Cloudbeskyttelse og eksempelindsendelse på Microsoft Defender Antivirus

Artikel
04/26/2024

Gælder for:

Platforme

Windows
Macos
Linux
Windows Server

Microsoft Defender Antivirus bruger mange intelligente mekanismer til at registrere malware. En af de mest effektive funktioner er muligheden for at anvende styrken i skyen til at registrere malware og udføre hurtige analyser. Cloudbeskyttelse og automatisk indsendelse af eksempler arbejder sammen med Microsoft Defender Antivirus for at beskytte mod nye og nye trusler.

Hvis der registreres en mistænkelig eller skadelig fil, sendes der et eksempel til cloudtjenesten til analyse, mens Microsoft Defender Antivirus blokerer filen. Så snart en bestemmelse er foretaget, hvilket sker hurtigt, er filen enten frigivet eller blokeret af Microsoft Defender Antivirus.

Denne artikel indeholder en oversigt over skybeskyttelse og automatisk indsendelse af eksempler på Microsoft Defender Antivirus. Du kan få mere at vide om cloudbeskyttelse under Cloudbeskyttelse og Microsoft Defender Antivirus.

Sådan arbejder cloudbeskyttelse og eksempelindsendelse sammen

For at forstå, hvordan cloudbeskyttelse fungerer sammen med eksempelindsendelse, kan det være nyttigt at forstå, hvordan Defender for Endpoint beskytter mod trusler. Microsoft Intelligent Security Graph overvåger trusselsdata fra et stort netværk af sensorer. Microsoft lager cloudbaserede modeller til maskinel indlæring, der kan vurdere filer baseret på signaler fra klienten og det enorme netværk af sensorer og data i Intelligent Security Graph. Denne fremgangsmåde giver Defender for Endpoint mulighed for at blokere mange aldrig før sete trusler.

På følgende billede vises flowet for skybeskyttelse og eksempelindsendelse med Microsoft Defender Antivirus:

Microsoft Defender Antivirus og cloudbeskyttelse blokerer automatisk de fleste nye, aldrig før sete trusler ved første øjekast ved hjælp af følgende metoder:

Letvægtsklientbaserede modeller til maskinel indlæring, der blokerer ny og ukendt malware.
Lokal adfærdsanalyse, der stopper filbaserede og filfri angreb.
Højpræcision antivirus, registrering af almindelig malware gennem generiske og heuristiske teknikker.
Avanceret skybaseret beskyttelse leveres i tilfælde, hvor Microsoft Defender Antivirus, der kører på slutpunktet, har brug for mere intelligens for at bekræfte hensigten med en mistænkelig fil.
1. Hvis Microsoft Defender Antivirus ikke kan træffe en klar beslutning, sendes filmetadata til cloudbeskyttelsestjenesten. Cloudbeskyttelsestjenesten kan ofte inden for millisekunder afgøre, om filen er skadelig eller ej, baseret på metadataene.
  - Cloudforespørgslen for filmetadata kan være et resultat af funktionsmåde, webmærker eller andre egenskaber, hvor der ikke er fastlagt en klar dom.
  - Der sendes en lille metadatanyttedata med det formål at nå frem til en dom over malware eller ikke en trussel. Metadataene indeholder ikke personidentificerbare oplysninger. Oplysninger som f.eks. filnavne hashkodes.
  - Kan være synkron eller asynkron. Hvis filen er synkron, åbnes den først, når skyen har gengivet en dom. For asynkrone åbnes filen, mens cloudbeskyttelse udfører analysen.
  - Metadata kan omfatte PE-attributter, statiske filattributter, dynamiske og kontekstafhængige attributter m.m. (se Eksempler på metadata, der er sendt til cloudbeskyttelsestjenesten).
2. Efter undersøgelse af metadataene, hvis Microsoft Defender Antivirus cloudbeskyttelse ikke kan nå frem til en afgørende dom, kan den anmode om en prøve af filen til yderligere inspektion. Denne anmodning imødekommer konfigurationen af indstillingerne for indsendelse af eksempel:
  1. Send automatisk sikre eksempler
    - Sikre eksempler er eksempler, der anses for ikke at indeholde pii-data som f.eks.: .bat, .scr, .dll, .exe.
    - Hvis filen sandsynligvis indeholder pii, får brugeren en anmodning om at tillade indsendelse af fileksempel.
    - Denne indstilling er standard på Windows, macOS og Linux.
  2. Spørg altid
    - Hvis den er konfigureret, bliver brugeren altid bedt om samtykke, før filen indsendes
    - Denne indstilling er ikke tilgængelig i cloudbeskyttelsen macOS og Linux
  3. Send alle eksempler automatisk
    - Hvis den er konfigureret, sendes alle eksempler automatisk
    - Hvis du vil medtage makroer, der er integreret i Word dokumenter, skal du vælge "Send alle eksempler automatisk"
    - Denne indstilling er ikke tilgængelig på macOS Cloud Protection
  4. Send ikke
    - Forhindrer "blok ved første øjekast" baseret på fileksempelanalyse
    - "Send ikke" svarer til indstillingen "Deaktiveret" i macOS-politikken og indstillingen "Ingen" i Linux-politikken.
    - Metadata sendes til registreringer, selvom eksempelafsendelse er deaktiveret
3. Når filerne er sendt til cloudbeskyttelse, kan de indsendte filer scannes, detoneres og behandles via modeller til maskinel indlæring til analyse af big data for at nå frem til en dom. Deaktivering af analyse af beskyttelsesgrænser, der leveres af skyen, til kun at angive, hvad klienten kan levere via lokale modeller til maskinel indlæring og lignende funktioner.

