Compartilhar via


Proteção da cloud e submissão de exemplo no Antivírus do Microsoft Defender

Aplica-se a:

Plataformas

  • Windows

  • macOS

  • Linux

  • Windows Server

Microsoft Defender Antivírus utiliza muitos mecanismos inteligentes para detetar software maligno. Uma das funcionalidades mais poderosas é a capacidade de aplicar o poder da cloud para detetar software maligno e realizar análises rápidas. A proteção da cloud e a submissão automática de exemplo funcionam em conjunto com Microsoft Defender Antivírus para ajudar a proteger contra ameaças novas e emergentes.

Se for detetado um ficheiro suspeito ou malicioso, é enviado um exemplo para o serviço cloud para análise enquanto Microsoft Defender Antivírus bloqueia o ficheiro. Assim que for efetuada uma determinação, o que acontece rapidamente, o ficheiro é libertado ou bloqueado por Microsoft Defender Antivírus.

Este artigo fornece uma descrição geral da proteção da cloud e da submissão automática de exemplo no Antivírus do Microsoft Defender. Para saber mais sobre a proteção da cloud, veja Proteção da cloud e Antivírus Microsoft Defender.

Como a proteção da cloud e a submissão de exemplo funcionam em conjunto

Para compreender como a proteção da cloud funciona em conjunto com a submissão de exemplo, pode ser útil compreender como o Defender para Endpoint protege contra ameaças. O Microsoft Intelligent Security Graph monitoriza dados de ameaças a partir de uma vasta rede de sensores. A Microsoft coloca em camadas modelos de machine learning baseados na cloud que podem avaliar ficheiros com base em sinais do cliente e na vasta rede de sensores e dados no Graph de Segurança Inteligente. Esta abordagem dá ao Defender para Endpoint a capacidade de bloquear muitas ameaças nunca antes vistas.

A imagem seguinte ilustra o fluxo de proteção da cloud e a submissão de exemplo com Microsoft Defender Antivírus:

Fluxo de proteção fornecido pela cloud

Microsoft Defender o Antivírus e a proteção da cloud bloqueiam automaticamente a maioria das ameaças novas e nunca antes vistas à primeira vista através dos seguintes métodos:

  1. Modelos simples de machine learning baseados no cliente, bloqueando software maligno novo e desconhecido.

  2. Análise comportamental local, parando ataques baseados em ficheiros e sem ficheiros.

  3. Antivírus de alta precisão, detetando software maligno comum através de técnicas genéricas e heurísticas.

  4. A proteção avançada baseada na cloud é fornecida para casos em que Microsoft Defender Antivírus em execução no ponto final precisa de mais informações para verificar a intenção de um ficheiro suspeito.

    1. Caso Microsoft Defender Antivírus não consiga determinar claramente, os metadados de ficheiros são enviados para o serviço de proteção da cloud. Muitas vezes, em milissegundos, o serviço de proteção da cloud pode determinar com base nos metadados se o ficheiro é malicioso ou não uma ameaça.

      • A consulta na cloud de metadados de ficheiros pode ser resultado de comportamento, marca da Web ou outras características em que não é determinado um veredicto claro.
      • É enviado um pequeno payload de metadados, com o objetivo de chegar a um veredicto de software maligno ou não uma ameaça. Os metadados não incluem dados pessoais, como informações pessoais (PII). As informações, como os nomes de ficheiro, são hash.
      • Pode ser síncrono ou assíncrono. Para o síncrono, o ficheiro não abre até que a cloud apresente um veredicto. Para o assíncrono, o ficheiro é aberto enquanto a proteção da cloud efetua a respetiva análise.
      • Os metadados podem incluir atributos PE, atributos de ficheiro estático, atributos dinâmicos e contextuais e muito mais (veja Exemplos de metadados enviados para o serviço de proteção da cloud).
    2. Depois de examinar os metadados, se Microsoft Defender a proteção da cloud antivírus não conseguir chegar a um veredicto conclusivo, pode pedir uma amostra do ficheiro para uma inspeção mais aprofundada. Este pedido honra a configuração da definição para submissão de exemplo, conforme descrito na tabela seguinte:

      Setting Descrição
      Enviar amostras seguras automaticamente - Os exemplos seguros são exemplos considerados como não contêm normalmente dados PII. Os exemplos incluem .bat, .scr, .dlle .exe.
      - Se for provável que o ficheiro contenha PII, o utilizador recebe um pedido para permitir a submissão do exemplo de ficheiro.
      - Esta opção é a configuração predefinida no Windows, macOS e Linux.
      Pedir Sempre - Se estiver configurado, é sempre pedido ao utilizador o consentimento antes da submissão do ficheiro
      - Esta definição não está disponível no macOS e na proteção da cloud do Linux
      Enviar todos os exemplos automaticamente - Se configurado, todos os exemplos são enviados automaticamente
      - Se quiser que a submissão de exemplo inclua macros incorporadas no Word documentos, tem de selecionar Enviar todos os exemplos automaticamente
      - Esta definição não está disponível na proteção da cloud do macOS
      Não enviar - Impede "bloquear à primeira vista" com base na análise de exemplo de ficheiros
      - "Não enviar" é o equivalente à definição "Desativado" na política macOS e à definição "Nenhum" na política do Linux.
      - Os metadados são enviados para deteções mesmo quando a submissão de exemplo está desativada
    3. Depois de os ficheiros serem submetidos para a proteção da cloud, os ficheiros submetidos podem ser analisados, detonados e processados através de modelos de machine learning de análise demacrodados para chegar a um veredicto. Desativar a análise de limites de proteção fornecidos pela cloud apenas para o que o cliente pode fornecer através de modelos de machine learning locais e funções semelhantes.

