Gestire le esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender
Si applica a:
- Antivirus Microsoft Defender
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
Piattaforme
- Windows
Nota
In qualità di MVP Microsoft, Fabian Bader ha contribuito a questo articolo e ha fornito feedback materiale.
Microsoft Defender per endpoint include un'ampia gamma di funzionalità per prevenire, rilevare, analizzare e rispondere a minacce informatiche avanzate. Queste funzionalità includono la protezione di nuova generazione (che include Microsoft Defender Antivirus). Come con qualsiasi soluzione di endpoint protection o antivirus, a volte i file, le cartelle o i processi che non sono effettivamente una minaccia possono essere rilevati come dannosi da Defender per endpoint o Microsoft Defender Antivirus. Queste entità possono essere bloccate o inviate in quarantena, anche se non sono realmente una minaccia.
È possibile eseguire determinate azioni per evitare che si verifichino falsi positivi e problemi simili. Queste azioni includono:
- Invio di un file a Microsoft per l'analisi
- Eliminazione di un avviso
- Aggiunta di un indicatore o di esclusione
Questo articolo illustra il funzionamento di queste azioni e descrive i vari tipi di esclusioni che possono essere definiti per Defender per endpoint e Microsoft Defender Antivirus.
Attenzione
La definizione delle esclusioni riduce il livello di protezione offerto da Defender per endpoint e Microsoft Defender Antivirus. Usare le esclusioni come ultima risorsa e assicurarsi di definire solo le esclusioni necessarie. Assicurarsi di esaminare periodicamente le esclusioni e rimuovere quelle non più necessarie. Vedere Punti importanti sulle esclusioni e sugli errori comuni da evitare.
Invii, eliminazioni ed esclusioni
Quando si tratta di falsi positivi o di entità note che generano avvisi, non è necessario aggiungere necessariamente un'esclusione. A volte la classificazione e l'eliminazione di un avviso sono sufficienti. È consigliabile inviare falsi positivi (e falsi negativi) a Microsoft anche per l'analisi. La tabella seguente descrive alcuni scenari e i passaggi da eseguire per quanto riguarda gli invii di file, le eliminazioni di avvisi e le esclusioni.
| Scenario | Passaggi da considerare |
|---|---|
| Falso positivo: un'entità, ad esempio un file o un processo, è stata rilevata e identificata come dannosa, anche se l'entità non è una minaccia. | 1. Esaminare e classificare gli avvisi generati come risultato dell'entità rilevata. 2. Eliminare un avviso per un'entità nota. 3. Esaminare le azioni di correzione eseguite per l'entità rilevata. 4. Inviare il falso positivo a Microsoft per l'analisi . 5. Definire un'esclusione per l'entità (solo se necessario). |
| Problemi di prestazioni , ad esempio uno dei problemi seguenti: - Un sistema presenta un utilizzo elevato della CPU o altri problemi di prestazioni. - Un sistema presenta problemi di perdita di memoria. - Il caricamento di un'app nei dispositivi è lento. - Un'app è lenta ad aprire un file nei dispositivi. |
1. Raccogliere i dati di diagnostica per Microsoft Defender Antivirus. 2. Se si usa una soluzione antivirus non Microsoft, rivolgersi al fornitore per eventuali esclusioni necessarie. 3. Analizzare il log di Microsoft Protection per visualizzare l'impatto stimato sulle prestazioni. 4. Definire un'esclusione per Microsoft Defender Antivirus (se necessario). 5. Create un indicatore per Defender per endpoint (solo se necessario). |
| Problemi di compatibilità con prodotti antivirus non Microsoft. Esempio: Defender per endpoint si basa sugli aggiornamenti dell'intelligence di sicurezza per i dispositivi, indipendentemente dal fatto che eseguano Microsoft Defender antivirus o una soluzione antivirus non Microsoft. |
1. Se si usa un prodotto antivirus non Microsoft come soluzione antivirus/antimalware primaria, impostare Microsoft Defender Antivirus sulla modalità passiva. 2. Se si passa da una soluzione antivirus/antimalware non Microsoft a Defender per endpoint, vedere Passare a Defender per endpoint. Le linee guida includono: - Esclusioni che potrebbe essere necessario definire per la soluzione antivirus/antimalware non Microsoft; - Esclusioni che potrebbe essere necessario definire per Microsoft Defender Antivirus; e - Risoluzione dei problemi relativi alle informazioni (nel caso in cui si verifichino problemi durante la migrazione). |
Importante
Un indicatore "consenti" è il tipo di esclusione più forte che è possibile definire in Defender per endpoint. Assicurarsi di usare gli indicatori con parsimonia (solo se necessario) ed esaminare periodicamente tutte le esclusioni.
Invio di file per l'analisi
Se si dispone di un file che si ritiene erroneamente rilevato come malware (un falso positivo) o un file che si sospetta potrebbe essere malware anche se non è stato rilevato (un falso negativo), è possibile inviare il file a Microsoft per l'analisi. L'invio viene analizzato immediatamente e verrà quindi esaminato dagli analisti della sicurezza Microsoft. Puoi controllare lo stato dell'invio nella pagina della cronologia dell'invio.
L'invio di file per l'analisi consente di ridurre i falsi positivi e i falsi negativi per tutti i clienti. Per altre informazioni, vedere gli articoli seguenti:
- Inviare file per l'analisi (disponibile per tutti i clienti)
- Inviare file usando il nuovo portale per gli invii unificati in Defender per endpoint (disponibile per i clienti che dispongono di Defender per endpoint piano 2 o Microsoft Defender XDR)
Eliminazione degli avvisi
Se si ricevono avvisi nel portale di Microsoft Defender per strumenti o processi che non sono effettivamente una minaccia, è possibile eliminare tali avvisi. Per eliminare un avviso, creare una regola di eliminazione e specificare le azioni da eseguire in altri avvisi identici. È possibile creare regole di eliminazione per un avviso specifico in un singolo dispositivo o per tutti gli avvisi con lo stesso titolo nell'organizzazione.
Per altre informazioni, vedere gli articoli seguenti:
- Elimina avvisi
- Introduzione alla nuova esperienza di eliminazione degli avvisi (per Defender per endpoint)
Esclusioni e indicatori
In alcuni casi, il termine esclusioni viene usato per fare riferimento alle eccezioni che si applicano a Defender per endpoint e Microsoft Defender Antivirus. Un modo più accurato per descrivere queste eccezioni è il seguente:
- Indicatori per Defender per endpoint; (che si applicano a Defender per endpoint e Microsoft Defender Antivirus); e
- Esclusioni per Microsoft Defender Antivirus.
La tabella seguente riepiloga i tipi di esclusione che possono essere definiti per Defender per endpoint e Microsoft Defender Antivirus.
Consiglio
- Defender per endpoint Piano 1 è disponibile come piano autonomo ed è incluso in Microsoft 365 E3.
- Defender per endpoint Piano 2 è disponibile come piano autonomo ed è incluso in Microsoft 365 E5.
- Se si dispone di Microsoft 365 E3 o E5, assicurarsi di configurare le funzionalità di Defender per endpoint.
| Prodotto/servizio | Tipi di esclusione |
|---|---|
| Antivirus Microsoft Defender Defender per endpoint Piano 1 o Piano 2 |
- Esclusioni automatiche (per i ruoli attivi in Windows Server 2016 e versioni successive) - Esclusioni predefinite (per i file del sistema operativo in Windows) - Esclusioni personalizzate, ad esempio esclusioni basate su processi, esclusioni basate sul percorso delle cartelle, esclusioni di estensione di file o esclusioni di file e cartelle contestuali - Azioni di correzione personalizzate in base alla gravità della minaccia o per minacce specifiche Le versioni autonome di Defender per Endpoint Piano 1 e Piano 2 non includono licenze server. Per eseguire l'onboarding dei server, è necessaria un'altra licenza, ad esempio Microsoft Defender per endpoint per i server o Microsoft Defender per i server piano 1 o 2. Per altre informazioni, vedere Defender per l'onboarding di Endpoint in Windows Server. Se sei un'azienda di piccole o medie dimensioni che usa Microsoft Defender for Business, puoi ottenere Microsoft Defender for Business per server. |
| Defender per endpoint Piano 1 o Piano 2 | - Indicatori per file, certificati o indirizzi IP, URL/domini - Esclusioni di riduzione della superficie di attacco - Esclusioni di accesso controllato alle cartelle |
| Defender per endpoint - Piano 2 | Esclusioni di cartelle di automazione (per l'analisi automatizzata e la correzione) |
Le sezioni seguenti descrivono in modo più dettagliato queste esclusioni:
- Esclusioni di Microsoft Defender Antivirus
- Indicatori di Defender per endpoint
- Esclusioni di riduzione della superficie di attacco
- Esclusioni di accesso controllato alle cartelle
- Esclusioni di cartelle di automazione (per l'analisi automatizzata e la correzione)
Esclusioni di Microsoft Defender Antivirus
Microsoft Defender le esclusioni antivirus possono essere applicate alle analisi antivirus e/o alla protezione in tempo reale. Queste esclusioni includono:
- Esclusioni automatiche (per i ruoli del server in Windows Server 2016 e versioni successive)
- Esclusioni predefinite (per i file del sistema operativo in tutte le versioni di Windows)
- Esclusioni personalizzate (per file e cartelle specificati, se necessario)
- Azioni di correzione personalizzate (per determinare cosa accade con le minacce rilevate)
Esclusioni automatiche
Le esclusioni automatiche (note anche come esclusioni automatiche dei ruoli del server) includono esclusioni per i ruoli e le funzionalità del server in Windows Server. Queste esclusioni non vengono analizzate dalla protezione in tempo reale , ma sono comunque soggette a analisi antivirus rapide, complete o su richiesta.
Alcuni esempi:
- Servizio Replica file (FRS)
- Hyper-V
- SYSVOL
- Active Directory
- Server DNS.
- Server di stampa
- Server Web
- Windows Server Update Services
- ... e altro ancora.
Nota
Le esclusioni automatiche per i ruoli del server non sono supportate in Windows Server 2012 R2. Per i server che eseguono Windows Server 2012 R2 con il ruolo del server Active Directory Domain Services (AD DS) installato, è necessario specificare manualmente le esclusioni per i controller di dominio. Vedere Esclusioni di Active Directory.
Per altre informazioni, vedere Esclusioni automatiche dei ruoli del server.
Esclusioni predefinite
Le esclusioni predefinite includono alcuni file del sistema operativo esclusi da Microsoft Defender Antivirus in tutte le versioni di Windows (inclusi Windows 10, Windows 11 e Windows Server).
Alcuni esempi:
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb%allusersprofile%\NTUser.pol- file Windows Update
- file Sicurezza di Windows
- ... e altro ancora.
L'elenco delle esclusioni predefinite in Windows viene mantenuto aggiornato man mano che cambia il panorama delle minacce. Per altre informazioni su queste esclusioni, vedere Microsoft Defender Esclusioni antivirus in Windows Server: esclusioni predefinite.
Esclusioni personalizzate
Le esclusioni personalizzate includono file e cartelle specificati. Le esclusioni per file, cartelle e processi verranno ignorate dalle analisi pianificate, dalle analisi su richiesta e dalla protezione in tempo reale. Le esclusioni per i file aperti al processo non verranno analizzate dalla protezione in tempo reale , ma saranno comunque soggette a analisi antivirus rapide, complete o su richiesta.
Azioni di correzione personalizzate
Quando Microsoft Defender Antivirus rileva una potenziale minaccia durante l'esecuzione di un'analisi, tenta di correggere o rimuovere la minaccia rilevata. È possibile definire azioni di correzione personalizzate per configurare il modo in cui Microsoft Defender Antivirus deve affrontare determinate minacce, se è necessario creare un punto di ripristino prima della correzione e quando le minacce devono essere rimosse. Configurare le azioni di correzione per i rilevamenti antivirus Microsoft Defender.
Indicatori di Defender per endpoint
È possibile definire indicatori con azioni specifiche per entità, ad esempio file, indirizzi IP, URL/domini e certificati. In Defender per endpoint gli indicatori vengono definiti indicatori di compromissione (IoC) e meno spesso come indicatori personalizzati. Quando si definiscono gli indicatori, è possibile specificare una delle azioni seguenti:
Consenti : Defender per endpoint non blocca file, indirizzi IP, URL/domini o certificati con indicatori consentiti. Usare questa azione con cautela.
Controllo: file, indirizzi IP e URL/domini con indicatori di controllo vengono monitorati e, quando gli utenti accedono, gli avvisi informativi vengono generati nel portale di Microsoft Defender.
Blocca e correggi : i file o i certificati con indicatori di blocco e correzione vengono bloccati e messi in quarantena quando vengono rilevati.
Blocca l'esecuzione : gli indirizzi IP e gli URL/domini con indicatori di esecuzione del blocco vengono bloccati. Gli utenti non possono accedere a tali posizioni.
Avvisa : gli indirizzi IP e gli URL/domini con gli indicatori Warn generano un messaggio di avviso quando un utente tenta di accedere a tali posizioni. Gli utenti possono scegliere di ignorare l'avviso e passare all'indirizzo IP o all'URL/dominio.
Importante
È possibile avere fino a 15.000 indicatori nel tenant.
La tabella seguente riepiloga i tipi di IoC e le azioni disponibili:
| Tipo di indicatore | Azioni disponibili |
|---|---|
| File | -Consentire -Revisione -Avvertire - Blocca l'esecuzione - Bloccare e correggere |
| Indirizzi IP e URL/domini | -Consentire -Revisione -Avvertire - Blocca l'esecuzione |
| Certificati | -Consentire - Bloccare e correggere |
Consiglio
Per altre informazioni sugli indicatori, vedere le risorse seguenti:
Esclusioni di riduzione della superficie di attacco
Le regole di riduzione della superficie di attacco (note anche come regole ASR) sono destinate a determinati comportamenti software, ad esempio:
- Avvio di file eseguibili e script che tentano di scaricare o eseguire file
- Esecuzione di script che sembrano offuscati o altrimenti sospetti
- Esecuzione di comportamenti che le app in genere non avviano durante il normale lavoro quotidiano
A volte, le applicazioni legittime presentano comportamenti software che potrebbero essere bloccati dalle regole di riduzione della superficie di attacco. Se ciò si verifica nell'organizzazione, è possibile definire esclusioni per determinati file e cartelle. Tali esclusioni vengono applicate a tutte le regole di riduzione della superficie di attacco. Vedere Abilitare le regole di riduzione della superficie di attacco.
Si noti inoltre che, sebbene la maggior parte delle esclusioni delle regole asr sia indipendente dalle esclusioni di antivirus Microsoft Defender, alcune regole asr rispettano alcune esclusioni Microsoft Defender Antivirus. Vedere Informazioni di riferimento sulle regole di riduzione della superficie di attacco : Microsoft Defender esclusioni antivirus e regole asr.
Esclusioni di accesso controllato alle cartelle
L'accesso controllato alle cartelle monitora le app per le attività rilevate come dannose e protegge il contenuto di determinate cartelle (protette) nei dispositivi Windows. L'accesso controllato alle cartelle consente solo alle app attendibili di accedere alle cartelle protette, ad esempio cartelle di sistema comuni (inclusi i settori di avvio) e altre cartelle specificate. È possibile consentire a determinate app o eseguibili firmati di accedere alle cartelle protette definendo esclusioni. Vedere Personalizzare l'accesso controllato alle cartelle.
Esclusioni di cartelle di automazione
Le esclusioni delle cartelle di automazione si applicano all'indagine automatizzata e alla correzione in Defender per endpoint, progettato per esaminare gli avvisi e intraprendere azioni immediate per risolvere le violazioni rilevate. Quando vengono attivati avvisi e viene eseguita un'indagine automatizzata, viene raggiunto un verdetto (dannoso, sospetto o nessuna minaccia trovata) per ogni elemento di prova indagato. A seconda del livello di automazione e di altre impostazioni di sicurezza, le azioni di correzione possono verificarsi automaticamente o solo dopo l'approvazione da parte del team delle operazioni di sicurezza.
È possibile specificare cartelle, estensioni di file in una directory specifica e nomi di file da escludere dalle funzionalità automatizzate di analisi e correzione. Tali esclusioni di cartelle di automazione si applicano a tutti i dispositivi caricati in Defender per endpoint. Queste esclusioni sono ancora soggette a analisi antivirus. Vedere Gestire le esclusioni di cartelle di automazione.
Come vengono valutate le esclusioni e gli indicatori
La maggior parte delle organizzazioni ha diversi tipi di esclusioni e indicatori per determinare se gli utenti devono essere in grado di accedere e usare un file o un processo. Le esclusioni e gli indicatori vengono elaborati in un ordine specifico in modo da gestire sistematicamente i conflitti di criteri.
L'immagine seguente riepiloga il modo in cui le esclusioni e gli indicatori vengono gestiti in Defender per endpoint e Microsoft Defender Antivirus:
Tenere presente quanto segue:
Se un file/processo rilevato non è consentito da Windows Defender Controllo applicazione e AppLocker, viene bloccato. In caso contrario, procede a Microsoft Defender Antivirus.
Se il file/processo rilevato non fa parte di un'esclusione per Microsoft Defender Antivirus, viene bloccato. In caso contrario, Defender per endpoint verifica la presenza di un indicatore personalizzato per il file o il processo.
Se il file/processo rilevato ha un indicatore Blocca o Avvisa, viene eseguita tale azione. In caso contrario, il file/processo è consentito e procede alla valutazione in base alle regole di riduzione della superficie di attacco, all'accesso controllato alle cartelle e alla protezione SmartScreen.
