Share via

Felhővédelem és mintabeküldés a Microsoft Defender Víruskeresőnél

  • Cikk

Érintett szolgáltatás:

Platformok

  • A Windows

  • macOS

  • Linux

  • Windows Server

Microsoft Defender víruskereső számos intelligens mechanizmust használ a kártevők észleléséhez. Az egyik leghatékonyabb képesség a felhő képességeinek alkalmazása a kártevők észlelésére és gyors elemzésre. A felhővédelem és az automatikus mintaküldés a Microsoft Defender Víruskeresővel együttműködve segít megvédeni az új és a felmerülő fenyegetéseket.

Ha gyanús vagy rosszindulatú fájlt észlel, a rendszer elemzés céljából elküld egy mintát a felhőszolgáltatásnak, miközben Microsoft Defender víruskereső letiltja a fájlt. Amint megtörténik a meghatározás, ami gyorsan megtörténik, a fájlt vagy felszabadítja vagy letiltja Microsoft Defender víruskereső.

Ez a cikk áttekintést nyújt a felhővédelemről és az automatikus mintaküldésről a Microsoft Defender Víruskereső webhelyen. A felhővédelemmel kapcsolatos további információkért lásd: Felhővédelem és Microsoft Defender víruskereső.

A felhővédelem és a mintabeküldés együttműködése

A felhővédelem és a mintabeküldés működésének megértéséhez hasznos lehet megérteni, hogy a Végponthoz készült Defender hogyan véd a fenyegetések ellen. A Microsoft Intelligent Security Graph az érzékelők hatalmas hálózatából figyeli a fenyegetések adatait. A Microsoft olyan felhőalapú gépi tanulási modelleket rétegz, amelyek az ügyféltől érkező jelek, valamint az intelligens biztonsági gráfban található érzékelők és adatok hatalmas hálózata alapján értékelik a fájlokat. Ez a megközelítés lehetővé teszi a Végponthoz készült Defender számára, hogy számos soha nem látott fenyegetést blokkoljon.

Az alábbi kép a felhővédelem folyamatát és a Microsoft Defender víruskeresővel történő mintaküldést mutatja be:

Felhőben biztosított védelmi folyamat

Microsoft Defender víruskereső és felhővédelem automatikusan blokkolja a legtöbb új, soha nem látott fenyegetést első látásra az alábbi módszerekkel:

  1. Egyszerűsített ügyfélalapú gépi tanulási modellek, amelyek blokkolják az új és ismeretlen kártevőket.

  2. Helyi viselkedéselemzés, fájlalapú és fájl nélküli támadások leállítása.

  3. Nagy pontosságú víruskereső, amely általános és heurisztikus technikákkal észleli a gyakori kártevőket.

  4. A speciális felhőalapú védelem olyan esetekben érhető el, amikor a végponton futó Microsoft Defender víruskeresőnek több intelligenciára van szüksége egy gyanús fájl szándékának ellenőrzéséhez.

    1. Abban az esetben, ha Microsoft Defender víruskereső nem tud egyértelmű meghatározást végezni, a rendszer elküldi a fájl metaadatait a felhővédelmi szolgáltatásnak. A felhővédelmi szolgáltatás gyakran ezredmásodpercben képes meghatározni a metaadatok alapján, hogy a fájl kártékony-e vagy sem.

      • A fájl metaadatainak felhőbeli lekérdezése viselkedés, a webjel vagy más olyan jellemzők eredménye lehet, ahol a rendszer nem határoz meg egyértelmű ítéletet.
      • A rendszer kis mennyiségű metaadat-hasznos adat küldését célul tűzi ki, amelynek célja, hogy kártevőt vagy fenyegetést hozzon. A metaadatok nem tartalmaznak személyazonosításra alkalmas adatokat (PII). Az olyan információk, mint a fájlnevek kivonatolása.
      • Lehet szinkron vagy aszinkron. Szinkron esetén a fájl csak akkor nyílik meg, ha a felhő ítéletet jelenít meg. Aszinkron esetben a fájl megnyílik, miközben a felhővédelem elvégzi az elemzést.
      • A metaadatok tartalmazhatnak PE-attribútumokat, statikus fájlattribútumokat, dinamikus és környezetfüggő attribútumokat stb. (lásd: Példák a felhővédelmi szolgáltatásnak küldött metaadatokra).

