Konfigurace pokročilých funkcí prostředí
Oblast Rozšířené funkce v oblasti Obecné nastavení poskytuje mnoho přepínačů pro zapnutí a vypnutí pro funkce v rámci produktu. Některé z těchto funkcí se dozvíte v dalších modulech.
V závislosti na produktech zabezpečení Microsoftu, které používáte, můžou být k dispozici některé pokročilé funkce, se kterými můžete integrovat Defender for Endpoint.
V navigačním podokně vyberte Rozšířené funkce koncových bodů > nastavení>.
Vyberte pokročilou funkci, kterou chcete nakonfigurovat, a přepněte nastavení mezi zapnutým a vypnutým.
Vyberte Uložit předvolby.
Následující pokročilé funkce vám pomůžou lépe chránit před potenciálně škodlivými soubory a získat lepší přehled během vyšetřování zabezpečení.
Automatizované šetření
Zapněte tuto funkci, abyste mohli využívat funkce automatizovaného vyšetřování a nápravy služby. Další informace najdete v tématu Automatizované šetření.
Živá odpověď
Poznámka:
Živá odpověď vyžaduje, aby bylo automatické šetření zapnuté, abyste ji mohli povolit v části Upřesňující nastavení na portálu.
Tuto funkci zapněte, aby uživatelé s příslušnými oprávněními mohli spustit živou relaci odpovědí na zařízeních.
Živá odpověď pro servery
Tuto funkci zapněte, aby uživatelé s příslušnými oprávněními mohli spustit živou relaci odpovědí na serverech.
Živé spuštění skriptu bez znaménka
Povolení této funkce umožňuje spouštět nepodepsané skripty v živé relaci odpovědi.
Vždy napravit PUA
Potenciálně nežádoucí aplikace (PUA) jsou kategorie softwaru, která může způsobit pomalé spouštění počítače, zobrazování neočekávaných reklam nebo nejhorší instalace jiného softwaru, který může být neočekávaný nebo nežádoucí.
Zapněte tuto funkci, aby se potenciálně nežádoucí aplikace (PUA) opravily na všech zařízeních ve vašem tenantovi, i když na zařízeních není nakonfigurovaná ochrana PUA. Tato aktivace funkce pomáhá chránit uživatele před neúmyslným instalací nežádoucích aplikací na jejich zařízení. Při vypnutí je náprava závislá na konfiguraci zařízení.
Omezení korelace na skupiny zařízení s vymezeným oborem
Tuto konfiguraci lze použít ve scénářích, kdy by místní operace SOC chtěly omezit korelace výstrah pouze na skupiny zařízení, ke kterým mají přístup. Když toto nastavení povolíte, incident složený z výstrah, které se pro různé skupiny zařízení už nebudou považovat za jediný incident. Místní SOC pak může s incidentem provést akci, protože mají přístup k jedné ze zahrnutých skupin zařízení. Globální SOC ale místo jednoho incidentu uvidí několik různých incidentů podle skupiny zařízení. Toto nastavení nedoporučujeme zapnout, pokud tak nepřeváží výhody korelace incidentů v celé organizaci.
Poznámka:
Změna tohoto nastavení má vliv jenom na budoucí korelace výstrah.
Povolení EDR v režimu bloku
Detekce koncových bodů a reakce (EDR) v režimu bloku poskytuje ochranu před škodlivými artefakty, i když Antivirová ochrana v programu Microsoft Defender běží v pasivním režimu. Když je zapnutá, EDR v režimu bloku blokuje škodlivé artefakty nebo chování, které jsou zjištěny na zařízení. EDR v režimu blokování funguje na pozadí k nápravě škodlivých artefaktů, které jsou zjištěny po porušení zabezpečení.
Nápravná upozornění autoresolve
U tenantů vytvořených ve Windows 10 verze 1809 je funkce automatizovaného šetření a nápravy ve výchozím nastavení nakonfigurovaná tak, aby vyřešila výstrahy, ve kterých je stav výsledků automatizované analýzy "Nenalezena žádná hrozba" nebo "Náprava". Pokud nechcete, aby se upozornění automaticky vyřešila, budete muset tuto funkci ručně vypnout.
Tip
U tenantů vytvořených před touto verzí budete muset tuto funkci zapnout ručně na stránce Pokročilé funkce.
