Hantera undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus

  • Artikel

Gäller för:

Plattformar

  • Windows

Obs!

Som Microsoft MVP bidrog Fabian Bader till och gav materialfeedback för den här artikeln.

Microsoft Defender för Endpoint innehåller en mängd olika funktioner för att förhindra, identifiera, undersöka och reagera på avancerade cyberhot. Dessa funktioner omfattar nästa generations skydd (som omfattar Microsoft Defender Antivirus). Som med alla slutpunktsskydd eller antiviruslösningar kan ibland filer, mappar eller processer som inte är ett hot identifieras som skadliga av Defender för Endpoint eller Microsoft Defender Antivirus. Dessa entiteter kan blockeras eller skickas i karantän, även om de egentligen inte är ett hot.

Du kan vidta vissa åtgärder för att förhindra att falska positiva identifieringar och liknande problem uppstår. Dessa åtgärder omfattar:

Den här artikeln beskriver hur dessa åtgärder fungerar och beskriver de olika typer av undantag som kan definieras för Defender för Endpoint och Microsoft Defender Antivirus.

Försiktighet

Genom att definiera undantag minskar skyddsnivån som erbjuds av Defender för Endpoint och Microsoft Defender Antivirus. Använd undantag som en sista utväg och se till att endast definiera de undantag som är nödvändiga. Se till att granska dina undantag med jämna mellanrum och ta bort de som du inte längre behöver. Se Viktiga punkter om undantag och Vanliga misstag att undvika.

Inlämningar, undertryckningar och undantag

När du hanterar falska positiva identifieringar eller kända entiteter som genererar aviseringar behöver du inte nödvändigtvis lägga till ett undantag. Ibland räcker det med att klassificera och undertrycka en avisering. Vi rekommenderar att du skickar falska positiva identifieringar (och falska negativa identifieringar) till Microsoft för analys också. I följande tabell beskrivs några scenarier och vilka åtgärder som ska utföras när det gäller filöverföringar, aviseringsundertryckningar och undantag.

Scenario Steg att tänka på
Falsk positiv identifiering: En entitet, till exempel en fil eller en process, identifierades som skadlig, även om entiteten inte är ett hot. 1. Granska och klassificera aviseringar som har genererats till följd av den identifierade entiteten.
2. Ignorera en avisering för en känd entitet.
3. Granska åtgärder som har vidtagits för den identifierade entiteten.
4. Skicka den falska positiva till Microsoft för analys.
5. Definiera ett undantag för entiteten (endast om det behövs).
Prestandaproblem , till exempel något av följande problem:
– Ett system har hög CPU-användning eller andra prestandaproblem.
– Ett system har problem med minnesläckage.
– Det går långsamt att läsa in en app på enheter.
– Det går långsamt att öppna en fil på enheter med en app.		 1. Samla in diagnostikdata för Microsoft Defender Antivirus.
2. Om du använder en antiviruslösning som inte kommer från Microsoft kontrollerar du med leverantören om det finns några nödvändiga undantag.
3. Analysera Microsoft Protection-loggen för att se den uppskattade prestandapåverkan.
4. Definiera ett undantag för Microsoft Defender Antivirus (om det behövs).
5. Skapa en indikator för Defender för Endpoint (endast om det behövs).
Kompatibilitetsproblem med antivirusprodukter som inte kommer från Microsoft.
Exempel: Defender för Endpoint förlitar sig på uppdateringar av säkerhetsinformation för enheter, oavsett om de kör Microsoft Defender Antivirus eller en antiviruslösning som inte kommer från Microsoft.		 1. Om du använder en antivirusprodukt som inte kommer från Microsoft som primär lösning för antivirus/program mot skadlig kod ställer du in Microsoft Defender Antivirus på passivt läge.
2. Om du byter från en antivirus-/antimalware-lösning från microsoft till Defender för Endpoint läser du Växla till Defender för Endpoint. Den här vägledningen omfattar:
- Undantag som du kan behöva definiera för antivirus-/program mot skadlig kod som inte kommer från Microsoft.
- Undantag som du kan behöva definiera för Microsoft Defender Antivirus och
- Felsökningsinformation (ifall något skulle gå fel under migreringen).

