dostupné v cloudové ochraně macOS.
  4. Neposílat
    - Zabraňuje "blokování na první pohled" na základě analýzy vzorku souboru.
    - Možnost Neodesílat je ekvivalentem nastavení Zakázáno v zásadách macOS a Nastavení Žádné v zásadách Linuxu.
    - Metadata se odesílají k detekci i v případě, že je odesílání vzorků zakázané.
3. Po odeslání souborů do cloudové ochrany je možné odeslané soubory zkontrolovat, odpálit a zpracovat prostřednictvím modelů strojového učení analýzy velkých objemů dat, aby bylo možné dosáhnout verdiktu. Vypnutí cloudové ochrany omezuje analýzu jenom na to, co klient může poskytnout prostřednictvím místních modelů strojového učení a podobných funkcí.

Důležité

Blok na první pohled (BAFS) poskytuje detonaci a analýzu, která určuje, jestli je soubor nebo proces bezpečný. BAFS může otevření souboru na chvíli zpozdit, dokud nebude dosaženo verdiktu. Pokud zakážete odesílání vzorků, zakáže se také BAFS a analýza souborů bude omezena pouze na metadata. Doporučujeme ponechat povolené odesílání vzorků a BAFS. Další informace najdete v tématu Co je "blokování na první pohled"?

Úrovně ochrany cloudu

Cloudová ochrana je ve výchozím nastavení povolená v Microsoft Defender Antivirus. Doporučujeme nechat cloudovou ochranu povolenou, i když můžete nakonfigurovat úroveň ochrany pro vaši organizaci. Viz Určení úrovně ochrany do cloudu pro Microsoft Defender Antivirovou ochranu.

Ukázková nastavení odesílání

Kromě konfigurace úrovně cloudové ochrany můžete nakonfigurovat i nastavení ukázkového odesílání. Můžete si vybrat z několika možností:

Automatické odesílání bezpečných ukázek (výchozí chování)
Automatické odesílání všech ukázek
Neodesílat ukázky

Tip

Použití této Send all samples automatically možnosti zajišťuje lepší zabezpečení, protože phishingové útoky se používají pro velké množství útoků na počáteční přístup. Informace o možnostech konfigurace pomocí Intune, Configuration Manager, Zásady skupiny nebo PowerShellu najdete v tématu Zapnutí cloudové ochrany na webu Microsoft Defender Antivirus.

Příklady metadat odesílaných do služby cloudové ochrany

Následující tabulka uvádí příklady metadat odesílaných k analýze cloudovou ochranou:

Typ	Atribut
Atributy počítače	`OS version` `Processor` `Security settings`
Dynamické a kontextové atributy	Proces a instalace `ProcessName` `ParentProcess` `TriggeringSignature` `TriggeringFile` `Download IP and url` `HashedFullPath` `Vpath` `RealPath` `Parent/child relationships` Behaviorální `Connection IPs` `System changes` `API calls` `Process injection` Národní prostředí `Locale setting` `Geographical location`
Atributy statického souboru	Částečné a úplné hodnoty hash `ClusterHash` `Crc16` `Ctph` `ExtendedKcrcs` `ImpHash` `Kcrc3n` `Lshash` `LsHashs` `PartialCrc1` `PartialCrc2` `PartialCrc3` `Sha1` `Sha256` Vlastnosti souboru `FileName` `FileSize` Informace podepisujícího `AuthentiCodeHash` `Issuer` `IssuerHash` `Publisher` `Signer` `SignerHash`

Ukázky se zpracovávají jako zákaznická data.

Pro případ, že vás zajímá, co se stane s ukázkovými odesláními, Defender for Endpoint považuje všechny ukázky souborů za zákaznická data. Microsoft respektuje zeměpisné možnosti i možnosti uchovávání dat vybrané vaší organizací při onboardingu do služby Defender for Endpoint.

Defender for Endpoint navíc obdržel několik certifikací dodržování předpisů, které prokazují trvalé dodržování sofistikované sady kontrolních mechanismů dodržování předpisů:

ISO 27001
ISO 27018
SOC I, II, III
PCI

Chcete-li se dozvědět více informací, podívejte se na následující zdroje:

Další scénáře odesílání ukázkových souborů

Existují další dva scénáře, kdy může Defender for Endpoint požádat o ukázku souboru, který nesouvisí s cloudovou ochranou v Microsoft Defender Antivirové ochraně. Tyto scénáře jsou popsány v následující tabulce:

Scénář	Popis
Ruční kolekce ukázek souborů na portálu Microsoft Defender	Při onboardingu zařízení do Defenderu for Endpoint můžete nakonfigurovat nastavení pro detekci a odezvu koncových bodů (EDR). Existuje například nastavení pro povolení ukázkových kolekcí ze zařízení, které je možné snadno zaměnit s nastavením odesílání ukázek popsaným v tomto článku. Nastavení EDR řídí shromažďování ukázkových souborů ze zařízení na vyžádání prostřednictvím portálu Microsoft Defender a podléhá již vytvořeným rolím a oprávněním. Toto nastavení může povolit nebo blokovat shromažďování souborů z koncového bodu pro funkce, jako je hloubková analýza na portálu Microsoft Defender. Pokud toto nastavení není nakonfigurované, je výchozím nastavením povolit ukázkovou kolekci. Informace o nastavení konfigurace Defenderu for Endpoint najdete v tématu Nástroje a metody onboardingu pro Windows 10 zařízení v Defenderu for Endpoint.
Automatizované prověřování a analýza obsahu odpovědí	Pokud jsou na zařízeních spuštěná automatizovaná šetření (pokud je nakonfigurované automatické spouštění v reakci na výstrahu nebo ručně), je možné z koncových bodů shromáždit soubory, které jsou identifikované jako podezřelé, pro účely další kontroly. V případě potřeby je možné na portálu Microsoft Defender zakázat funkci analýzy obsahu souboru pro automatizovaná šetření. Názvy přípon souborů je také možné upravit a přidat nebo odebrat přípony pro jiné typy souborů, které se automaticky odesílají během automatizovaného šetření. Další informace najdete v tématu Správa nahrávání souborů automatizace.

Scénář

Popis

Ruční kolekce ukázek souborů na portálu Microsoft Defender

Při onboardingu zařízení do Defenderu for Endpoint můžete nakonfigurovat nastavení pro detekci a odezvu koncových bodů (EDR). Existuje například nastavení pro povolení ukázkových kolekcí ze zařízení, které je možné snadno zaměnit s nastavením odesílání ukázek popsaným v tomto článku.

Nastavení EDR řídí shromažďování ukázkových souborů ze zařízení na vyžádání prostřednictvím portálu Microsoft Defender a podléhá již vytvořeným rolím a oprávněním. Toto nastavení může povolit nebo blokovat shromažďování souborů z koncového bodu pro funkce, jako je hloubková analýza na portálu Microsoft Defender. Pokud toto nastavení není nakonfigurované, je výchozím nastavením povolit ukázkovou kolekci.

Informace o nastavení konfigurace Defenderu for Endpoint najdete v tématu Nástroje a metody onboardingu pro Windows 10 zařízení v Defenderu for Endpoint.

Automatizované prověřování a analýza obsahu odpovědí

Pokud jsou na zařízeních spuštěná automatizovaná šetření (pokud je nakonfigurované automatické spouštění v reakci na výstrahu nebo ručně), je možné z koncových bodů shromáždit soubory, které jsou identifikované jako podezřelé, pro účely další kontroly. V případě potřeby je možné na portálu Microsoft Defender zakázat funkci analýzy obsahu souboru pro automatizovaná šetření.

Názvy přípon souborů je také možné upravit a přidat nebo odebrat přípony pro jiné typy souborů, které se automaticky odesílají během automatizovaného šetření.

Další informace najdete v tématu Správa nahrávání souborů automatizace.

Tip

Pokud hledáte informace související s antivirovou ochranou pro jiné platformy, podívejte se na:

Viz také

Přehled ochrany nové generace

Nakonfigurujte nápravu pro zjišťování Microsoft Defender antivirové ochrany.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.