Molnskydd och exempelinskick i Microsoft Defender Antivirus

Gäller för:

Microsoft Defender Antivirus många intelligenta mekanismer för att identifiera skadlig programvara. En av de mest kraftfulla funktionerna är möjligheten att använda molnets kraft för att identifiera skadlig programvara och utföra snabb analys. Molnskydd och automatisk exempelinskickning fungerar tillsammans med Microsoft Defender Antivirus som hjälper till att skydda mot nya och nya hot.

Om en misstänkt eller skadlig fil identifieras skickas ett exempel till molntjänsten för analys medan Microsoft Defender Antivirus blockerar filen. Så snart ett beslut har gjorts, vilket sker snabbt, kan filen antingen släppas eller blockeras av Microsoft Defender Antivirus.

Den här artikeln innehåller en översikt över molnskydd och automatisk exempelinskickning i Microsoft Defender Antivirus. Mer information om molnskydd finns i Molnskydd och Microsoft Defender Antivirus.

Hur molnskydd och exempelinskick fungerar tillsammans

För att förstå hur molnskydd fungerar tillsammans med exempelinskick kan det vara bra att förstå hur Defender för Slutpunkt skyddar mot hot. Microsoft Intelligent Security Graph övervaka hotdata från ett brett nätverk av sensorer. Microsoft lagrar molnbaserade maskininlärningsmodeller som kan utvärdera filer baserat på signaler från klienten och det omfattande nätverket av sensorer och data i den intelligenta Graph. Den här metoden ger Defender för Endpoint möjligheten att blockera många aldrig tidigare sett hot.

I följande bild visas flödet av molnskydd och exempelindata tillsammans med Microsoft Defender Antivirus:

Flöde för moln levererat skydd

Microsoft Defender Antivirus och molnskydd blockerar automatiskt de flesta nya, aldrig tidigare sett hot vid första synen med hjälp av följande metoder:

  1. Lätta klientbaserade maskininlärningsmodeller som blockerar ny och okänd skadlig programvara.

  2. Lokal beteendeanalys, stoppa filbaserade attacker och fil-mindre attacker.

  3. Antivirus med hög precision och vanliga skadlig programvara med allmänna och heuristiska tekniker.

  4. Avancerat molnbaserat skydd tillhandahålls för fall Microsoft Defender Antivirus körs på slutpunkten behöver mer information för att verifiera avsikten med en misstänkt fil.

    1. Om det Microsoft Defender Antivirus ett tydligt avgörande skickas filmetadata till molnskyddstjänsten. Molnskyddstjänsten kan ofta inom millisekunder avgöra huruvida filen är skadlig eller inte ett hot baserat på metadata.

      • Molnfrågan för filmetadata kan vara ett resultat av ett beteende, ett webbmärke eller andra egenskaper där en tydlig bedömning inte bestäms.
      • En liten nyttolast för metadata skickas med målet att nå en bedömning av skadlig programvara eller inte som ett hot. Metadata omfattar inte personligt identifierbar information. Information som filnamn hashtaggar.
      • Kan vara synkront eller asynkront. För synkront öppnas inte filen förrän molnet återger en bedömning. För asynkront öppnas filen medan molnskyddet utför sin analys.
      • Metadata kan omfatta PE-attribut, statiska filattribut, dynamiska och sammanhangsberoende attribut med mera (se exempel på metadata som skickas till molnskyddstjänsten).
    2. Om du granskat metadata och Microsoft Defender Antivirus molnskydd inte kan nå en slutgiltigt bedömning kan programmet begära ett urval av filen för ytterligare kontroll. Den här begäran respekterar inställningskonfigurationen för exempelinskick:

      1. Skicka säkra exempel automatiskt (standard)

        • Valv exempel är exempel som ofta inte innehåller PII-data, till exempel: .bat, .scr, .dll och .exe.
        • Om filen troligen innehåller PII får användaren en begäran om att tillåta att filen skickas som exempel.
        • Det här alternativet är standard i Windows, macOS och Linux.
      2. Fråga alltid

        • Om den har konfigurerats uppmanas användaren alltid att ge sitt medgivande innan filen skickas
        • Den här inställningen är inte tillgänglig i macOS molnskydd
      3. Skicka alla exempel automatiskt

        • Om detta är konfigurerat skickas alla exempel automatiskt
        • Om du vill att exempelinskickning ska inkludera makron inbäddade i Word-dokument måste du välja "Skicka alla exempel automatiskt"
        • Den här inställningen är inte tillgänglig i macOS molnskydd
      4. Skicka inte

        • Förhindrar "block vid första synen" baserat på filexempelanalys
        • "Skicka inte" motsvarar inställningen "Inaktiverad" i macOS-principen
        • Metadata skickas för identifiering även när exempelinskickning inaktiveras
    3. När metadata och/eller filer har skickats till molnskydd kan du använda modeller av exempel, detonation eller maskininlärningsmodeller för dataanalys för att nå ett omdöme. Om du stänger av moln levererat skydd begränsa analysen till bara vad klienten kan tillhandahålla genom lokala maskininlärningsmodeller och liknande funktioner.