Viktigt

En "tillåt"-indikator är den starkaste typen av undantag som du kan definiera i Defender för Endpoint. Se till att använda indikatorer sparsamt (endast vid behov) och granska alla undantag med jämna mellanrum.

Skicka filer för analys

Om du har en fil som du tror felaktigt har identifierats som skadlig kod (en falsk positiv identifiering) eller en fil som du misstänker kan vara skadlig kod trots att den inte har identifierats (en falsk negativ kod) kan du skicka filen till Microsoft för analys. Ditt bidrag genomsöks omedelbart och granskas sedan av Microsofts säkerhetsanalytiker. Du kan kontrollera statusen för din överföring på sidan för överföringshistorik.

Genom att skicka filer för analys minskar du falska positiva identifieringar och falska negativa identifieringar för alla kunder. Mer information finns i följande artiklar:

Ignorera aviseringar

Om du får aviseringar i Microsoft Defender-portalen för verktyg eller processer som du vet inte är ett hot kan du ignorera dessa aviseringar. Om du vill förhindra en avisering skapar du en undertryckningsregel och anger vilka åtgärder som ska utföras för andra identiska aviseringar. Du kan skapa undertryckningsregler för en specifik avisering på en enda enhet eller för alla aviseringar som har samma titel i organisationen.

Mer information finns i följande artiklar:

Undantag och indikatorer

Ibland används termen undantag för att referera till undantag som gäller i Defender för Endpoint och Microsoft Defender Antivirus. Ett mer exakt sätt att beskriva dessa undantag är följande:

I följande tabell sammanfattas undantagstyper som kan definieras för Defender för Endpoint och Microsoft Defender Antivirus.

Tips

Produkt/tjänst Undantagstyper
Microsoft Defender Antivirus
Defender för Endpoint Plan 1 eller Plan 2		 - Automatiska undantag (för aktiva roller i Windows Server 2016 och senare)
- Inbyggda undantag (för operativsystemfiler i Windows)
- Anpassade undantag, till exempel processbaserade undantag, platsbaserade undantag för mappar, undantag för filnamnstillägg eller kontextuella fil- och mappundantag
- Anpassade åtgärder baserat på hots allvarlighetsgrad eller specifika hot

De fristående versionerna av Defender för Endpoint Plan 1 och Plan 2 innehåller inte serverlicenser. För att registrera servrar behöver du en annan licens, till exempel Microsoft Defender för Endpoint för servrar eller Microsoft Defender för serverplan 1 eller 2. Mer information finns i Defender för Endpoint onboarding Windows Server.

Om du är ett litet eller medelstort företag som använder Microsoft Defender för företag kan du få Microsoft Defender för företagsservrar.
Defender för Endpoint Plan 1 eller Plan 2 - Indikatorer för filer, certifikat eller IP-adresser, URL:er/domäner
- Undantag för minskning av attackytan
- Kontrollerade mappåtkomstundantag
Defender för Endpoint Plan 2 Undantag för Automation-mappar (för automatisk undersökning och reparation)

I följande avsnitt beskrivs dessa undantag mer detaljerat:

Undantag för Microsoft Defender Antivirus

Microsoft Defender Antivirusundantag kan tillämpas på antivirusgenomsökningar och/eller realtidsskydd. Dessa undantag omfattar:

Automatiska undantag

Automatiska undantag (kallas även automatiska undantag för serverroller) omfattar undantag för serverroller och funktioner i Windows Server. Dessa undantag genomsöks inte av realtidsskydd , men de är fortfarande föremål för snabba, fullständiga eller antivirusgenomsökningar på begäran.

Exempel inkluderar:

  • Filreplikeringstjänsten (FRS)
  • Hyper-V
  • SYSVOL
  • Active Directory
  • DNS-server
  • Utskriftsserver
  • Webbserver
  • Windows Server Update Services
  • ... med mera.

Obs!

Automatiska undantag för serverroller stöds inte på Windows Server 2012 R2. För servrar som kör Windows Server 2012 R2 med serverrollen Active Directory Domain Services (AD DS) installerad måste undantag för domänkontrollanter anges manuellt. Se Active Directory-undantag.

Mer information finns i Automatiska undantag för serverroller.

Inbyggda undantag

Inbyggda undantag omfattar vissa operativsystemfiler som undantas av Microsoft Defender Antivirus i alla versioner av Windows (inklusive Windows 10, Windows 11 och Windows Server).

Exempel inkluderar:

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • Windows Update filer
  • Windows-säkerhet filer
  • ... med mera.

Listan över inbyggda undantag i Windows hålls uppdaterad när hotlandskapet ändras. Mer information om dessa undantag finns i Microsoft Defender Antivirus-undantag på Windows Server: Inbyggda undantag.

Anpassade undantag

Anpassade undantag omfattar filer och mappar som du anger. Undantag för filer, mappar och processer hoppas över av schemalagda genomsökningar, genomsökningar på begäran och realtidsskydd. Undantag för processöppnade filer genomsöks inte av realtidsskydd , men de är fortfarande föremål för snabba, fullständiga eller antivirusgenomsökningar på begäran.

Anpassade reparationsåtgärder

När Microsoft Defender Antivirus identifierar ett potentiellt hot vid körning av en genomsökning försöker det åtgärda eller ta bort det identifierade hotet. Du kan definiera anpassade reparationsåtgärder för att konfigurera hur Microsoft Defender Antivirus ska hantera vissa hot, om en återställningspunkt ska skapas före reparation och när hot ska tas bort. Konfigurera reparationsåtgärder för Microsoft Defender antivirusidentifieringar.

Indikatorer för Defender för Slutpunkt

Du kan definiera indikatorer med specifika åtgärder för entiteter, till exempel filer, IP-adresser, URL:er/domäner och certifikat. I Defender för Endpoint kallas indikatorer för indikatorer för kompromettering (IoC) och mindre ofta som anpassade indikatorer. När du definierar indikatorerna kan du ange någon av följande åtgärder:

  • Tillåt – Defender för Endpoint blockerar inte filer, IP-adresser, URL:er/domäner eller certifikat med tillåtna indikatorer. (Använd den här åtgärden med försiktighet.)

  • Granskning – Filer, IP-adresser och URL:er/domäner med granskningsindikatorer övervakas och när de används av användare genereras informationsaviseringar i Microsoft Defender-portalen.

  • Blockera och åtgärda – Filer eller certifikat med indikatorerna Blockera och Åtgärda blockeras och sätts i karantän när de identifieras.

  • Blockera körning – IP-adresser och URL:er/domäner med indikatorer för blockkörning blockeras. Användarna kan inte komma åt dessa platser.

  • Varna – IP-adresser och URL:er/domäner med varningsindikatorer gör att ett varningsmeddelande visas när en användare försöker komma åt dessa platser. Användare kan välja att kringgå varningen och gå vidare till IP-adressen eller URL:en/domänen.

Viktigt

Du kan ha upp till 15 000 indikatorer i din klientorganisation.

