Microsoft Defender Virüsten Koruma'da bulut koruması ve örnek gönderme
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender Virüsten Koruma
Platform
Windows
macOS
Linux
Windows Server
Microsoft Defender Virüsten Koruma, kötü amaçlı yazılımları algılamak için birçok akıllı mekanizma kullanır. En güçlü özelliklerden biri, kötü amaçlı yazılımları algılamak ve hızlı analiz gerçekleştirmek için bulutun gücünü uygulama özelliğidir. Bulut koruması ve otomatik örnek gönderimi, yeni ve yeni tehditlere karşı korunmaya yardımcı olmak için Microsoft Defender Virüsten Koruma ile birlikte çalışır.
Şüpheli veya kötü amaçlı bir dosya algılanırsa, Microsoft Defender Virüsten Koruma dosyayı engellerken analiz için bulut hizmetine bir örnek gönderilir. Hızlı bir şekilde gerçekleşen bir belirleme yapılır yapılmaz, dosya Microsoft Defender Virüsten Koruma tarafından yayımlanır veya engellenir.
Bu makale, Microsoft Defender Virüsten Koruma'da bulut korumasına ve otomatik örnek göndermeye genel bakış sağlar. Bulut koruması hakkında daha fazla bilgi edinmek için bkz. Bulut koruması ve Microsoft Defender Virüsten Koruma.
Bulut koruması ve örnek gönderim birlikte nasıl çalışır?
Bulut korumasının örnek gönderimle birlikte nasıl çalıştığını anlamak için Uç Nokta için Defender'ın tehditlere karşı nasıl koruma koruyabileceğini anlamak yararlı olabilir. Microsoft Akıllı Güvenlik Grafı, geniş bir algılayıcı ağından gelen tehdit verilerini izler. Microsoft, istemciden gelen sinyallere ve Akıllı Güvenlik Grafı'ndaki geniş algılayıcı ve veri ağına göre dosyaları değerlendirebilen bulut tabanlı makine öğrenmesi modellerini katmanlar. Bu yaklaşım, Uç Nokta için Defender'a daha önce görülmemiş birçok tehdidi engelleme olanağı sağlar.
Aşağıdaki görüntüde, Microsoft Defender Virüsten Koruma ile bulut koruması akışı ve örnek gönderim gösterilir:
Microsoft Defender Virüsten Koruma ve bulut koruması, aşağıdaki yöntemleri kullanarak ilk bakışta en yeni, hiç görülmemiş tehditleri otomatik olarak engeller:
Yeni ve bilinmeyen kötü amaçlı yazılımları engelleyen basit istemci tabanlı makine öğrenmesi modelleri.
Yerel davranış analizi, dosya tabanlı ve dosyasız saldırıları durdurma.
Genel ve buluşsal teknikler aracılığıyla yaygın kötü amaçlı yazılımları algılayan yüksek duyarlıklı virüsten koruma.
Uç noktada çalışan Microsoft Defender Virüsten Koruma'nın şüpheli bir dosyanın amacını doğrulamak için daha fazla zekaya ihtiyaç duyduğu durumlar için gelişmiş bulut tabanlı koruma sağlanır.
virüsten koruma Microsoft Defender net bir belirleme yapamazsa, dosya meta verileri bulut koruma hizmetine gönderilir. Bulut koruma hizmeti genellikle milisaniye içinde meta verileri temel alarak dosyanın kötü amaçlı olup olmadığını belirleyebilir.
- Dosya meta verilerinin bulut sorgusu davranış, web işareti veya net bir kararın belirlendiği diğer özelliklerin bir sonucu olabilir.
- Kötü amaçlı yazılım kararına ulaşma veya tehdit oluşturmama hedefiyle küçük bir meta veri yükü gönderilir. Meta veriler kişisel bilgileri (PII) içermez. Dosya adları gibi bilgiler karma olarak sağlanır.
- Zaman uyumlu veya zaman uyumsuz olabilir. Zaman uyumlu olarak, bulut bir karar işleyene kadar dosya açılmaz. Zaman uyumsuz olarak, bulut koruması çözümlemesini gerçekleştirirken dosya açılır.
- Meta veriler PE öznitelikleri, statik dosya öznitelikleri, dinamik ve bağlamsal öznitelikler ve daha fazlasını içerebilir (bkz. Bulut koruma hizmetine gönderilen meta veriler örnekleri).
Meta verileri inceledikten sonra, Microsoft Defender Virüsten Koruma bulut koruması kesin bir karara ulaşamazsa, daha fazla inceleme için dosyanın bir örneğini isteyebilir. Bu istek, örnek gönderim için ayarlar yapılandırmasını yerine getirmektedir:
Güvenli örnekleri otomatik olarak gönderme
- Güvenli örnekler, .bat, .scr, .dll, .exe gibi PII verilerini yaygın olarak içermediği kabul edilir.
- Dosya büyük olasılıkla PII içeriyorsa, kullanıcı dosya örneği gönderimine izin vermek için bir istek alır.
- Bu seçenek Windows, macOS ve Linux'ta varsayılan seçenektir.
Her Zaman İste
- Yapılandırılırsa, kullanıcıdan dosya göndermeden önce her zaman onay istenir
- Bu ayar macOS ve Linux bulut korumasında kullanılamaz
Tüm örnekleri otomatik olarak gönderme
- Yapılandırılırsa, tüm örnekler otomatik olarak gönderilir
- Örnek gönderimin Word belgelerine eklenmiş makrolar içermesini istiyorsanız, "Tüm örnekleri otomatik olarak gönder" seçeneğini belirlemeniz gerekir
- Bu ayar macOS bulut korumasında kullanılamaz
Gönderme
- Dosya örneği analizine göre "ilk bakışta engelle" ifadesini önler
- "Gönderme", macOS ilkesindeki "Devre Dışı" ayarına ve Linux ilkesinde "Yok" ayarına eşdeğerdir.
- Örnek gönderim devre dışı bırakıldığında bile algılamalar için meta veriler gönderilir
Dosyalar bulut korumasına gönderildikten sonra, gönderilen dosyalar bir karara ulaşmak için büyük veri analizimakine öğrenmesi modelleri aracılığıyla taranabilir, patlatılabilir ve işlenebilir. Bulut tabanlı koruma sınırları analizini yalnızca istemcinin yerel makine öğrenmesi modelleri ve benzer işlevler aracılığıyla sağlayabilecekleri şekilde kapatma.
Önemli
İlk bakışta engelle (BAFS), bir dosya veya işlemin güvenli olup olmadığını belirlemek için patlama ve analiz sağlar. BAFS, bir karara varılana kadar dosyanın açılmasını bir süre geciktirebilir. Örnek gönderimi devre dışı bırakırsanız BAFS de devre dışı bırakılır ve dosya analizi yalnızca meta veriyle sınırlıdır. Örnek gönderimi ve BAFS'yi etkin tutmanızı öneririz. Daha fazla bilgi edinmek için bkz. "İlk bakışta engelle" nedir?
Bulut koruma düzeyleri
Bulut koruması, Microsoft Defender Virüsten Koruma'da varsayılan olarak etkindir. Kuruluşunuz için koruma düzeyini yapılandırabilmenize rağmen bulut korumasını etkin tutmanızı öneririz. Bkz. Microsoft Defender Virüsten Koruma için bulut tabanlı koruma düzeyini belirtme.
Örnek gönderim ayarları
Bulut koruma düzeyinizi yapılandırmanın yanı sıra örnek gönderim ayarlarınızı da yapılandırabilirsiniz. Çeşitli seçenekler arasından seçim yapabilirsiniz:
- Güvenli örnekleri otomatik olarak gönderme (varsayılan davranış)
- Tüm örnekleri otomatik olarak gönderme
- Örnek gönderme
İpucu
Send all samples automatically
Kimlik avı saldırıları yüksek miktarda ilk erişim saldırısı için kullanıldığından bu seçeneğin kullanılması daha iyi güvenlik sağlar.
Intune, Configuration Manager, grup ilkesi veya PowerShell kullanarak yapılandırma seçenekleri hakkında bilgi için bkz. Microsoft Defender Virüsten Koruma'da bulut korumasını açma.