Se il file/processo rilevato non è bloccato dalle regole di riduzione della superficie di attacco, dall'accesso controllato alle cartelle o dalla protezione SmartScreen, procede a Microsoft Defender Antivirus.
Se il file/processo rilevato non è consentito da Microsoft Defender Antivirus, viene verificata la presenza di un'azione in base all'ID minaccia.
Come vengono gestiti i conflitti di criteri
Nei casi in cui gli indicatori di Defender per endpoint sono in conflitto, ecco cosa aspettarsi:
Se sono presenti indicatori di file in conflitto, viene applicato l'indicatore che usa l'hash più sicuro. Ad esempio, SHA256 ha la precedenza su SHA-1, che ha la precedenza su MD5.
Se sono presenti indicatori URL in conflitto, viene usato l'indicatore più rigoroso. Per Microsoft Defender SmartScreen, viene applicato un indicatore che usa il percorso URL più lungo. Ad esempio,
www.dom.ain/admin/ha la precedenza suwww.dom.ain. La protezione di rete si applica ai domini, anziché alle pagine secondarie all'interno di un dominio.Se sono presenti indicatori simili per un file o un processo con azioni diverse, l'indicatore con ambito per un gruppo di dispositivi specifico ha la precedenza su un indicatore destinato a tutti i dispositivi.
Funzionamento dell'indagine e della correzione automatizzate con gli indicatori
Le funzionalità di indagine e correzione automatizzate in Defender per endpoint determinano prima un verdetto per ogni evidenza e quindi eseguono un'azione a seconda degli indicatori di Defender per endpoint. Pertanto, un file o un processo potrebbe ottenere un verdetto di "buono" (il che significa che non sono state trovate minacce) e comunque essere bloccato se è presente un indicatore con tale azione. Analogamente, un'entità potrebbe ottenere un verdetto "negativo" (il che significa che è determinata per essere dannosa) e comunque essere consentita se è presente un indicatore con tale azione.
Il diagramma seguente illustra il funzionamento dell'analisi e della correzione automatizzate con gli indicatori:
Altri carichi di lavoro del server ed esclusioni
Se l'organizzazione usa altri carichi di lavoro server, ad esempio Exchange Server, SharePoint Server o SQL Server, tenere presente che solo i ruoli del server predefiniti (che potrebbero essere prerequisiti per il software installato in un secondo momento) in Windows Server vengono esclusi dalla funzionalità di esclusione automatica (e solo quando si usa il percorso di installazione predefinito). È probabile che sia necessario definire esclusioni antivirus per questi altri carichi di lavoro o per tutti i carichi di lavoro se si disabilitano le esclusioni automatiche.
Ecco alcuni esempi di documentazione tecnica per identificare e implementare le esclusioni necessarie:
- Esecuzione di software antivirus in Exchange Server
- Cartelle da escludere dalle analisi antivirus in SharePoint Server
- Scelta del software antivirus per SQL Server
A seconda di ciò che si sta usando, potrebbe essere necessario fare riferimento alla documentazione per il carico di lavoro del server.
Consiglio
Suggerimento per le prestazioni A causa di una varietà di fattori, Microsoft Defender Antivirus, come altri software antivirus, può causare problemi di prestazioni nei dispositivi endpoint. In alcuni casi, potrebbe essere necessario ottimizzare le prestazioni di Microsoft Defender Antivirus per ridurre tali problemi di prestazioni. Analizzatore prestazioni di Microsoft è uno strumento da riga di comando di PowerShell che consente di determinare quali file, percorsi di file, processi ed estensioni di file potrebbero causare problemi di prestazioni; Alcuni esempi sono:
- Percorsi principali che influiscono sul tempo di analisi
- File principali che influiscono sul tempo di analisi
- Principali processi che influiscono sul tempo di analisi
- Principali estensioni di file che influiscono sul tempo di analisi
- Combinazioni, ad esempio:
- file principali per estensione
- percorsi principali per estensione
- processi principali per percorso
- analisi principali per file
- analisi principali per file per processo
È possibile usare le informazioni raccolte tramite Analizzatore prestazioni per valutare meglio i problemi di prestazioni e applicare azioni correttive. Vedere: Analizzatore prestazioni per Microsoft Defender Antivirus.
Vedere anche
- Punti importanti sulle esclusioni
- Errori comuni da evitare quando si definiscono le esclusioni
- Post di blog: Guida dell'autostoppista per Microsoft Defender per endpoint esclusioni
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per