I följande tabell sammanfattas IoC-typer och tillgängliga åtgärder:

Indikatortyp Tillgängliga åtgärder
Filer -Tillåta
-Revision
-Varna
– Blockera körning
– Blockera och åtgärda
IP-adresser och URL:er/domäner -Tillåta
-Revision
-Varna
– Blockera körning
Certifikat -Tillåta
– Blockera och åtgärda

Tips

Mer information om indikatorer finns i följande resurser:

Undantag för minskning av attackytan

Regler för minskning av attackytan (kallas även ASR-regler) är inriktade på vissa programvarubeteenden, till exempel:

  • Starta körbara filer och skript som försöker ladda ned eller köra filer
  • Köra skript som verkar vara dolda eller på annat sätt misstänkta
  • Utföra beteenden som appar vanligtvis inte initierar under normalt dagligt arbete

Ibland uppvisar legitima program programvarubeteenden som kan blockeras av regler för minskning av attackytan. Om det sker i din organisation kan du definiera undantag för vissa filer och mappar. Sådana undantag tillämpas på alla regler för minskning av attackytan. Se Aktivera regler för minskning av attackytan.

Observera också att även om de flesta ASR-regelundantag är oberoende av Microsoft Defender antivirusundantag, följer vissa ASR-regler vissa Microsoft Defender antivirusundantag. Se Referens för regler för minskning av attackytan – Microsoft Defender Antivirusundantag och ASR-regler.

Kontrollerade mappåtkomstundantag

Kontrollerad mappåtkomst övervakar appar för aktiviteter som identifieras som skadliga och skyddar innehållet i vissa (skyddade) mappar på Windows-enheter. Kontrollerad mappåtkomst tillåter endast betrodda appar att komma åt skyddade mappar, till exempel vanliga systemmappar (inklusive startsektorer) och andra mappar som du anger. Du kan tillåta att vissa appar eller signerade körbara filer får åtkomst till skyddade mappar genom att definiera undantag. Se Anpassa kontrollerad mappåtkomst.

Undantag för Automation-mappar

Undantag för automationsmappar gäller för automatiserad undersökning och reparation i Defender för Endpoint, som är utformat för att undersöka aviseringar och vidta omedelbara åtgärder för att lösa identifierade överträdelser. När aviseringar utlöses och en automatiserad undersökning körs, nås en dom (skadlig, misstänkt eller inga hot hittades) för varje bevis som undersöks. Beroende på automatiseringsnivå och andra säkerhetsinställningar kan reparationsåtgärder utföras automatiskt eller endast efter godkännande av ditt säkerhetsåtgärdsteam.

Du kan ange mappar, filnamnstillägg i en specifik katalog och filnamn som ska undantas från automatiserade undersöknings- och reparationsfunktioner. Sådana undantag för automationsmappar gäller för alla enheter som registrerats i Defender för Endpoint. Dessa undantag är fortfarande föremål för antivirusgenomsökningar. Se Hantera undantag för automationsmappar.

Hur undantag och indikatorer utvärderas

De flesta organisationer har flera olika typer av undantag och indikatorer för att avgöra om användarna ska kunna komma åt och använda en fil eller process. Undantag och indikatorer bearbetas i en viss ordning så att principkonflikter hanteras systematiskt.

Följande bild sammanfattar hur undantag och indikatorer hanteras i Defender för Endpoint och Microsoft Defender Antivirus:

Skärmbild som visar i vilken ordning undantag och indikatorer utvärderas.

Så här fungerar det:

  1. Om en identifierad fil/process inte tillåts av Windows Defender Programkontroll och AppLocker blockeras den. Annars fortsätter den till Microsoft Defender Antivirus.

  2. Om den identifierade filen/processen inte ingår i ett undantag för Microsoft Defender Antivirus blockeras den. Annars söker Defender för Endpoint efter en anpassad indikator för filen/processen.

  3. Om den identifierade filen/processen har en indikator för Blockera eller Varna vidtas den åtgärden. Annars tillåts filen/processen och fortsätter till utvärdering av regler för minskning av attackytan, kontrollerad mappåtkomst och SmartScreen-skydd.

  4. Om den identifierade filen/processen inte blockeras av regler för minskning av attackytan, kontrollerad mappåtkomst eller SmartScreen-skydd fortsätter den till Microsoft Defender Antivirus.