Importante

Bloquear à primeira vista (BAFS) fornece detonação e análise para determinar se um ficheiro ou processo é seguro. O BAFS pode atrasar a abertura de um ficheiro momentaneamente até chegar a um veredicto. Se desativar a submissão de exemplo, o BAFS também é desativado e a análise de ficheiros está limitada apenas a metadados. Recomendamos que mantenha a submissão de exemplo e o BAFS ativados. Para saber mais, consulte O que é "bloquear à primeira vista"?

Níveis de proteção da cloud

A proteção da cloud está ativada por predefinição no Antivírus do Microsoft Defender. Recomendamos que mantenha a proteção da cloud ativada, embora possa configurar o nível de proteção para a sua organização. Veja Especificar o nível de proteção fornecido pela cloud para Microsoft Defender Antivírus.

Definições de submissão de exemplo

Além de configurar o nível de proteção da cloud, pode configurar as definições de submissão de exemplo. Pode escolher entre várias opções:

  • Enviar amostras seguras automaticamente (o comportamento predefinido)
  • Enviar todos os exemplos automaticamente
  • Não enviar exemplos

Dica

A utilização da opção Send all samples automatically proporciona uma melhor segurança, uma vez que os ataques de phishing são utilizados para uma elevada quantidade de ataques de acesso inicial. Para obter informações sobre as opções de configuração com Intune, Configuration Manager, Política de Grupo ou PowerShell, veja Ativar a proteção da cloud no Antivírus do Microsoft Defender.

Exemplos de metadados enviados para o serviço de proteção da cloud

Os exemplos de metadados enviados para a proteção da cloud no portal do Antivírus do Microsoft Defender

A tabela seguinte lista exemplos de metadados enviados para análise por proteção da cloud:

Tipo Atributo
Atributos do computador OS version
Processor
Security settings
Atributos dinâmicos e contextuais Processo e instalação
ProcessName
ParentProcess
TriggeringSignature
TriggeringFile
Download IP and url
HashedFullPath
Vpath
RealPath
Parent/child relationships

Comportamental
Connection IPs
System changes
API calls
Process injection

Locale
Locale setting
Geographical location
Atributos de ficheiro estático Hashes parciais e completos
ClusterHash
Crc16
Ctph
ExtendedKcrcs
ImpHash
Kcrc3n
Lshash
LsHashs
PartialCrc1
PartialCrc2
PartialCrc3
Sha1
Sha256

Propriedades do ficheiro
FileName
FileSize

Informações do signatário
AuthentiCodeHash
Issuer
IssuerHash
Publisher
Signer
SignerHash

Os exemplos são tratados como dados do cliente

Caso esteja a perguntar-se o que acontece com submissões de exemplo, o Defender para Endpoint trata todos os exemplos de ficheiros como dados do cliente. A Microsoft honra as opções de retenção geográfica e de dados que a sua organização selecionou ao integrar o Defender para Endpoint.

Além disso, o Defender para Endpoint recebeu várias certificações de conformidade, demonstrando a continuação da adesão a um conjunto sofisticado de controlos de conformidade:

  • ISO 27001
  • ISO 27018
  • SOC I, II, III
  • PCI

Para obter mais informações, consulte os seguintes recursos:

Outros cenários de submissão de exemplo de ficheiro

Existem mais dois cenários em que o Defender para Endpoint pode pedir um exemplo de ficheiro que não esteja relacionado com a proteção da cloud no Antivírus do Microsoft Defender. Estes cenários estão descritos na tabela seguinte:

Cenário Descrição
Recolha manual de exemplos de ficheiros no portal do Microsoft Defender Ao integrar dispositivos no Defender para Ponto Final, pode configurar definições para deteção e resposta de pontos finais (EDR). Por exemplo, existe uma definição para ativar coleções de exemplo a partir do dispositivo, que podem ser facilmente confundidas com as definições de submissão de exemplo descritas neste artigo.

A definição EDR controla a recolha de exemplos de ficheiros a partir de dispositivos quando solicitado através do portal Microsoft Defender e está sujeita às funções e permissões já estabelecidas. Esta definição pode permitir ou bloquear a recolha de ficheiros do ponto final para funcionalidades como análise aprofundada no portal do Microsoft Defender. Se esta definição não estiver configurada, a predefinição é ativar a recolha de exemplo.

Saiba mais sobre as definições de configuração do Defender para Endpoint. Veja: Ferramentas de inclusão e métodos para dispositivos Windows 10 no Defender para Endpoint
Análise automatizada de conteúdo de investigação e resposta Quando as investigações automatizadas são executadas em dispositivos (quando configuradas para serem executadas automaticamente em resposta a um alerta ou executadas manualmente), os ficheiros identificados como suspeitos podem ser recolhidos dos pontos finais para uma inspeção mais aprofundada. Se necessário, a funcionalidade de análise de conteúdos de ficheiros para investigações automatizadas pode ser desativada no portal do Microsoft Defender.

Os nomes das extensões de ficheiro também podem ser modificados para adicionar ou remover extensões para outros tipos de ficheiro que serão submetidos automaticamente durante uma investigação automatizada.

Para saber mais, veja Gerir carregamentos de ficheiros de automatização.

Confira também

Visão geral da proteção de última geração

Configure a remediação para Microsoft Defender deteções de Antivírus.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.