    2. A metaadatok vizsgálata után, ha Microsoft Defender víruskereső felhővédelmi szolgáltatása nem tud meggyőző ítéletet elérni, további vizsgálat céljából mintafájlt kérhet a fájlból. Ez a kérés figyelembe veszi a mintaküldés beállításkonfigurációját:

      1. Biztonságos minták automatikus küldése

        • A biztonságos minták olyan minták, amelyek általában nem tartalmaznak PII-adatokat, például: .bat, .scr, .dll, .exe.
        • Ha a fájl valószínűleg TARTALMAZ PII-t, a felhasználó kérést kap a fájlminta beküldésének engedélyezésére.
        • Ez az alapértelmezett beállítás Windows, macOS és Linux rendszeren.

      2. Mindig rákérdezés

        • Ha konfigurálva van, a rendszer mindig hozzájárulást kér a felhasználótól a fájlbeküldés előtt
        • Ez a beállítás macOS- és Linux-felhővédelemben nem érhető el

      3. Az összes minta automatikus küldése

        • Ha konfigurálva van, a rendszer automatikusan elküldi az összes mintát
        • Ha azt szeretné, hogy a mintabeküldés Word dokumentumokba beágyazott makrókat is tartalmazzon, válassza az "Összes minta automatikus küldése" lehetőséget.
        • Ez a beállítás nem érhető el a macOS-felhővédelemben

      4. Ne küldjön

        • Megakadályozza a "blokk első látásra" a fájlminta elemzése alapján
        • A "Ne küldjön" a macOS-szabályzat "Letiltva" és a Linux-szabályzat "Nincs" beállításának felel meg.
        • A rendszer akkor is elküldi a metaadatokat az észlelésekhez, ha a mintaküldés le van tiltva

    3. A fájlok felhővédelmére való elküldése után a beküldött fájlok megvizsgálhatók, detonálhatók és feldolgozhatók big data-elemzésigépi tanulási modelleken keresztül, hogy elérjék az ítéletet. A felhőben biztosított védelmi korlátok elemzésének kikapcsolása csak arra, amit az ügyfél a helyi gépi tanulási modelleken és hasonló funkciókon keresztül tud biztosítani.

Fontos

A blokk első látásra (BAFS) detonációt és elemzést biztosít annak megállapításához, hogy egy fájl vagy folyamat biztonságos-e. A BAFS késleltetheti egy fájl megnyitását, amíg el nem éri az ítéletet. Ha letiltja a mintaküldést, a BAFS is le van tiltva, és a fájlelemzés csak metaadatokra korlátozódik. Javasoljuk, hogy hagyja engedélyezve a mintaküldést és a BAFS-t. További információ: Mi a "blokk első látásra"?

Felhővédelmi szintek

A felhővédelem alapértelmezés szerint engedélyezve van a Microsoft Defender víruskeresőben. Javasoljuk, hogy hagyja engedélyezve a felhővédelmet, de konfigurálhatja a szervezet védelmi szintjét. Lásd: A Microsoft Defender víruskereső felhőben biztosított védelmi szintjének megadása.

Mintabeküldési beállítások

A felhővédelmi szint konfigurálása mellett a mintaküldési beállításokat is konfigurálhatja. Több lehetőség közül választhat:

  • Biztonságos minták automatikus küldése (az alapértelmezett viselkedés)
  • Az összes minta automatikus küldése
  • Ne küldjön mintákat

Tipp

Send all samples automatically A beállítás használata nagyobb biztonságot nyújt, mivel az adathalász támadások nagy mennyiségű kezdeti hozzáférési támadáshoz használatosak. A Intune, Configuration Manager, Csoportházirend vagy PowerShell használatával elérhető konfigurációs lehetőségekről a Felhővédelem bekapcsolása a Microsoft Defender víruskeresőben című témakörben talál további információt.

