Поделиться через

Защита от облака и отправка примеров в антивирусной программе в Microsoft Defender

  • Статья

Область применения:

Платформы

  • Windows

  • macOS

  • Linux

  • Windows Server

Антивирусная программа Microsoft Defender использует множество интеллектуальных механизмов для обнаружения вредоносных программ. Одной из самых мощных возможностей является возможность применять возможности облака для обнаружения вредоносных программ и выполнения быстрого анализа. Облачная защита и автоматическая отправка примеров работают вместе с антивирусной программой в Microsoft Defender для защиты от новых и новых угроз.

При обнаружении подозрительного или вредоносного файла образец отправляется в облачную службу для анализа, а антивирусная программа Microsoft Defender блокирует файл. Как только будет принято решение, что происходит быстро, файл либо освобождается, либо блокируется антивирусной программой Microsoft Defender.

В этой статье представлен обзор облачной защиты и автоматической отправки примеров в антивирусной программе Microsoft Defender. Дополнительные сведения об облачной защите см. в статье Защита облака и антивирусная программа Microsoft Defender.

Совместная работа облачной защиты и отправки примеров

Чтобы понять, как облачная защита работает вместе с примерами отправки, полезно понять, как Defender для конечной точки защищает от угроз. Microsoft Intelligent Security Graph отслеживает данные об угрозах из обширной сети датчиков. Корпорация Майкрософт выполняет распределение облачных моделей машинного обучения, которые могут оценивать файлы на основе сигналов от клиента и обширной сети датчиков и данных в графе интеллектуальной безопасности. Такой подход позволяет Defender для конечной точки блокировать многие никогда ранее невидимые угрозы.

На следующем рисунке показан поток облачной защиты и отправки примера с помощью антивирусной программы Microsoft Defender:

Поток защиты, предоставляемый облаком

Антивирусная и облачная защита в Microsoft Defender автоматически блокируют большинство новых, никогда ранее не встречавшихся угроз на первый взгляд, используя следующие методы:

  1. Упрощенные клиентские модели машинного обучения, блокирующие новые и неизвестные вредоносные программы.

  2. Локальный анализ поведения, остановка атак на основе файлов и атак без файлов.

  3. Высокоточная антивирусная программа, обнаруживающая распространенные вредоносные программы с помощью универсальных и эвристических методов.

  4. Расширенная облачная защита предоставляется в случаях, когда антивирусной программе Microsoft Defender, работающей на конечной точке, требуется больше аналитики для проверки намерения подозрительного файла.

    1. Если антивирусная программа Microsoft Defender не может сделать четкое определение, метаданные файлов отправляются в облачную службу защиты. Часто в миллисекундах облачная служба защиты может на основе метаданных определить, является ли файл вредоносным или не является угрозой.

      • Облачный запрос метаданных файла может быть результатом поведения, метки веб-сайта или других характеристик, когда не определен четкий вердикт.
      • Отправляются небольшие полезные данные метаданных с целью достижения вердикта о вредоносной программе или не угрозе. Метаданные не включают личные данные (PII). Такие сведения, как имена файлов, хэшируются.
      • Может быть синхронным или асинхронным. Для синхронного файла не будет открываться, пока облако не вынесет вердикт. В асинхронном режиме файл открывается, пока облачная защита выполняет свой анализ.
      • Метаданные могут включать атрибуты PE, статические атрибуты файлов, динамические и контекстные атрибуты и многое другое (см. примеры метаданных, отправляемых в облачную службу защиты).

    2. После изучения метаданных, если облачная защита антивирусной программы Microsoft Defender не может вытянуть окончательный вердикт, она может запросить образец файла для дальнейшей проверки. Этот запрос учитывает конфигурацию параметров для отправки примера:

      1. Автоматическая отправка безопасных примеров

        • Безопасные примеры обычно не содержат такие данные личных сведений, как .bat, SCR, .dll, .exe.
        • Если файл, скорее всего, будет содержать личные данные, пользователь получает запрос на разрешение отправки примера файла.
        • Этот параметр используется по умолчанию в Windows, macOS и Linux.

      2. Всегда запрашивать

        • Если это настроено, пользователю всегда будет предложено предоставить согласие перед отправкой файла.
        • Этот параметр недоступен в облачной защите macOS и Linux.

      3. Автоматическая отправка всех примеров

        • Если это настроено, все примеры отправляются автоматически.
        • Если вы хотите, чтобы примеры отправки включали макросы, внедренные в документы Word, необходимо выбрать "Отправить все примеры автоматически".
        • Этот параметр недоступен в облачной защите macOS

      4. Не отправлять

        • Предотвращает "блокировку при первом взгляде" на основе анализа примера файла
        • Параметр "Не отправлять" эквивалентен параметру "Отключено" в политике macOS и параметру "Нет" в политике Linux.
        • Метаданные отправляются для обнаружения, даже если отправка примера отключена

    3. После отправки файлов в облачную защиту отправленные файлы можно сканировать, детонировать и обрабатывать с помощью моделей машинного обученияанализа больших данных, чтобы выработать вердикт. Отключение облачной защиты ограничивает анализ только тем, что клиент может предоставить с помощью локальных моделей машинного обучения и аналогичных функций.