Bulut koruma hizmetine gönderilen meta veri örnekleri
Aşağıdaki tabloda bulut koruması tarafından analiz için gönderilen meta veri örnekleri listeilmektedir:
Tür | Öznitelik |
---|---|
Makine öznitelikleri | OS version Processor Security settings |
Dinamik ve bağlamsal öznitelikler | İşlem ve yükleme ProcessName ParentProcess TriggeringSignature TriggeringFile Download IP and url HashedFullPath Vpath RealPath Parent/child relationships Davranış Connection IPs System changes API calls Process injection Yerel ayar Locale setting Geographical location |
Statik dosya öznitelikleri | Kısmi ve tam karmalar ClusterHash Crc16 Ctph ExtendedKcrcs ImpHash Kcrc3n Lshash LsHashs PartialCrc1 PartialCrc2 PartialCrc3 Sha1 Sha256 Dosya özellikleri FileName FileSize İmzalayan bilgileri AuthentiCodeHash Issuer IssuerHash Publisher Signer SignerHash |
Örnekler müşteri verileri olarak değerlendirilir
Örnek gönderimlerde ne olduğunu merak ediyorsanız Uç Nokta için Defender tüm dosya örneklerini müşteri verileri olarak kabul eder. Microsoft, Uç Nokta için Defender'a eklerken kuruluşunuzun seçtiği coğrafi ve veri saklama seçeneklerini kabul eder.
Buna ek olarak, Uç Nokta için Defender birden çok uyumluluk sertifikası aldı ve gelişmiş bir uyumluluk denetimleri kümesine sürekli bağlı kalmayı gösterir:
- ISO 27001
- ISO 27018
- SOC I, II, III
- PCI
Daha fazla bilgi için aşağıdaki kaynaklara bakın:
- Azure Uyumluluk Teklifleri
- Hizmet Güveni Portalı
- veri depolama ve gizliliği Uç Nokta için Microsoft Defender
Diğer dosya örneği gönderme senaryoları
Uç Nokta için Defender'ın Microsoft Defender Virüsten Koruma'da bulut korumasıyla ilgili olmayan bir dosya örneği isteyebileceği iki senaryo daha vardır. Bu senaryolar aşağıdaki tabloda açıklanmıştır:
Senaryo | Açıklama |
---|---|
Microsoft Defender portalında el ile dosya örneği koleksiyonu | Uç Nokta için Defender'a cihaz eklerken uç nokta algılama ve yanıt (EDR) ayarlarını yapılandırabilirsiniz. Örneğin, cihazdan örnek koleksiyonları etkinleştirmeye yönelik bir ayar vardır ve bu ayar bu makalede açıklanan örnek gönderim ayarlarıyla kolayca karıştırılabilir. EDR ayarı, Microsoft Defender portalı üzerinden istendiğinde cihazlardan dosya örneği toplamayı denetler ve önceden oluşturulmuş rollere ve izinlere tabidir. Bu ayar, Microsoft Defender portalında derin analiz gibi özellikler için uç noktadan dosya toplamaya izin verebilir veya bunları engelleyebilir. Bu ayar yapılandırılmamışsa, varsayılan değer örnek koleksiyonu etkinleştirmektir. Uç Nokta için Defender yapılandırma ayarları hakkında bilgi edinin, bkz. Uç Nokta için Defender'da Windows 10 cihazlar için ekleme araçları ve yöntemleri |
Otomatik araştırma ve yanıt içeriği analizi | Cihazlarda otomatik araştırma çalıştırıldığında (bir uyarıya yanıt olarak otomatik olarak çalışacak veya el ile çalıştırılacak şekilde yapılandırıldığında), şüpheli olarak tanımlanan dosyalar daha fazla inceleme için uç noktalardan toplanabilir. Gerekirse, otomatik araştırmalara yönelik dosya içeriği analizi özelliği Microsoft Defender portalında devre dışı bırakılabilir. Dosya uzantısı adları, otomatik araştırma sırasında otomatik olarak gönderilecek diğer dosya türlerinin uzantılarını eklemek veya kaldırmak için de değiştirilebilir. Daha fazla bilgi edinmek için bkz. Otomasyon dosyası yüklemelerini yönetme. |
İpucu
Diğer platformlar için Antivirüs ile ilgili bilgi arıyorsanız bkz:
- MacOS'ta Uç Nokta için Microsoft Defender tercihlerini ayarlayın
- Mac'te Uç Nokta için Microsoft Defender
- Intune için Microsoft Defender için macOS Virüsten Koruma ilke ayarları
- Linux'ta Uç Nokta için Microsoft Defender tercihlerini ayarlayın
- Linux'ta Uç Nokta için Microsoft Defender
- Android özelliklerinde Uç Nokta için Defender’ı yapılandırın
- iOS özelliklerinde Uç Nokta için Microsoft Defender’ı yapılandırın
Ayrıca bkz.
Yeni nesil korumaya genel bakış
Microsoft Defender Virüsten Koruma algılamaları için düzeltmeyi yapılandırın.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin