使用排除项、指示器和其他技术解决Microsoft Defender for Endpoint中不需要的行为

Defender for Endpoint 的主要功能是防止和检测对恶意进程和文件的访问权限。 Defender for Endpoint 旨在保护组织中的人员免受威胁，同时通过默认安全设置和策略保持工作效率。 有时，可能会出现不需要的行为，例如：

• 误报：误报是指检测到实体（如文件或进程）并将其标识为恶意，即使该实体不是威胁
• 性能不佳：启用 Defender for Endpoint 的某些功能时，应用程序会遇到性能问题
• 应用程序不兼容：启用 Defender for Endpoint 的某些功能时，应用程序无法正常工作

本文介绍如何解决这些类型的不需要的行为，并包括一些示例方案。

如何使用 Defender for Endpoint 解决不需要的行为

概括而言，在 Defender for Endpoint 中解决不需要的行为的一般过程如下：

1. 确定导致不需要的行为的功能。 你需要知道 Defender for Endpoint 中是否存在Microsoft Defender防病毒、终结点检测和响应、攻击面减少、受控文件夹访问等的错误配置。 可以使用Microsoft Defender门户或设备上的信息做出决定。

   位置	需执行的操作
   Microsoft Defender门户	采取以下一个或多个操作来帮助确定正在发生的情况： - 调查警报 - 使用高级搜寻 - 查看报告
   在设备上	执行以下一个或多个步骤来确定问题： - 使用性能分析器工具 - 查看事件日志和错误代码 - 检查保护历史记录

2. 根据上一步的发现结果，可能会执行以下操作中的一个或多个操作：

   • 禁止在Microsoft Defender门户中显示警报
   • 定义自定义修正操作
   • 将文件提交到Microsoft进行分析
   • 定义Microsoft Defender防病毒的排除项
   • 为 Defender for Endpoint 创建指示器

   请记住，篡改防护会影响是否可以修改或添加排除项。 请参阅 打开篡改防护时会发生什么情况。

3. 验证所做的更改是否已解决此问题。

不需要的行为示例

本部分包括可使用排除项和指示器解决的几个示例方案。 有关排除项的详细信息，请参阅 排除项概述。

应用程序运行时，Microsoft Defender防病毒检测到应用

在此方案中，每当用户运行某个应用程序时，Microsoft Defender防病毒会检测到该应用程序作为潜在威胁。

如何解决：为Microsoft Defender for Endpoint创建“允许”指示器。 例如，可以为文件（如可执行文件）创建“允许”指示器。 请参阅 为文件创建指示器。

应用程序运行时，Microsoft Defender防病毒检测到自定义自签名应用

在此方案中，Microsoft Defender防病毒检测到自定义应用的潜在威胁。 应用会定期更新，并且是自签名的。

如何解决：为证书或文件创建“允许”指示器。 另请参阅以下文章：

• 基于证书创建指示器
• 创建文件指示器

自定义应用访问应用程序运行时被检测为恶意的一组文件类型

在此方案中，自定义应用访问设置的文件类型，每当应用程序运行时，Microsoft Defender防病毒将集检测为恶意。

如何观察：当应用程序运行时，Microsoft Defender防病毒会将其检测为行为监视检测。

如何解决：定义Microsoft Defender防病毒的排除项，例如可能包含通配符的文件或路径排除项。 或定义自定义文件路径排除。 另请参阅以下文章：

• 解决 Microsoft Defender for Endpoint 中的误报/漏报
• 根据文件扩展名和文件夹位置配置和验证排除项

Microsoft Defender防病毒作为“行为”检测来检测应用程序

在这种情况下，由于某些行为，Microsoft Defender防病毒检测到应用程序，即使应用程序不是威胁。

如何解决：定义进程排除。 另请参阅以下文章：

• 根据文件扩展名和文件夹位置配置和验证排除项
• 为进程打开的文件配置排除项

应用被视为可能不需要的应用程序 (PUA)

在此方案中，应用被检测为 PUA，你希望允许它运行。

如何解决：定义应用的排除项。 另请参阅以下文章：

• 排除来自 PUA 保护的文件
• 根据文件扩展名和文件夹位置配置和验证排除项

阻止应用写入受保护的文件夹

在此方案中，将阻止合法应用写入受受控文件夹访问权限保护的文件夹。

如何解决：将应用添加到“允许”列表，以便进行受控文件夹访问。 请参阅 允许特定应用对受控文件夹进行更改。

Microsoft Defender防病毒将第三方应用检测为恶意应用

在此方案中，Microsoft Defender防病毒检测到非威胁的第三方应用并将其标识为恶意应用。

如何解决：将应用提交到Microsoft进行分析。 请参阅 如何将文件提交到Microsoft进行分析。

Defender for Endpoint 错误地检测到应用并将其标识为恶意应用

在此方案中，Defender for Endpoint 中的攻击面减少规则检测到合法应用并将其标识为恶意应用。 每当用户使用应用时，攻击面减少规则阻止应用和任何下载的内容， 即阻止 JavaScript 或 VBScript 启动下载的可执行内容。

如何解决：

1. 在Microsoft Defender门户中，转到“报表”。 在 “报表”下，选择“ 安全报告”。

2. 向下滚动到设备以查找攻击面减少卡。 有关详细信息，请参阅 攻击面减少规则报告。

3. 使用信息标识要排除的文件和文件夹位置。

4. 添加排除项。 请参阅 基于文件扩展名和文件夹位置配置和验证排除项。

阻止Word包含启动其他应用的宏的模板

在此方案中，每当用户打开使用Microsoft Word包含宏的模板创建的文档时，这些宏会启动其他应用程序时，攻击面减少规则“阻止来自 Office 宏的 Win32 API 调用”将阻止Microsoft Word。

如何解决：

1. 在Microsoft Defender门户中，转到“报表”。 在 “报表”下，选择“ 安全报告”。

2. 向下滚动到设备以查找攻击面减少卡。 有关详细信息，请参阅 攻击面减少规则报告。

3. 使用信息标识要排除的文件和文件夹位置。

4. 添加排除项。 请参阅 基于文件扩展名和文件夹位置配置和验证排除项。

另请参阅

• 排除项概述
• 管理排除项引用