Felhővédelem és mintabeküldés a Microsoft Defender Víruskeresőnél
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender víruskereső
Platformok
A Windows
macOS
Linux
Windows Server
Microsoft Defender víruskereső számos intelligens mechanizmust használ a kártevők észleléséhez. Az egyik leghatékonyabb képesség a felhő képességeinek alkalmazása a kártevők észlelésére és gyors elemzésre. A felhővédelem és az automatikus mintaküldés a Microsoft Defender Víruskeresővel együttműködve segít megvédeni az új és a felmerülő fenyegetéseket.
Ha gyanús vagy rosszindulatú fájlt észlel, a rendszer elemzés céljából elküld egy mintát a felhőszolgáltatásnak, miközben Microsoft Defender víruskereső letiltja a fájlt. Amint megtörténik a meghatározás, ami gyorsan megtörténik, a fájlt vagy felszabadítja vagy letiltja Microsoft Defender víruskereső.
Ez a cikk áttekintést nyújt a felhővédelemről és az automatikus mintaküldésről a Microsoft Defender Víruskereső webhelyen. A felhővédelemmel kapcsolatos további információkért lásd: Felhővédelem és Microsoft Defender víruskereső.
A felhővédelem és a mintabeküldés együttműködése
A felhővédelem és a mintabeküldés működésének megértéséhez hasznos lehet megérteni, hogy a Végponthoz készült Defender hogyan véd a fenyegetések ellen. A Microsoft Intelligent Security Graph az érzékelők hatalmas hálózatából figyeli a fenyegetések adatait. A Microsoft olyan felhőalapú gépi tanulási modelleket rétegz, amelyek az ügyféltől érkező jelek, valamint az intelligens biztonsági gráfban található érzékelők és adatok hatalmas hálózata alapján értékelik a fájlokat. Ez a megközelítés lehetővé teszi a Végponthoz készült Defender számára, hogy számos soha nem látott fenyegetést blokkoljon.
Az alábbi kép a felhővédelem folyamatát és a Microsoft Defender víruskeresővel történő mintaküldést mutatja be:
Microsoft Defender víruskereső és felhővédelem automatikusan blokkolja a legtöbb új, soha nem látott fenyegetést első látásra az alábbi módszerekkel:
Egyszerűsített ügyfélalapú gépi tanulási modellek, amelyek blokkolják az új és ismeretlen kártevőket.
Helyi viselkedéselemzés, fájlalapú és fájl nélküli támadások leállítása.
Nagy pontosságú víruskereső, amely általános és heurisztikus technikákkal észleli a gyakori kártevőket.
A speciális felhőalapú védelem olyan esetekben érhető el, amikor a végponton futó Microsoft Defender víruskeresőnek több intelligenciára van szüksége egy gyanús fájl szándékának ellenőrzéséhez.
Abban az esetben, ha Microsoft Defender víruskereső nem tud egyértelmű meghatározást végezni, a rendszer elküldi a fájl metaadatait a felhővédelmi szolgáltatásnak. A felhővédelmi szolgáltatás gyakran ezredmásodpercben képes meghatározni a metaadatok alapján, hogy a fájl kártékony-e vagy sem.
- A fájl metaadatainak felhőbeli lekérdezése viselkedés, a webjel vagy más olyan jellemzők eredménye lehet, ahol a rendszer nem határoz meg egyértelmű ítéletet.
- A rendszer kis mennyiségű metaadat-hasznos adat küldését célul tűzi ki, amelynek célja, hogy kártevőt vagy fenyegetést hozzon. A metaadatok nem tartalmaznak személyazonosításra alkalmas adatokat (PII). Az olyan információk, mint a fájlnevek kivonatolása.
- Lehet szinkron vagy aszinkron. Szinkron esetén a fájl csak akkor nyílik meg, ha a felhő ítéletet jelenít meg. Aszinkron esetben a fájl megnyílik, miközben a felhővédelem elvégzi az elemzést.
- A metaadatok tartalmazhatnak PE-attribútumokat, statikus fájlattribútumokat, dinamikus és környezetfüggő attribútumokat stb. (lásd: Példák a felhővédelmi szolgáltatásnak küldött metaadatokra).