Példák a felhővédelmi szolgáltatásnak küldött metaadatokra

A Microsoft Defender víruskereső portálon a felhővédelemnek küldött metaadatok példái

Az alábbi táblázat a felhővédelem által elemzésre küldött metaadatok példáit sorolja fel:

Típus Attribútum
Gépattribútumok OS version
Processor
Security settings
Dinamikus és környezetfüggő attribútumok Feldolgozás és telepítés
ProcessName
ParentProcess
TriggeringSignature
TriggeringFile
Download IP and url
HashedFullPath
Vpath
RealPath
Parent/child relationships

Viselkedési
Connection IPs
System changes
API calls
Process injection

Locale
Locale setting
Geographical location
Statikus fájlattribútumok Részleges és teljes kivonatok
ClusterHash
Crc16
Ctph
ExtendedKcrcs
ImpHash
Kcrc3n
Lshash
LsHashs
PartialCrc1
PartialCrc2
PartialCrc3
Sha1
Sha256

Fájltulajdonságok
FileName
FileSize

Aláíró adatai
AuthentiCodeHash
Issuer
IssuerHash
Publisher
Signer
SignerHash

A minták ügyféladatokként vannak kezelve

Ha kíváncsi arra, hogy mi történik a mintabeküldésekkel, a Végponthoz készült Defender az összes fájlmintát ügyféladatként kezeli. A Microsoft figyelembe veszi a végponthoz készült Defender előkészítésekor kiválasztott földrajzi és adatmegőrzési lehetőségeket is.

Emellett a Végponthoz készült Defender több megfelelőségi tanúsítványt is kapott, amelyek igazolják a megfelelőségi vezérlők kifinomult készletének folyamatos betartását:

  • ISO 27001
  • ISO 27018
  • SOC I, II, III
  • PCI

További információt a következő források tartalmaznak:

Egyéb fájlbeküldési forgatókönyvek

A Végponthoz készült Defender két további esetben kérhet olyan fájlmintát, amely nem kapcsolódik a Microsoft Defender víruskereső felhővédelméhez. Ezeket a forgatókönyveket az alábbi táblázatban ismertetjük:

Forgatókönyv Leírás
Manuális fájlminta-gyűjtemény a Microsoft Defender portálon Amikor eszközöket regisztrál a Végponthoz készült Defenderbe, konfigurálhatja a végpontészlelés és -válasz (EDR) beállításait. Van például egy beállítás, amely engedélyezi az eszközről származó mintagyűjteményeket, ami könnyen összetéveszthető az ebben a cikkben ismertetett mintaküldési beállításokkal.

Az EDR-beállítás szabályozza a fájlminta gyűjtését az eszközökről, amikor a Microsoft Defender portálon keresztül kérik, és a már létrehozott szerepkörök és engedélyek vonatkoznak rá. Ez a beállítás engedélyezheti vagy letilthatja a fájlgyűjtést a végpontról olyan funkciók esetében, mint például a Microsoft Defender portálon történő mély elemzés. Ha ez a beállítás nincs konfigurálva, az alapértelmezett beállítás a mintagyűjtés engedélyezése.

További információ a Végponthoz készült Defender konfigurációs beállításairól: Eszközök előkészítése Windows 10 eszközökhöz a Végponthoz készült Defenderben
Automatizált vizsgálat és választartalom-elemzés Ha az eszközökön automatizált vizsgálat fut (ha úgy van konfigurálva, hogy riasztásra válaszul automatikusan fusson, vagy manuálisan fut), a gyanúsként azonosított fájlok további vizsgálat céljából összegyűjthetők a végpontokról. Szükség esetén az automatikus vizsgálatok fájltartalom-elemzési funkciója le is tiltható a Microsoft Defender portálon.

A fájlkiterjesztések nevei is módosíthatók más fájltípusok bővítményeinek hozzáadásához vagy eltávolításához, amelyeket a rendszer automatikusan elküld egy automatikus vizsgálat során.

További információ: Automation-fájlfeltöltések kezelése.

Tipp

Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:

Lásd még

Következő generációs védelem áttekintése

Konfigurálja a Microsoft Defender víruskereső észlelésének szervizelését.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.