適用於端點的 Microsoft Defender 中的位址誤判/誤否定

適用於：

• 適用於端點的 Defender 方案 1
• 適用於端點的 Defender 方案 2
• Microsoft Defender 防毒軟體

平台

• Windows

在端點保護解決方案中，誤判為真是實體，例如偵測到並識別為惡意的檔案或進程，即使實體實際上不是威脅也一樣。 誤判為真是未偵測到為威脅的實體，即使它實際上是惡意的。 任何威脅防護解決方案都可能發生誤判/負面，包括 適用於端點的Defender。

幸運的是，您可以採取步驟來解決和減少這類問題。 如果您看到適用於端點的 Defender 發生誤判/負面，您的安全性作業可以使用下列程式來採取步驟來解決這些錯誤：

1. 檢閱和分類警示
2. 檢閱已採取的補救動作
3. 檢閱和定義排除專案
4. 提交實體以進行分析
5. 檢閱並調整威脅防護設定

如果您在執行本文所述的工作之後仍有誤判/負面的問題，您可以取得協助。 請參閱 仍然需要協助嗎？

注意事項

本文適用於使用適用於 端點的Defender的安全性操作員和安全性系統管理員。

第1部分：檢閱和分類警示

如果您看到因為偵測到惡意或可疑而產生的 警示 ，而且不應該發生，您可以隱藏該實體的警示。 您也可以隱藏不一定是誤判的警示，但不重要。 我們建議您也分類警示。

管理警示並分類真/誤判有助於訓練威脅防護解決方案，並可減少一段時間內誤判或誤判的數目。 採取這些步驟也有助於減少佇列中的雜訊，讓安全性小組可以專注於較高優先順序的工作專案。

判斷警示是否正確

在您分類或隱藏警示之前，請先判斷警示是否正確、誤判或良性。

1. 在 Microsoft Defender 入口網站的瀏覽窗格中，選擇 [事件 & 警示]，然後選取 [警示]。

2. 選取警示以檢視更多相關詳細數據。 (若要取得這項工作的協助，請參閱檢 閱適用於端點的Defender中的警示。)

3. 根據警示狀態，採取下表所述的步驟：

   警示狀態	處理方式
   警示正確	指派警示，然後進一步 調查 。
   警示為誤判	1. 將警示分類 為誤判。 2. 隱藏警示。 3.Create 適用於端點的 Microsoft Defender 的指標。 4. 將檔案提交給 Microsoft 進行分析。
   警示正確，但良性 (不重要)	將警示分類 為真肯定，然後 隱藏警示。

分類警示

在 Microsoft Defender 入口網站中，警示可以分類為誤判或確判為真。 分類警示有助於訓練適用於端點的 Defender，因此隨著時間，您會看到更多真實警示和較少的誤判警示。

1. 在 Microsoft Defender 入口網站的瀏覽窗格中，選擇 [事件 & 警示]，選取 [警示]，然後選取警示。

2. 針對選取的警示，選取 [管理警示]。 飛出視窗窗格隨即開啟。

3. 在 [ 管理警示] 區段的 [ 分類 ] 字段中，將警示分類 (為 True、資訊、預期活動或誤判) 。

提示

如需隱藏警示的詳細資訊，請 參閱管理適用於端點的Defender警示。 而且，如果您的組織在 SIEM) 伺服器 (使用安全性資訊和事件管理，請務必在該處定義隱藏規則。

隱藏警示

如果您有誤判為真或為真肯定的警示，但對於不重要事件，您可以在 Microsoft Defender 全面偵測回應 中隱藏這些警示。 隱藏警示有助於減少佇列中的雜訊。

1. 在 Microsoft Defender 入口網站的瀏覽窗格中，選擇 [事件 & 警示]，然後選取 [警示]。

2. 選取您想要隱藏的警示，以開啟其 [詳細數據 ] 窗格。

3. 在 [詳細數據] 窗格中，選擇省略號 (...) ，然後 Create 隱藏規則。

4. 指定隱藏規則的所有設定，然後選擇 [ 儲存]。

提示

需要隱藏規則的協助嗎？ 請參閱 隱藏警示並建立新的歸併規則。

第2部分：檢閱補救動作

系統會對實體採取補救動作，例如將檔案傳送至隔離或停止進程， (例如偵測到威脅的檔案) 。 透過自動化調查和 Microsoft Defender 防病毒軟體，會自動執行數種類型的補救動作：

• 隔離檔案
• 拿掉登錄機碼
• 終止進程
• 停止服務
• 停用驅動程式
• 拿掉排程的工作

其他動作，例如啟動防病毒軟體掃描或收集調查套件，會手動或透過 即時回應來執行。 無法復原透過即時回應所採取的動作。

檢閱警示之後，下一個步驟是 檢閱補救動作。 如果因誤判而採取任何動作，您可以復原大部分種類的補救動作。 具體而言，您可以：

• 從控制中心還原隔離的檔案
• 一次復原多個動作
• 跨多個裝置從隔離中移除檔案。 及
• 從隔離區還原檔案

當您完成檢閱並複原因誤判而採取的動作時，請繼續 檢閱或定義排除專案。

檢閱已完成的動作

1. 在 Microsoft Defender 入口網站中，選取 [動作 & 提交]，然後選取 [控制中心]。

2. 選取 [ 歷程記錄] 索引標籤，以檢視已採取的動作清單。

3. 選取專案以檢視已採取之補救動作的詳細數據。

從控制中心還原隔離的檔案

1. 在 Microsoft Defender 入口網站中，選取 [動作 & 提交]，然後選取 [控制中心]。

2. 在 [ 歷程記錄] 索引 標籤上，選取您要復原的動作。

3. 在飛出視窗窗格中，選取 [ 復原]。 如果無法使用此方法復原動作，您將不會看到 [ 復原 ] 按鈕。 (若要深入瞭解，請參閱 復原已完成的動作。)

一次復原多個動作

1. 在 Microsoft Defender 入口網站中，選取 [動作 & 提交]，然後選取 [控制中心]。

2. 在 [ 歷程記錄] 索引 標籤上，選取您想要復原的動作。

3. 在畫面右側的飛出視窗窗格中，選取 [ 復原]。

跨多個裝置從隔離區移除檔案

1. 在 Microsoft Defender 入口網站中，選取 [動作 & 提交]，然後選取 [控制中心]。

2. 在 [ 歷程記錄] 索引 標籤上，選取 [動作類型 為隔離檔案] 的檔案。

3. 在畫面右側的窗格中，選取 [ 套用至此檔案的 X 個更多實例]，然後選取 [ 復原]。

檢閱隔離的郵件

1. 在 Microsoft Defender 入口網站的瀏覽窗格中，於 [Email & 共同作業] 底下，選取 [Exchange 訊息追蹤]。

2. 選取訊息以檢視詳細數據。

從隔離區還原檔案

如果您在調查之後判斷檔案是乾淨的，您可以回復檔案並從隔離區中移除檔案。 在檔案隔離的每個裝置上執行下列命令。

1. 以裝置上的系統管理員身分開啟命令提示字元：

   1. 轉至 [開始] 並鍵入「cmd」。
   2. 以滑鼠右鍵按一下 [命令提示字元]，然後選取 [以系統管理員身分執行]。

2. 輸入下列命令，然後按 Enter：

   "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All
   

   重要事項

   在某些情況下， ThreatName 可能會顯示為 EUS:Win32/CustomEnterpriseBlock!cl。 適用於端點的 Defender 將會還原過去 30 天內在此裝置上隔離的所有自定義封鎖檔案。 已隔離為潛在網路威脅的檔案可能無法復原。 如果使用者在隔離之後嘗試還原檔案，可能無法存取該檔案。 這可能是因為系統不再具有存取檔案的網路認證。 一般而言，這是暫時登入系統或共享資料夾，且存取令牌已過期的結果。

3. 在畫面右側的窗格中，選取 [ 套用至此檔案的 X 個更多實例]，然後選取 [ 復原]。

第3部分：檢閱或定義排除專案

注意

在您定義排除專案之前，請檢閱管理 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體排除專案中的詳細資訊。 請記住，每個定義的排除專案都會降低您的保護層級。

排除是您指定為補救動作例外狀況的實體，例如檔案或URL。 排除的實體仍可偵測到，但不會對該實體採取任何補救動作。 也就是說，偵測到的檔案或進程不會被停止、傳送至隔離、移除或由 適用於端點的 Microsoft Defender 變更。

若要跨 適用於端點的 Microsoft Defender 定義排除專案，請執行下列工作：

• 定義 Microsoft Defender 防病毒軟體的排除專案
• Create 適用於端點的 Microsoft Defender的「允許」指標

注意事項

Microsoft Defender 防病毒軟體排除專案僅適用於防病毒軟體保護，不適用於其他 適用於端點的 Microsoft Defender 功能。 若要廣泛排除檔案，請針對 Microsoft Defender 防病毒軟體使用排除專案，並針對 適用於端點的 Microsoft Defender 使用自定義指標。

本節中的程序說明如何定義排除專案和指標。

Microsoft Defender 防病毒軟體的排除專案

一般而言，您不應該定義 Microsoft Defender 防病毒軟體的排除專案。 請確定您謹慎定義排除專案，而且只包含導致誤判的檔案、資料夾、進程和進程開啟的檔案。 此外，請務必定期檢閱您定義的排除專案。 建議您使用 Microsoft Intune 來定義或編輯防病毒軟體排除專案;不過，您可以使用其他方法，例如 群組原則 (請參閱管理 適用於端點的 Microsoft Defender。

提示

需要防病毒軟體排除的協助嗎？ 請參閱設定和驗證 Microsoft Defender 防病毒軟體的排除專案。

使用 Intune 來管理現有原則的防病毒軟體排除 ()

1. 在 Microsoft Intune 系統管理中心，選擇 [端點安全>性防病毒軟體]，然後選取現有的原則。 (如果您沒有現有的原則，或想要建立新的原則，請跳至使用 Intune 建立具有排除範圍的新防病毒軟體原則。)

2. 選擇 [屬性]，然後選擇 [ 組態設定] 旁的 [ 編輯]。

3. 展開 [Microsoft Defender 防病毒軟體排除範圍]，然後指定您的排除專案。

   • 排除的擴展名 是您依擴展名定義的排除專案。 這些擴展名適用於任何具有已定義擴展名但不含檔案路徑或資料夾的檔名。 分隔清單中的每個檔案類型都必須以 | 字元分隔。 例如，lib|obj。 如需詳細資訊，請參閱 ExcludedExtensions。
   • 排除的路徑 是您根據其位置 (路徑) 定義的排除專案。 這些類型的排除也稱為檔案和資料夾排除。 使用字元分隔清單 | 中的每個路徑。 例如，C:\Example|C:\Example1。 如需詳細資訊，請參閱 ExcludedPaths。
   • 排除的進程 是特定進程開啟之檔案的排除專案。 使用字元分隔清單 | 中的每個檔案類型。 例如，C:\Example. exe|C:\Example1.exe。 這些排除專案不適用於實際的進程。 若要排除進程，您可以使用檔案和資料夾排除專案。 如需詳細資訊，請參閱 ExcludedProcesses。

4. 選擇 [檢閱 + 儲存]，然後選擇 [ 儲存]。

使用 Intune 建立具有排除範圍的新防病毒軟體原則

1. 在 Microsoft Intune 系統管理中心，選擇 [端點安全>性防病毒軟體>+ Create 原則]。

2. 選取平臺 (，例如 Windows 10、Windows 11 和 Windows Server) 。

3. 針對 [配置檔]，選取 [Microsoft Defender 防病毒軟體排除專案]，然後選擇 [Create]。

4. 在 [Create 配置檔] 步驟中，指定配置檔的名稱和描述，然後選擇 [下一步]。

5. 在 [ 組態設定] 索引標籤上 ，指定您的防病毒軟體排除專案，然後選擇 [ 下一步]。

   • 排除的擴展名 是您依擴展名定義的排除專案。 這些擴展名適用於任何具有已定義擴展名但不含檔案路徑或資料夾的檔名。 使用字元分隔清單 | 中的每個檔案類型。 例如，lib|obj。 如需詳細資訊，請參閱 ExcludedExtensions。
   • 排除的路徑 是您根據其位置 (路徑) 定義的排除專案。 這些類型的排除也稱為檔案和資料夾排除。 使用字元分隔清單 | 中的每個路徑。 例如，C:\Example|C:\Example1。 如需詳細資訊，請參閱 ExcludedPaths。
   • 排除的進程 是特定進程開啟之檔案的排除專案。 使用字元分隔清單 | 中的每個檔案類型。 例如，C:\Example. exe|C:\Example1.exe。 這些排除專案不適用於實際的進程。 若要排除進程，您可以使用檔案和資料夾排除專案。 如需詳細資訊，請參閱 ExcludedProcesses。

6. 在 [ 範圍卷標] 索引 標籤上，如果您在組織中使用範圍標籤，請為您要建立的原則指定範圍標籤。 (請參閱 範圍標籤.)

7. 在 [ 指派] 索引標籤 上，指定應套用您原則的使用者和群組，然後選擇 [ 下一步]。 (如果您需要指派的協助，請參閱在 Microsoft Intune.) 中指派使用者和裝置配置檔

8. 在 [檢閱 + 建立] 索引標籤上檢閱設定，然後選擇 [Create]。

適用於端點的Defender指標

特別 (指標、入侵指標或IoC) 可讓您的安全性作業小組定義實體的偵測、預防和排除。 例如，您可以在 適用於端點的 Microsoft Defender 中指定要從掃描和補救動作中省略的特定檔案。 或者，指標可以用來產生特定檔案、IP 位址或 URL 的警示。

若要將實體指定為適用於端點的Defender排除專案，請為這些實體建立「允許」指標。 這類「允許」指標適用於 新一代保護 和 自動化調查 & 補救。

您可以針對下列專案建立「允許」指標：

• Files
• IP 位址、URL 和網域
• 應用程式憑證

檔案的指標

當您 為檔案建立「允許」指標時，例如可執行檔，可協助防止封鎖您組織所使用的檔案。 檔案可以包含可攜式可執行檔 (PE) 檔案，例如 .exe 和 .dll 檔案。

建立檔案指標之前，請確定符合下列需求：

• Microsoft Defender 已啟用雲端式保護來設定防病毒軟體 (請參閱管理雲端式保護)
• 反惡意代碼用戶端版本為 4.18.1901.x 或更新版本
• 裝置執行 Windows 10 版本 1703 或更新版本，或 Windows 11;Windows Server 2012 R2 和 Windows Server 2016 使用適用於端點的 Defender、Windows Server 2019 或 Windows Server 2022 中的新式整合解決方案
• [封鎖] 或 [允許] 功能已開啟

IP 位址、URL 或網域的指標

當您 為IP位址、URL或網域建立「允許」指標時，有助於防止封鎖您組織使用的網站或IP位址。

建立IP位址、URL或網域的指標之前，請確定符合下列需求：

• 適用於端點的 Defender 中的網路保護已在封鎖模式中啟用 (請參閱 啟用網路保護)
• 反惡意代碼用戶端版本為 4.18.1906.x 或更新版本
• 裝置執行 Windows 10 版本 1709 或更新版本，或 Windows 11

自定義網路指標會在 Microsoft Defender 全面偵測回應 中開啟。 若要深入瞭解，請參閱 進階功能。

應用程式憑證的指標

當您為應用程式 憑證建立「允許」指標時，可協助防止組織使用的應用程式，例如內部開發的應用程式遭到封鎖。 .CER 支援或 .PEM 擴展名。

建立應用程式憑證的指標之前，請確定符合下列需求：

• Microsoft Defender 已啟用雲端式保護來設定防病毒軟體 (請參閱管理雲端式保護
• 反惡意代碼用戶端版本為 4.18.1901.x 或更新版本
• 裝置執行 Windows 10 版本 1703 或更新版本，或 Windows 11;Windows Server 2012 R2 和 Windows Server 2016 使用適用於端點的 Defender、Windows Server 2019 或 Windows Server 2022 中的新式整合解決方案
• 病毒和威脅防護定義是最新的

提示

當您建立指標時，可以逐一定義指標，或一次匯入多個專案。 請記住，單一租使用者有15,000個指標的限制。 此外，您可能需要先收集特定詳細數據，例如檔案哈希資訊。 建立指標之前，請務必先檢閱必要 條件。

第 4 部分：提交檔案以進行分析

您可以將檔案和無檔案偵測等實體提交給 Microsoft 進行分析。 Microsoft 安全性研究人員會分析所有提交，而其結果有助於通知 Defender 提供端點威脅防護功能。 當您登入提交網站時，可以追蹤您的提交。

提交檔案以進行分析

如果您有被錯誤偵測為惡意或遺漏的檔案，請遵循下列步驟提交檔案以進行分析。

1. 請檢閱這裡的指導方針： 提交檔案以進行分析。

2. 在適用於端點的 Defender 中提交檔案，或流覽 Microsoft 安全情報 提交網站並提交您的檔案。

提交無檔案偵測以進行分析

如果根據行為偵測到某些內容為惡意代碼，而且您沒有檔案，您可以提交 Mpsupport.cab 檔案進行分析。 您可以在 Windows 10 或 Windows 11 上使用 Microsoft 惡意代碼保護 Command-Line 公用程式 (MPCmdRun.exe) 工具來取得.cab檔案。

1. 移至 C:\ProgramData\Microsoft\Windows Defender\Platform\<version>，然後以系統管理員身分執行 MpCmdRun.exe 。

2. 輸入mpcmdrun.exe -GetFiles，然後按下 [Enter]。

   系統會產生包含各種診斷記錄的 .cab 檔案。 檔案的位置是在命令提示字元的輸出中指定。 根據預設，位置為 C:\ProgramData\Microsoft\Microsoft Defender\Support\MpSupportFiles.cab。

3. 請檢閱這裡的指導方針： 提交檔案以進行分析。

4. 請流覽 Microsoft 安全情報 提交網站 (https://www.microsoft.com/wdsi/filesubmission) ，並提交您的 .cab 檔案。

提交檔案之後會發生什麼事？

我們的系統會立即掃描您的提交，以便在分析師開始處理您的案例之前，提供您最新的判斷。 分析人員可能已提交並處理檔案。 在這些情況下，會快速做出判斷。

對於尚未處理的提交，其優先順序會進行分析，如下所示：

• 可能會影響大量計算機的普遍檔案會獲得較高的優先順序。
• 已驗證的客戶，特別是具有有效 軟體保證標識符 () 的 ENTERPRISE 客戶，會獲得較高的優先順序。
• 被 SAID 持有者標示為高優先順序的提交會立即受到注意。

若要檢查有關您提交的更新，請登入 Microsoft 安全情報 提交網站。

提示

若要深入瞭解，請 參閱提交檔案以進行分析。

第5部分：檢閱和調整威脅防護設定

適用於端點的 Defender 提供各種選項，包括微調各種功能設定的能力。 如果您收到許多誤判，請務必檢閱貴組織的威脅防護設定。 您可能需要對下列項目進行一些調整：

• 雲端提供的保護
• 潛在垃圾應用程式的補救
• 自動化調查與補救措施

雲端提供的保護

檢查雲端提供的保護層級，以取得 Microsoft Defender 防病毒軟體。 根據預設，雲端式保護會設定為 [未設定];不過，我們建議您開啟它。 若要深入瞭解如何設定雲端式保護，請參閱在 Microsoft Defender 防病毒軟體中開啟雲端保護。

您可以使用 Intune 或其他方法，例如 群組原則，來編輯或設定雲端提供的保護設定。

請參閱在 Microsoft Defender 防病毒軟體中開啟雲端保護。

潛在垃圾應用程式的補救

PUA) (潛在垃圾應用程式是一種軟體類別，可能會導致裝置執行速度緩慢、顯示非預期的廣告，或安裝其他可能非預期或不想要的軟體。 PUA 的範例包括廣告軟體、統合軟體，以及與安全性產品行為不同的規避軟體。 雖然 PUA 不會被視為惡意代碼，但某些類型的軟體是以其行為和信譽為基礎的 PUA。

若要深入瞭解PUA，請 參閱偵測和封鎖潛在的垃圾應用程式。

視貴組織使用的應用程式而定，您可能會因為 PUA 保護設定而收到誤判。 如有必要，請考慮在稽核模式中執行PUA保護一段時間，或將PUA保護套用至組織中的裝置子集。 您可以針對 Microsoft Edge 瀏覽器和 Microsoft Defender 防病毒軟體設定 PUA 保護。

建議您使用 Intune 來編輯或設定 PUA 保護設定;不過，您可以使用其他方法，例如 群組原則。

請參閱在 Microsoft Defender 防病毒軟體中設定PUA保護。

自動化調查與補救措施

自動化調查和補救 (AIR) 功能是設計來檢查警示，並立即採取動作來解決缺口。 觸發警示並執行自動化調查時，系統會針對所調查的每一項辨識項產生決策。 決策可以是 惡意、 可疑或 找不到任何威脅。

根據您組織的 自動化設定層級 和其他安全性設定，會對被視為 惡意 或 可疑的成品採取補救動作。 在某些情況下，補救動作會自動發生;在其他情況下，補救動作只會在安全性作業小組核准時手動或採取。

• 深入瞭解自動化層級;然後
• 在適用於端點的Defender中設定AIR功能。

重要事項

建議您使用 完整自動化 進行自動化調查和補救。 請勿因為誤判而關閉這些功能。 相反地，請使用 「允許」指標來定義例外狀況，並將自動化調查和補救設定為自動採取適當的動作。 遵循 本指引 有助於減少安全性作業小組必須處理的警示數目。

是否仍需要協助？

如果您已完成本文中的所有步驟，但仍需要協助，請連絡技術支持人員。

1. 在 Microsoft Defender 入口網站的右上角，選取 (？) 的問號，然後選取 [Microsoft 支援]。

2. 在 [ 支援小幫手 ] 視窗中，描述您的問題，然後傳送您的訊息。 您可以從該處開啟服務要求。

另請參閱

• 管理適用於端點的Defender
• 管理 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案
• Microsoft Defender 入口網站概觀
• macOS 上適用於端點的 Microsoft Defender
• Linux 上適用於端點的 Microsoft Defender
• 設定 iOS 上適用於端點的 Microsoft Defender 功能
• 設定 Android 上適用於端點的 Microsoft Defender 功能

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。