A metaadatok vizsgálata után, ha Microsoft Defender víruskereső felhővédelmi szolgáltatása nem tud meggyőző ítéletet elérni, további vizsgálat céljából mintafájlt kérhet a fájlból. Ez a kérés figyelembe veszi a mintaküldés beállításkonfigurációját:
Biztonságos minták automatikus küldése
- A biztonságos minták olyan minták, amelyek általában nem tartalmaznak PII-adatokat, például: .bat, .scr, .dll, .exe.
- Ha a fájl valószínűleg TARTALMAZ PII-t, a felhasználó kérést kap a fájlminta beküldésének engedélyezésére.
- Ez az alapértelmezett beállítás Windows, macOS és Linux rendszeren.
Mindig rákérdezés
- Ha konfigurálva van, a rendszer mindig hozzájárulást kér a felhasználótól a fájlbeküldés előtt
- Ez a beállítás macOS- és Linux-felhővédelemben nem érhető el
Az összes minta automatikus küldése
- Ha konfigurálva van, a rendszer automatikusan elküldi az összes mintát
- Ha azt szeretné, hogy a mintabeküldés Word dokumentumokba beágyazott makrókat is tartalmazzon, válassza az "Összes minta automatikus küldése" lehetőséget.
- Ez a beállítás nem érhető el a macOS-felhővédelemben
Ne küldjön
- Megakadályozza a "blokk első látásra" a fájlminta elemzése alapján
- A "Ne küldjön" a macOS-szabályzat "Letiltva" és a Linux-szabályzat "Nincs" beállításának felel meg.
- A rendszer akkor is elküldi a metaadatokat az észlelésekhez, ha a mintaküldés le van tiltva
A fájlok felhővédelmére való elküldése után a beküldött fájlok megvizsgálhatók, detonálhatók és feldolgozhatók big data-elemzésigépi tanulási modelleken keresztül, hogy elérjék az ítéletet. A felhőben biztosított védelmi korlátok elemzésének kikapcsolása csak arra, amit az ügyfél a helyi gépi tanulási modelleken és hasonló funkciókon keresztül tud biztosítani.
Fontos
A blokk első látásra (BAFS) detonációt és elemzést biztosít annak megállapításához, hogy egy fájl vagy folyamat biztonságos-e. A BAFS késleltetheti egy fájl megnyitását, amíg el nem éri az ítéletet. Ha letiltja a mintaküldést, a BAFS is le van tiltva, és a fájlelemzés csak metaadatokra korlátozódik. Javasoljuk, hogy hagyja engedélyezve a mintaküldést és a BAFS-t. További információ: Mi a "blokk első látásra"?
Felhővédelmi szintek
A felhővédelem alapértelmezés szerint engedélyezve van a Microsoft Defender víruskeresőben. Javasoljuk, hogy hagyja engedélyezve a felhővédelmet, de konfigurálhatja a szervezet védelmi szintjét. Lásd: A Microsoft Defender víruskereső felhőben biztosított védelmi szintjének megadása.
Mintabeküldési beállítások
A felhővédelmi szint konfigurálása mellett a mintaküldési beállításokat is konfigurálhatja. Több lehetőség közül választhat:
- Biztonságos minták automatikus küldése (az alapértelmezett viselkedés)
- Az összes minta automatikus küldése
- Ne küldjön mintákat
Tipp
Send all samples automatically
A beállítás használata nagyobb biztonságot nyújt, mivel az adathalász támadások nagy mennyiségű kezdeti hozzáférési támadáshoz használatosak.
A Intune, Configuration Manager, Csoportházirend vagy PowerShell használatával elérhető konfigurációs lehetőségekről a Felhővédelem bekapcsolása a Microsoft Defender víruskeresőben című témakörben talál további információt.
Példák a felhővédelmi szolgáltatásnak küldött metaadatokra
Az alábbi táblázat a felhővédelem által elemzésre küldött metaadatok példáit sorolja fel:
Típus | Attribútum |
---|---|
Gépattribútumok | OS version Processor Security settings |
Dinamikus és környezetfüggő attribútumok | Feldolgozás és telepítés ProcessName ParentProcess TriggeringSignature TriggeringFile Download IP and url HashedFullPath Vpath RealPath Parent/child relationships Viselkedési Connection IPs System changes API calls Process injection Locale Locale setting Geographical location |
Statikus fájlattribútumok | Részleges és teljes kivonatok ClusterHash Crc16 Ctph ExtendedKcrcs ImpHash Kcrc3n Lshash LsHashs PartialCrc1 PartialCrc2 PartialCrc3 Sha1 Sha256 Fájltulajdonságok FileName FileSize Aláíró adatai AuthentiCodeHash Issuer IssuerHash Publisher Signer SignerHash |
A minták ügyféladatokként vannak kezelve
Ha kíváncsi arra, hogy mi történik a mintabeküldésekkel, a Végponthoz készült Defender az összes fájlmintát ügyféladatként kezeli. A Microsoft figyelembe veszi a végponthoz készült Defender előkészítésekor kiválasztott földrajzi és adatmegőrzési lehetőségeket is.
Emellett a Végponthoz készült Defender több megfelelőségi tanúsítványt is kapott, amelyek igazolják a megfelelőségi vezérlők kifinomult készletének folyamatos betartását:
- ISO 27001
- ISO 27018
- SOC I, II, III
- PCI
További információt a következő források tartalmaznak:
- Azure-megfelelőségi ajánlatok
- Szolgáltatásmegbízhatósági portál
- Végponthoz készült Microsoft Defender adattárolás és adatvédelem
Egyéb fájlbeküldési forgatókönyvek
A Végponthoz készült Defender két további esetben kérhet olyan fájlmintát, amely nem kapcsolódik a Microsoft Defender víruskereső felhővédelméhez. Ezeket a forgatókönyveket az alábbi táblázatban ismertetjük:
Forgatókönyv | Leírás |
---|---|
Manuális fájlminta-gyűjtemény a Microsoft Defender portálon | Amikor eszközöket regisztrál a Végponthoz készült Defenderbe, konfigurálhatja a végpontészlelés és -válasz (EDR) beállításait. Van például egy beállítás, amely engedélyezi az eszközről származó mintagyűjteményeket, ami könnyen összetéveszthető az ebben a cikkben ismertetett mintaküldési beállításokkal. Az EDR-beállítás szabályozza a fájlminta gyűjtését az eszközökről, amikor a Microsoft Defender portálon keresztül kérik, és a már létrehozott szerepkörök és engedélyek vonatkoznak rá. Ez a beállítás engedélyezheti vagy letilthatja a fájlgyűjtést a végpontról olyan funkciók esetében, mint például a Microsoft Defender portálon történő mély elemzés. Ha ez a beállítás nincs konfigurálva, az alapértelmezett beállítás a mintagyűjtés engedélyezése. További információ a Végponthoz készült Defender konfigurációs beállításairól: Eszközök előkészítése Windows 10 eszközökhöz a Végponthoz készült Defenderben |
Automatizált vizsgálat és választartalom-elemzés | Ha az eszközökön automatizált vizsgálat fut (ha úgy van konfigurálva, hogy riasztásra válaszul automatikusan fusson, vagy manuálisan fut), a gyanúsként azonosított fájlok további vizsgálat céljából összegyűjthetők a végpontokról. Szükség esetén az automatikus vizsgálatok fájltartalom-elemzési funkciója le is tiltható a Microsoft Defender portálon. A fájlkiterjesztések nevei is módosíthatók más fájltípusok bővítményeinek hozzáadásához vagy eltávolításához, amelyeket a rendszer automatikusan elküld egy automatikus vizsgálat során. További információ: Automation-fájlfeltöltések kezelése. |
Tipp
Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:
- Végponthoz készült Microsoft Defender beállítása macOS rendszeren
- Végponthoz készült Microsoft Defender Macen
- MacOS víruskereső házirend-beállításai az Intune-hoz készült Microsoft Defender víruskeresőhöz
- Végponthoz készült Microsoft Defender beállítása Linux rendszeren
- Végponthoz készült Microsoft Defender Linuxon
- Végponthoz készült Defender konfigurálása Android-funkciókon
- Végponthoz készült Microsoft Defender konfigurálása iOS-funkciókon
Lásd még
Következő generációs védelem áttekintése
Konfigurálja a Microsoft Defender víruskereső észlelésének szervizelését.
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: