Risolvere i comportamenti indesiderati in Microsoft Defender per endpoint con esclusioni, indicatori e altre tecniche
La funzione principale di Defender per endpoint consiste nel impedire e rilevare l'accesso a processi e file dannosi. Defender per endpoint è progettato per consentire agli utenti dell'organizzazione di essere protetti dalle minacce, mantenendo al contempo la produttività in base alle impostazioni e ai criteri di sicurezza predefiniti. In alcuni casi, potrebbero verificarsi comportamenti indesiderati, ad esempio:
- Falsi positivi: un falso positivo si verifica quando un'entità, ad esempio un file o un processo, è stata rilevata e identificata come dannosa, anche se l'entità non è una minaccia
- Prestazioni scarse: le applicazioni riscontrano problemi di prestazioni quando alcune funzionalità di Defender per endpoint sono abilitate
- Incompatibilità delle applicazioni: le applicazioni non funzionano correttamente quando sono abilitate determinate funzionalità di Defender per endpoint
Questo articolo descrive come risolvere questi tipi di comportamenti indesiderati e include alcuni scenari di esempio.
Nota
La creazione di un indicatore o di un'esclusione deve essere presa in considerazione solo dopo aver compreso accuratamente la causa radice del comportamento imprevisto.
Come risolvere i comportamenti indesiderati con Defender per endpoint
A livello generale, il processo generale per affrontare un comportamento indesiderato in Defender per endpoint è il seguente:
Identificare la funzionalità che causa il comportamento indesiderato. È necessario sapere se si verifica un errore di configurazione con Microsoft Defender Antivirus, rilevamento e risposta degli endpoint, riduzione della superficie di attacco, accesso controllato alle cartelle e così via in Defender per endpoint. È possibile usare le informazioni nel portale di Microsoft Defender o nel dispositivo per stabilire la propria decisione.
Posizione Soluzione Portale Microsoft Defender Eseguire una o più delle azioni seguenti per identificare gli eventi seguenti:
- Analizzare gli avvisi
- Usare la ricerca avanzata
- Visualizzare i reportNel dispositivo Eseguire una o più delle operazioni seguenti per identificare il problema:
- Usare gli strumenti dell'analizzatore delle prestazioni
- Esaminare i log eventi e i codici di errore
- Controllare la cronologia di protezioneA seconda dei risultati del passaggio precedente, è possibile eseguire una o più delle azioni seguenti:
- Eliminare gli avvisi nel portale di Microsoft Defender
- Definire azioni di correzione personalizzate
- Inviare un file a Microsoft per l'analisi
- Definire le esclusioni per Microsoft Defender Antivirus
- Creare indicatori per Defender per endpoint
Tenere presente che la protezione da manomissione influisce sulla possibilità di modificare o aggiungere esclusioni. Vedere Cosa accade quando la protezione da manomissione è attivata.
Verificare che le modifiche abbiano risolto il problema.
Esempi di comportamenti indesiderati
Questa sezione include diversi scenari di esempio che possono essere risolti usando esclusioni e indicatori. Per altre informazioni sulle esclusioni, vedere Panoramica delle esclusioni.
Un'app viene rilevata da Microsoft Defender Antivirus quando l'applicazione viene eseguita
In questo scenario, ogni volta che un utente esegue una determinata applicazione, l'applicazione viene rilevata da Microsoft Defender Antivirus come potenziale minaccia.
Procedura: creare un indicatore "consenti" per Microsoft Defender per endpoint. Ad esempio, è possibile creare un indicatore "consenti" per un file, ad esempio un eseguibile. Vedere Creare indicatori per i file.
Un'app personalizzata autofirma viene rilevata da Microsoft Defender Antivirus quando l'applicazione viene eseguita
In questo scenario, un'app personalizzata viene rilevata da Microsoft Defender Antivirus come potenziale minaccia. L'app viene aggiornata periodicamente ed è autofirma.
Procedura: Creare indicatori "consenti" per i certificati o i file. Fare inoltre riferimento ai seguenti articoli:
Un'app personalizzata accede a un set di tipi di file rilevati come dannosi quando l'applicazione viene eseguita
In questo scenario, un'app personalizzata accede a un set di tipi di file e il set viene rilevato come dannoso da Microsoft Defender Antivirus ogni volta che l'applicazione viene eseguita.
Procedura: quando l'applicazione è in esecuzione, viene rilevata da Microsoft Defender Antivirus come rilevamento del monitoraggio del comportamento.
Procedura: definire esclusioni per Microsoft Defender Antivirus, ad esempio un file o un percorso di esclusione che potrebbe includere caratteri jolly. In alternativa, definire un'esclusione di percorso file personalizzata. Fare inoltre riferimento ai seguenti articoli:
- Indirizzare i falsi positivi/negativi in Microsoft Defender per Endpoint
- Configurare e convalidare le esclusioni in base all'estensione del file e al percorso della cartella
Un'applicazione viene rilevata da Microsoft Defender Antivirus come rilevamento del "comportamento"
In questo scenario, un'applicazione viene rilevata da Microsoft Defender Antivirus a causa di un determinato comportamento, anche se l'applicazione non è una minaccia.
Procedura: definire un'esclusione del processo. Fare inoltre riferimento ai seguenti articoli:
- Configurare e convalidare le esclusioni in base all'estensione del file e al percorso della cartella
- Configurare le esclusioni per i file aperti dai processi
Un'app è considerata un'applicazione potenzialmente indesiderata (PUA)
In questo scenario viene rilevata un'app come PUA e si vuole consentirne l'esecuzione.
Procedura: definire un'esclusione per l'app. Fare inoltre riferimento ai seguenti articoli:
- Escludere file dalla protezione PUA
- Configurare e convalidare le esclusioni in base all'estensione del file e al percorso della cartella
A un'app viene impedito di scrivere in una cartella protetta
In questo scenario, a un'app legittima viene impedito di scrivere in cartelle protette dall'accesso controllato alle cartelle.
Procedura: aggiungere l'app all'elenco "consentito" per l'accesso controllato alle cartelle. Vedere Consentire ad app specifiche di apportare modifiche alle cartelle controllate.
Un'app di terze parti viene rilevata come dannosa da Microsoft Defender Antivirus
In questo scenario, un'app di terze parti che non è una minaccia viene rilevata e identificata come dannosa da Microsoft Defender Antivirus.
Procedura: inviare l'app a Microsoft per l'analisi. Vedere Come inviare un file a Microsoft per l'analisi.
Un'app viene rilevata erroneamente e identificata come dannosa da Defender per endpoint
In questo scenario, un'app legittima viene rilevata e identificata come dannosa da una regola di riduzione della superficie di attacco in Defender per endpoint. Ogni volta che un utente usa l'app, l'app e qualsiasi contenuto scaricato vengono bloccati dalla regola di riduzione della superficie di attacco, blocca JavaScript o VBScript dall'avvio del contenuto eseguibile scaricato.
Come risolvere:
Nel portale Microsoft Defender passare a Report. In Report selezionare Report di sicurezza.
Scorrere verso il basso fino ai dispositivi per trovare le schede di riduzione della superficie di attacco. Per altre informazioni, vedere report sulle regole di riduzione della superficie di attacco.
Usare le informazioni per identificare i file e i percorsi delle cartelle da escludere.
Aggiungere esclusioni. Vedere Configurare e convalidare le esclusioni in base all'estensione del file e al percorso della cartella.
Word modelli contenenti macro che avviano altre app sono bloccati
In questo scenario, ogni volta che un utente apre documenti creati usando i modelli di Microsoft Word contenenti macro e tali macro avviano altre applicazioni, la regola di riduzione della superficie di attacco Blocca le chiamate API Win32 dalle macro di Office blocca Microsoft Word.
Come risolvere:
Nel portale Microsoft Defender passare a Report. In Report selezionare Report di sicurezza.
Scorrere verso il basso fino ai dispositivi per trovare le schede di riduzione della superficie di attacco. Per altre informazioni, vedere report sulle regole di riduzione della superficie di attacco.
Usare le informazioni per identificare i file e i percorsi delle cartelle da escludere.
Aggiungere esclusioni. Vedere Configurare e convalidare le esclusioni in base all'estensione del file e al percorso della cartella.