Viktigt

Bafs (Block at first sight) ger detonation och analys för att avgöra om en fil eller process är säker. BAFS kan fördröja öppningen av en fil tillfälligt tills en bedömning har uppnåtts. Om du inaktiverar exempelinskick inaktiveras BAFS också och filanalys begränsas till endast metadata. Vi rekommenderar att du behåller exempelinskick och BAFS aktiverat. Mer information finns i Vad är "block vid första synen"?

Nivåer för molnskydd

Molnskydd är aktiverat som standard i Microsoft Defender Antivirus. Vi rekommenderar att du behåller molnskyddet aktiverat, även om du kan konfigurera skyddsnivån för din organisation. Se Ange skyddsnivån som levereras i molnet för Microsoft Defender Antivirus.

Exempel på inställningar för sändning

Förutom att konfigurera din molnskyddsnivå kan du konfigurera inställningarna för exempelinskickning. Du kan välja mellan flera alternativ:

  • Skicka säkra exempel automatiskt (standardbeteende)
  • Skicka alla exempel automatiskt
  • Skicka inte exempel

Mer information om konfigurationsalternativ med Intune, Configuration Manager, GPO eller PowerShell finns i Aktivera molnskydd i Microsoft Defender Antivirus.

Exempel på metadata som skickas till molnskyddstjänsten

bild med exempel på metadata som skickas till molnskydd i Microsoft Defender Antivirus

I följande tabell visas exempel på metadata som skickas för analys av molnskydd:

Typ Attribut
Maskinattribut OS version
Processor
Security settings
Dynamiska och sammanhangsberoende attribut Process och installation
ProcessName
ParentProcess
TriggeringSignature
TriggeringFile
Download IP and url
HashedFullPath
Vpath
RealPath
Parent/child relationships

Behavioral
Connection IPs
System changes
API calls
Process injection

Språk
Locale setting
Geographical location
Statiska filattribut Delvisa och fullständiga hashtaggar
ClusterHash
Crc16
Ctph
ExtendedKcrcs
ImpHash
Kcrc3n
Lshash
LsHashs
PartialCrc1
PartialCrc2
PartialCrc3
Sha1
Sha256

Filegenskaper
FileName
FileSize

Information om undertecknaren
AuthentiCodeHash
Issuer
IssuerHash
Publisher
Signer
SignerHash

Exempel behandlas som kunddata

Om du undrar vad som händer med exempelinskickningar behandlar Defender för Endpoint alla filexempel som kunddata. Microsoft respekterar både de geografiska och datalagringsval din organisation har valt vid registrering i Defender för Endpoint.

Dessutom har Defender för Endpoint fått flera efterlevnadscertifieringar och visar att du fortsatt håller på med en avancerad uppsättning efterlevnadskontroller:

  • ISO 27001
  • ISO 27018
  • SOC I, II, III
  • och PCI

Mer information finns i följande resurser:

Andra scenarier med exempel på inskickade filer

Det finns ytterligare två scenarier där Defender för Endpoint kan begära ett exempel på en fil som inte är relaterad till molnskyddet i Microsoft Defender Antivirus. Dessa scenarier beskrivs i följande tabell:

Scenario Beskrivning
Exempelsamling för manuell fil i Microsoft 365 Defender portalen När du onboarding-enheter till Defender för Slutpunkt kan du konfigurera inställningar för identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt). Det finns till exempel en inställning för att aktivera exempelsamlingar från enheten, som lätt kan förväxlas med inställningarna för exempelinsättning som beskrivs i den här artikeln.

Inställningen Identifiering och åtgärd på slutpunkt kontrollerar insamling av filexempel från enheter när de begärs via Microsoft 365 Defender-portalen, och omfattas av de roller och behörigheter som redan finns. Den här inställningen kan tillåta eller blockera filsamling från slutpunkten för funktioner som djupanalys i Microsoft 365 Defender portalen. Om den här inställningen inte är konfigurerad är standardinställningen att aktivera exempelsamling.

Mer information om konfigurationsinställningar för Defender för slutpunkt finns i: Introduktionsverktyg och metoder för Windows 10 i Defender för slutpunkt
Automatisk undersökning och innehållsanalys av svar När automatiska undersökningar körs på enheter (när de konfigureras för att köras automatiskt som svar på en avisering eller körs manuellt) kan filer som identifieras som misstänkta samlas in från slutpunkterna för ytterligare kontroll. Vid behov kan funktionen för filinnehållsanalys för automatiska undersökningar inaktiveras i Microsoft 365 Defender portalen.

Filnamnstilläggen kan också ändras för att lägga till eller ta bort tillägg för andra filtyper som skickas automatiskt under en automatiserad undersökning.

Mer information finns i Hantera automationsfiluppladdningar.

Se även

Nästa generations skydd, översikt