Vigtigt!

BAFS (Block ved første øjekast) giver detonation og analyse til at afgøre, om en fil eller proces er sikker. BAFS kan udskyde åbningen af en fil midlertidigt, indtil en dom er nået. Hvis du deaktiverer eksempelindsendelse, deaktiveres BAFS også, og filanalyse er begrænset til kun metadata. Vi anbefaler, at eksempelindsendelse og BAFS er aktiveret. Du kan få mere at vide under Hvad er "blok ved første øjekast"?

Skybeskyttelsesniveauer

Cloudbeskyttelse er som standard aktiveret ved Microsoft Defender Antivirus. Vi anbefaler, at du holder cloudbeskyttelse aktiveret, selvom du kan konfigurere beskyttelsesniveauet for din organisation. Se Angiv det skybaserede beskyttelsesniveau for Microsoft Defender Antivirus.

Indstillinger for eksempelindsendelse

Ud over at konfigurere dit cloudbeskyttelsesniveau kan du konfigurere indstillingerne for indsendelse af eksempler. Du kan vælge mellem flere indstillinger:

Send automatisk sikre eksempler (standardfunktionsmåden)
Send alle eksempler automatisk
Send ikke eksempler

Tip

Brug af indstillingen Send all samples automatically giver bedre sikkerhed, fordi phishing-angreb bruges til en stor mængde indledende adgangsangreb. Du kan få oplysninger om konfigurationsindstillinger ved hjælp af Intune, Configuration Manager, Gruppepolitik eller PowerShell under Slå skybeskyttelse til på Microsoft Defender Antivirus.

Eksempler på metadata, der er sendt til cloudbeskyttelsestjenesten

I følgende tabel vises eksempler på metadata, der er sendt til analyse af cloudbeskyttelse:

Type	Attribut
Computerattributter	`OS version` `Processor` `Security settings`
Dynamiske og kontekstafhængige attributter	Proces og installation `ProcessName` `ParentProcess` `TriggeringSignature` `TriggeringFile` `Download IP and url` `HashedFullPath` `Vpath` `RealPath` `Parent/child relationships` Adfærdsmæssige `Connection IPs` `System changes` `API calls` `Process injection` Landestandard `Locale setting` `Geographical location`
Statiske filattributter	Delvise og fulde hashværdier `ClusterHash` `Crc16` `Ctph` `ExtendedKcrcs` `ImpHash` `Kcrc3n` `Lshash` `LsHashs` `PartialCrc1` `PartialCrc2` `PartialCrc3` `Sha1` `Sha256` Filegenskaber `FileName` `FileSize` Underskriveroplysninger `AuthentiCodeHash` `Issuer` `IssuerHash` `Publisher` `Signer` `SignerHash`

Eksempler behandles som kundedata

Hvis du undrer dig over, hvad der sker med eksempelindsendelser, behandler Defender for Endpoint alle fileksempler som kundedata. Microsoft hædr både de geografiske og dataopbevaringsvalg, som din organisation har valgt, når du onboarder til Defender for Endpoint.

Derudover har Defender for Endpoint modtaget flere certificeringer af overholdelse af angivne standarder og demonstreret fortsat overholdelse af et avanceret sæt kontrolfunktioner til overholdelse af angivne standarder:

ISO 27001
ISO 27018
SOC I, II, III
PCI

Du kan få flere oplysninger i følgende ressourcer:

Andre scenarier for indsendelse af fileksempel

Der er to scenarier mere, hvor Defender for Endpoint kan anmode om et fileksempel, der ikke er relateret til cloudbeskyttelsen på Microsoft Defender Antivirus. Disse scenarier er beskrevet i følgende tabel:

Scenarie	Beskrivelse
Manuel fileksempelsamling på Microsoft Defender-portalen	Når du onboarder enheder til Defender for Endpoint, kan du konfigurere indstillinger for EDR (Endpoint Detection and Response). Der er f.eks. en indstilling til aktivering af eksempelsamlinger fra enheden, som nemt kan forveksles med de indstillinger for indsendelse af eksempler, der er beskrevet i denne artikel. EDR-indstillingen styrer indsamling af fileksempler fra enheder, når der anmodes om det via Microsoft Defender portalen, og den er underlagt de roller og tilladelser, der allerede er oprettet. Denne indstilling kan tillade eller blokere filsamling fra slutpunktet for funktioner som dyb analyse på Microsoft Defender-portalen. Hvis denne indstilling ikke er konfigureret, er standarden at aktivere eksempelsamling. Få mere at vide om konfigurationsindstillinger for Defender for Endpoint under: Onboarding-værktøjer og -metoder til Windows 10 enheder i Defender for Endpoint
Automatiseret undersøgelse og analyse af svarindhold	Når automatiserede undersøgelser kører på enheder (når de er konfigureret til at køre automatisk som svar på en besked eller manuelt kørsel), kan filer, der er identificeret som mistænkelige, indsamles fra slutpunkterne for yderligere inspektion. Hvis det er nødvendigt, kan funktionen til filindholdsanalyse for automatiserede undersøgelser deaktiveres på Microsoft Defender-portalen. Filtypenavnene kan også ændres for at tilføje eller fjerne filtypenavne for andre filtyper, der sendes automatisk under en automatisk undersøgelse. Du kan få mere at vide under Administrer automatiske filoverførsler.

Scenarie

Beskrivelse

Manuel fileksempelsamling på Microsoft Defender-portalen

Når du onboarder enheder til Defender for Endpoint, kan du konfigurere indstillinger for EDR (Endpoint Detection and Response). Der er f.eks. en indstilling til aktivering af eksempelsamlinger fra enheden, som nemt kan forveksles med de indstillinger for indsendelse af eksempler, der er beskrevet i denne artikel.

EDR-indstillingen styrer indsamling af fileksempler fra enheder, når der anmodes om det via Microsoft Defender portalen, og den er underlagt de roller og tilladelser, der allerede er oprettet. Denne indstilling kan tillade eller blokere filsamling fra slutpunktet for funktioner som dyb analyse på Microsoft Defender-portalen. Hvis denne indstilling ikke er konfigureret, er standarden at aktivere eksempelsamling.

Få mere at vide om konfigurationsindstillinger for Defender for Endpoint under: Onboarding-værktøjer og -metoder til Windows 10 enheder i Defender for Endpoint

Automatiseret undersøgelse og analyse af svarindhold

Når automatiserede undersøgelser kører på enheder (når de er konfigureret til at køre automatisk som svar på en besked eller manuelt kørsel), kan filer, der er identificeret som mistænkelige, indsamles fra slutpunkterne for yderligere inspektion. Hvis det er nødvendigt, kan funktionen til filindholdsanalyse for automatiserede undersøgelser deaktiveres på Microsoft Defender-portalen.

Filtypenavnene kan også ændres for at tilføje eller fjerne filtypenavne for andre filtyper, der sendes automatisk under en automatisk undersøgelse.

Du kan få mere at vide under Administrer automatiske filoverførsler.

Tip

Hvis du leder efter antivirusrelaterede oplysninger til andre platforme, skal du se:

Se også

Oversigt over næste generations beskyttelse

Konfigurer afhjælpning for Microsoft Defender Antivirus-registreringer.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.