Poznámka:
Výsledek akce automatického řešení může ovlivnit výpočet na úrovni rizika zařízení, který je založený na aktivních výstrahách nalezených v zařízení. Pokud analytik operací zabezpečení ručně nastaví stav výstrahy na Probíhající nebo Vyřešeno, funkce automatického překladu ji nepřepíše.
Povolit nebo blokovat soubor
Blokování je dostupné jenom v případě, že vaše organizace splňuje tyto požadavky:
- Používá Antivirová ochrana v programu Microsoft Defender jako aktivní antimalwarové řešení.
- Funkce cloudové ochrany je povolená.
Tato funkce umožňuje blokovat potenciálně škodlivé soubory ve vaší síti. Blokování souboru zabrání jeho čtení, zápisu nebo spuštění na zařízeních ve vaší organizaci.
Po zapnutí této funkce můžete soubory blokovat prostřednictvím karty Přidat indikátor na stránce profilu souboru.
Vlastní indikátory sítě
Zapnutí této funkce umožňuje vytvářet indikátory pro IP adresy, domény nebo adresy URL, které určují, jestli budou povolené nebo blokované na základě vašeho vlastního seznamu ukazatelů.
Pokud chcete tuto funkci používat, musí zařízení používat Windows 10 verze 1709 nebo novější nebo Windows 11. Měly by také mít ochranu sítě v režimu bloku a verze 4.18.1906.3 nebo novější antimalwarové platformy viz KB 4052623.
Poznámka:
Ochrana sítě využívá služby reputace, které zpracovávají požadavky v umístěních, která můžou být mimo umístění, které jste vybrali pro data Defenderu for Endpoint.
Ochrana proti manipulaci
Během některých druhů kybernetických útoků se špatní aktéři pokusí na vašich počítačích zakázat funkce zabezpečení, jako je antivirová ochrana. Bad actors like to disable your security features to getasier access to your data, to install malware, or to otherwise exploit your data, identity, and devices.
Ochrana proti manipulaci v podstatě zamkne Antivirová ochrana v programu Microsoft Defender a zabrání změnám nastavení zabezpečení prostřednictvím aplikací a metod.
Tato funkce je dostupná, pokud vaše organizace používá Antivirová ochrana v programu Microsoft Defender a je povolená cloudová ochrana.
Nechte ochranu manipulací zapnutou, aby se zabránilo nežádoucím změnám vašeho řešení zabezpečení a jeho základních funkcí.
Zobrazení podrobných informací o uživateli
Tuto funkci zapněte, abyste viděli podrobnosti o uživateli uložené v Microsoft Entra ID. Podrobnosti zahrnují obrázek, název, název uživatele a informace o oddělení při zkoumání entit uživatelského účtu. Informace o uživatelském účtu najdete v následujících zobrazeních:
- Řídicí panel operací zabezpečení
- Fronta upozornění
- Stránka s podrobnostmi o zařízení
integrace Skype pro firmy
Povolení integrace Skype pro firmy umožňuje komunikovat s uživateli pomocí Skype pro firmy, e-mailu nebo telefonu. Tato aktivace může být praktická, když potřebujete komunikovat s uživatelem a zmírnit rizika.
Poznámka:
Když je zařízení izolované od sítě, zobrazí se automaticky otevírané okno, kde můžete povolit komunikaci v Outlooku a Skypu, která umožňuje komunikaci s uživatelem, když jsou odpojeni od sítě. Toto nastavení platí pro komunikaci Přes Skype a Outlook, když jsou zařízení v režimu izolace.
Integrace Microsoft Defenderu for Identity
Integrace s Microsoft Defenderem for Identity umožňuje přejít přímo do jiného produktu zabezpečení Microsoft Identity. Microsoft Defender for Identity rozšiřuje šetření o další přehledy o podezřelém napadeném účtu a souvisejících prostředcích. Povolením této funkce obohačíte možnosti prověřování na základě zařízení tím, že se v síti přesunete z hlediska identity.
Poznámka:
Abyste mohli tuto funkci povolit, budete muset mít příslušnou licenci.
Připojení Analýzy hrozeb v Office 365
Tato funkce je dostupná jenom v případě, že máte aktivní doplněk Office 365 E5 nebo Threat Intelligence.
Když tuto funkci zapnete, budete moct začlenit data z Microsoft Defender pro Office 365 do XDR v programu Microsoft Defender, abyste provedli komplexní šetření zabezpečení v poštovních schránkách Office 365 a zařízeních s Windows.
