Submissões, supressões e exclusões para antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender

  • Artigo

Aplica-se a:

Plataformas

  • Windows

Observação

Como MVP da Microsoft, Fabian Bader contribuiu e forneceu feedback material para este artigo.

Microsoft Defender para Ponto de Extremidade inclui uma vasta gama de capacidades para prevenir, detetar, investigar e responder a ciberameaças avançadas. Estas capacidades incluem a proteção de próxima geração (que inclui Microsoft Defender Antivírus). Tal como acontece com qualquer solução antivírus ou proteção de ponto final, por vezes, os ficheiros, pastas ou processos que não são realmente uma ameaça podem ser detetados como maliciosos pelo Defender para Ponto Final ou Microsoft Defender Antivírus. Estas entidades podem ser bloqueadas ou enviadas para quarentena, mesmo que não sejam realmente uma ameaça.

Este artigo descreve os cenários mais comuns em que este comportamento ocorre e as capacidades disponíveis no Defender para Endpoint e no Antivírus Microsoft Defender para evitar ou resolver o problema de forma segura sem afetar a sua produtividade. Essas ações incluem:

Cuidado

Definir exclusões reduz o nível de proteção oferecido pelo Defender para Endpoint e Microsoft Defender Antivírus. Utilize exclusões como último recurso e certifique-se de que define apenas as exclusões necessárias. Certifique-se de que revê as exclusões periodicamente e remove as que já não precisa. Veja Pontos importantes sobre exclusões e Erros comuns a evitar.

Submissões, supressões e exclusões

Quando está a lidar com falsos positivos ou entidades conhecidas que estão a gerar alertas, não precisa necessariamente de adicionar uma exclusão. Por vezes, é suficiente classificar e suprimir um alerta. Recomendamos que envie falsos positivos (e falsos negativos) à Microsoft para análise. A tabela seguinte descreve alguns cenários e os passos a seguir relativamente às submissões de ficheiros, supressões de alertas e exclusões.

Cenário Passos a considerar
Falso positivo: uma entidade, como um ficheiro ou um processo, foi detetada e identificada como maliciosa, embora a entidade não seja uma ameaça. 1. Reveja e classifique os alertas que foram gerados como resultado da entidade detetada.
2. Suprimir um alerta para uma entidade conhecida.
3. Reveja as ações de remediação executadas para a entidade detetada.
4. Submeta o falso positivo à Microsoft para análise.
5. Defina uma exclusão para a entidade (apenas se necessário).
Problemas de desempenho , como um dos seguintes problemas:
- Um sistema está a ter uma utilização elevada da CPU ou outros problemas de desempenho.
- Um sistema está a ter problemas de fuga de memória.
- Uma aplicação demora a carregar nos dispositivos.
- Uma aplicação demora a abrir um ficheiro nos dispositivos.		 1. Recolha dados de diagnóstico do Antivírus Microsoft Defender.
2. Se estiver a utilizar uma solução antivírus que não seja da Microsoft, marcar com o fornecedor para quaisquer exclusões necessárias.
3. Analise o Registo de Proteção da Microsoft para ver o impacto estimado no desempenho.
4. Defina uma exclusão para Microsoft Defender Antivírus (se necessário).
5. Crie um indicador para o Defender para Endpoint (apenas se necessário).
Problemas de compatibilidade com produtos antivírus não Microsoft.
Exemplo: o Defender para Endpoint baseia-se em atualizações de informações de segurança para dispositivos, quer estejam a executar Microsoft Defender Antivírus ou numa solução antivírus que não seja da Microsoft.		 1. Se estiver a utilizar um produto antivírus que não seja da Microsoft como a sua principal solução antivírus/antimalware, defina Microsoft Defender Antivírus para o modo passivo.
2. Se estiver a mudar de uma solução antivírus/antimalware que não seja da Microsoft para o Defender para Endpoint, consulte Mudar para o Defender para Endpoint. Essas orientações incluem:
- Exclusões que poderá ter de definir para a solução antivírus/antimalware não Microsoft;
- Exclusões que poderá ter de definir para Microsoft Defender Antivírus; e
- Informações de resolução de problemas (caso algo corra mal durante a migração).

Importante

Um indicador "permitir" é o tipo de exclusão mais forte que pode definir no Defender para Endpoint. Certifique-se de que utiliza indicadores com moderação (apenas quando necessário) e reveja todas as exclusões periodicamente.

Submeter ficheiros para análise

Se tiver um ficheiro que considere que foi detetado incorretamente como software maligno (um falso positivo) ou um ficheiro que suspeita ser software maligno, mesmo que não tenha sido detetado (um falso negativo), pode submeter o ficheiro à Microsoft para análise. A sua submissão é analisada imediatamente e, em seguida, será revista pelos analistas de segurança da Microsoft. Pode marcar a status da sua submissão na página do histórico de submissões.

Submeter ficheiros para análise ajuda a reduzir falsos positivos e falsos negativos para todos os clientes. Para saber mais, veja estes artigos:

Suprimir alertas

Se estiver a receber alertas no portal do Microsoft Defender para ferramentas ou processos que sabe que não são realmente uma ameaça, pode suprimir esses alertas. Para suprimir um alerta, crie uma regra de supressão e especifique que ações tomar para esse alerta noutros alertas idênticos. Pode criar regras de supressão para um alerta específico num único dispositivo ou para todos os alertas que tenham o mesmo título na sua organização.

Para saber mais, veja estes artigos:

Utilizar exclusões e indicadores

Por vezes, o termo exclusões é utilizado para fazer referência a exceções que se aplicam ao Defender para Ponto Final e Microsoft Defender Antivírus. Uma forma mais precisa de descrever estas exceções é a seguinte:

Para obter mais informações, veja Descrição geral das exclusões.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.