Важно!

Блокировка при первом взгляде (BAFS) обеспечивает детонацию и анализ, чтобы определить, является ли файл или процесс безопасным. BAFS может на мгновение отложить открытие файла до вынесения вердикта. При отключении отправки примеров BAFS также отключается, а анализ файлов ограничивается только метаданными. Рекомендуется оставить отправку примеров и BAFS включенными. Дополнительные сведения см. в статье Что такое "блокировка с первого взгляда"?

Уровни защиты облака

Защита облака включена по умолчанию в антивирусной программе Microsoft Defender. Мы рекомендуем оставить облачную защиту включенной, хотя вы можете настроить уровень защиты для вашей организации. См . статью Указание облачного уровня защиты для антивирусной программы Microsoft Defender.

Параметры отправки примеров

Помимо настройки уровня защиты облака, можно настроить параметры отправки примеров. Вы можете выбрать один из нескольких вариантов:

  • Автоматическая отправка безопасных примеров (поведение по умолчанию)
  • Автоматическая отправка всех примеров
  • Не отправлять примеры

Совет

Использование параметра Send all samples automatically обеспечивает более высокую безопасность, так как фишинговые атаки используются для большого количества первоначальных атак доступа. Сведения о параметрах конфигурации с помощью Intune, Configuration Manager, групповой политики или PowerShell см . в статье Включение облачной защиты в антивирусной программе в Microsoft Defender.

Примеры метаданных, отправляемых в облачную службу защиты

Примеры метаданных, отправляемых в облачную защиту на портале антивирусной программы Microsoft Defender

В следующей таблице приведены примеры метаданных, отправляемых для анализа облачной защитой.

Тип Атрибут
Атрибуты компьютера OS version
Processor
Security settings
Динамические и контекстные атрибуты Обработка и установка
ProcessName
ParentProcess
TriggeringSignature
TriggeringFile
Download IP and url
HashedFullPath
Vpath
RealPath
Parent/child relationships

Поведение
Connection IPs
System changes
API calls
Process injection

Locale
Locale setting
Geographical location
Атрибуты статического файла Частичные и полные хэши
ClusterHash
Crc16
Ctph
ExtendedKcrcs
ImpHash
Kcrc3n
Lshash
LsHashs
PartialCrc1
PartialCrc2
PartialCrc3
Sha1
Sha256

Свойства File
FileName
FileSize

Сведения о подписывшем
AuthentiCodeHash
Issuer
IssuerHash
Publisher
Signer
SignerHash

Примеры обрабатываются как данные клиента

На всякий случай, если вам интересно, что происходит с образцами отправки, Defender для конечной точки обрабатывает все примеры файлов как данные клиента. Корпорация Майкрософт учитывает как географические параметры, так и варианты хранения данных, выбранные организацией при подключении к Defender для конечной точки.

Кроме того, Defender для конечной точки получил несколько сертификатов соответствия, что свидетельствует о постоянном соблюдении сложного набора средств контроля соответствия:

  • ISO 27001
  • ISO 27018
  • SOC I, II, III
  • PCI

Дополнительные сведения см. в следующих источниках:

Другие примеры сценариев отправки файлов

Существует еще два сценария, в которых Defender для конечной точки может запросить пример файла, который не связан с облачной защитой в антивирусной программе Microsoft Defender. Эти сценарии описаны в следующей таблице:

Сценарий Описание
Сбор примеров файлов вручную на портале Microsoft Defender При подключении устройств к Defender для конечной точки можно настроить параметры обнаружения конечных точек и реагирования (EDR). Например, существует параметр для включения образцов коллекций с устройства, который можно легко спутать с параметрами отправки примеров, описанными в этой статье.

Параметр EDR управляет сбором примеров файлов с устройств при запросе на портале Microsoft Defender и зависит от уже установленных ролей и разрешений. Этот параметр может разрешить или заблокировать сбор файлов из конечной точки для таких функций, как глубокий анализ на портале Microsoft Defender. Если этот параметр не настроен, по умолчанию включается сбор примеров.

Сведения о параметрах конфигурации Defender для конечной точки см. в статье Средства и методы подключения для устройств с Windows 10 в Defender для конечной точки.
Автоматическое исследование и анализ содержимого ответов При выполнении автоматических исследований на устройствах (при настройке для автоматического запуска в ответ на оповещение или вручную) файлы, которые определены как подозрительные, можно собирать из конечных точек для дальнейшей проверки. При необходимости функцию анализа содержимого файлов для автоматизированных исследований можно отключить на портале Microsoft Defender.

Имена расширений файлов также можно изменить, чтобы добавить или удалить расширения для других типов файлов, которые будут автоматически отправляться во время автоматического исследования.

Дополнительные сведения см. в статье Управление отправкой файлов автоматизации.

Совет

Если вам нужны сведения об антивирусной программе для других платформ, см.:

См. также

Обзор защиты нового поколения

Настройте исправление для обнаружения антивирусной программы в Microsoft Defender.

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.