  5. Om den identifierade filen/processen inte tillåts av Microsoft Defender Antivirus kontrolleras en åtgärd baserat på dess hot-ID.

Så här hanteras principkonflikter

I de fall där Indikatorer för Defender för Endpoint står i konflikt kan du förvänta dig följande:

  • Om det finns motstridiga filindikatorer tillämpas indikatorn som använder den säkraste hashen. SHA256 har till exempel företräde framför SHA-1, som har företräde framför MD5.

  • Om det finns url-indikatorer i konflikt används den striktare indikatorn. För Microsoft Defender SmartScreen används en indikator som använder den längsta URL-sökvägen. Till exempel www.dom.ain/admin/ har företräde framför www.dom.ain. (Nätverksskydd gäller för domäner i stället för undersidor i en domän.)

  • Om det finns liknande indikatorer för en fil eller process som har olika åtgärder har indikatorn som är begränsad till en specifik enhetsgrupp företräde framför en indikator som riktar sig till alla enheter.

Så här fungerar automatiserad undersökning och reparation med indikatorer

Automatiserade undersöknings- och reparationsfunktioner i Defender för Endpoint fastställer först en bedömning för varje bevis och vidtar sedan en åtgärd beroende på Indikatorer för Defender för Slutpunkter. Därför kan en fil/process få en bedömning av "bra" (vilket innebär att inga hot hittades) och fortfarande blockeras om det finns en indikator med den åtgärden. På samma sätt kan en entitet få en bedömning av "dålig" (vilket innebär att den är fast besluten att vara skadlig) och fortfarande tillåtas om det finns en indikator med den åtgärden.

Följande diagram visar hur automatiserad undersökning och reparation fungerar med indikatorer:

Skärmbild som visar automatiserad undersökning, reparation och indikatorer.

Andra serverarbetsbelastningar och undantag

Om din organisation använder andra serverarbetsbelastningar, till exempel Exchange Server, SharePoint Server eller SQL Server, bör du vara medveten om att endast inbyggda serverroller (som kan vara förutsättningar för programvara som du installerar senare) på Windows Server undantas av funktionen automatiska undantag (och endast när de använder sin standardinstallationsplats). Du måste förmodligen definiera antivirusundantag för dessa andra arbetsbelastningar eller för alla arbetsbelastningar om du inaktiverar automatiska undantag.

Här följer några exempel på teknisk dokumentation för att identifiera och implementera de undantag du behöver:

Beroende på vad du använder kan du behöva läsa dokumentationen för serverarbetsbelastningen.

Tips

Prestandatips På grund av en mängd olika faktorer kan Microsoft Defender Antivirus, som andra antivirusprogram, orsaka prestandaproblem på slutpunktsenheter. I vissa fall kan du behöva justera prestanda för Microsoft Defender Antivirus för att lindra dessa prestandaproblem. Microsofts prestandaanalys är ett PowerShell-kommandoradsverktyg som hjälper dig att avgöra vilka filer, filsökvägar, processer och filnamnstillägg som kan orsaka prestandaproblem. Några exempel är:

  • De vanligaste sökvägarna som påverkar genomsökningstiden
  • De vanligaste filerna som påverkar genomsökningstiden
  • De vanligaste processerna som påverkar genomsökningstiden
  • De vanligaste filnamnstilläggen som påverkar genomsökningstiden
  • Kombinationer, till exempel:
    • de vanligaste filerna per tillägg
    • de översta sökvägarna per tillägg
    • de vanligaste processerna per sökväg
    • de vanligaste genomsökningarna per fil
    • de vanligaste genomsökningarna per fil per process

Du kan använda informationen som samlas in med hjälp av prestandaanalys för att bättre utvärdera prestandaproblem och tillämpa reparationsåtgärder. Se: Prestandaanalys för Microsoft Defender Antivirus.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.