Poznámka:
Abyste mohli tuto funkci povolit, budete muset mít příslušnou licenci.
Pokud chcete přijímat kontextovou integraci zařízení v Office 365 Threat Intelligence, budete muset povolit nastavení Defenderu pro koncové body na řídicím panelu Zabezpečení a dodržování předpisů.
Odborníci na hrozby Microsoftu – cílená oznámení o útoku
Funkci expertů na vyžádání můžete použít jenom v případě, že jste použili verzi Preview a vaše aplikace byla schválena. Cílená oznámení o útoku můžete dostávat od odborníků na hrozby Microsoftu prostřednictvím řídicího panelu upozornění na portálu a e-mailem, pokud ho nakonfigurujete.
Microsoft Defender for Cloud Apps
Povolením tohoto nastavení se předá signály Defenderu for Endpoint do Microsoft Defenderu for Cloud Apps, aby bylo možné získat hlubší přehled o využití cloudových aplikací. Přeposílaná data se ukládají a zpracovávají ve stejném umístění jako data Defenderu for Cloud Apps.
Povolení integrace Microsoft Defenderu for Endpoint z portálu Microsoft Defender for Identity Portal
Pokud chcete získat integraci kontextových zařízení v programu Microsoft Defender for Identity, musíte tuto funkci povolit také na portálu Microsoft Defender for Identity.
Filtrování webového obsahu
Zablokujte přístup k webům obsahujícím nežádoucí obsah a sledujte webovou aktivitu napříč všemi doménami. Pokud chcete určit kategorie webového obsahu, které chcete blokovat, vytvořte zásadu filtrování webového obsahu. Při nasazování standardních hodnot zabezpečení v programu Microsoft Defender for Endpoint se ujistěte, že máte ochranu sítě v režimu blokování.
Sdílení upozornění koncového bodu pomocí Portál dodržování předpisů Microsoft Purview
Předá výstrahy zabezpečení koncových bodů a jejich stav třídění do Portál dodržování předpisů Microsoft Purview, což vám umožní vylepšit zásady správy insiderských rizik pomocí výstrah a napravit interní rizika předtím, než způsobí škodu. Přesměrovaná data se zpracovávají a ukládají ve stejném umístění jako vaše data Office 365.
Po nakonfigurování indikátorů porušení zásad zabezpečení v nastavení správy insiderských rizik se výstrahy Defenderu pro koncové body budou sdílet se správou insiderských rizik pro příslušné uživatele.
Připojení k Microsoft Intune
Program Defender for Endpoint je možné integrovat s Microsoft Intune, aby bylo možné povolit podmíněný přístup založený na rizikech zařízení. Když tuto funkci zapnete, budete moct sdílet informace o zařízení v defenderu for Endpoint s Intune a zvýšit vynucování zásad.
Důležité
Abyste mohli tuto funkci používat, budete muset povolit integraci v Intune i v programu Defender for Endpoint.
Tato funkce je dostupná jenom v případě, že máte následující požadavky:
Licencovaný tenant pro Enterprise Mobility + Security E3 a Windows E5 (nebo Microsoft 365 Enterprise E5)
Aktivní prostředí Microsoft Intune se zařízeními s Windows spravovaná pomocí Intune, která jsou připojená k Microsoft Entra.
Zásady podmíněného přístupu
Když povolíte integraci Intune, Intune automaticky vytvoří klasické zásady podmíněného přístupu (CA). Tato klasická zásada podmíněného přístupu je předpokladem pro nastavení zpráv o stavu v Intune. Nemělo by být odstraněno.
Poznámka:
Klasické zásady podmíněného přístupu vytvořené službou Intune se liší od moderních zásad podmíněného přístupu, které se používají ke konfiguraci koncových bodů.
Zjišťování zařízení
Pomáhá najít nespravovaná zařízení připojená k podnikové síti bez nutnosti dalších zařízení nebo těžkopádných změn procesů. Pomocí onboardovaných zařízení můžete najít nespravovaná zařízení ve vaší síti a vyhodnotit ohrožení zabezpečení a rizika.
Poznámka:
Filtry můžete vždy použít k vyloučení nespravovaných zařízení ze seznamu inventáře zařízení. K filtrování nespravovaných zařízení můžete také použít sloupec stavu onboardingu v dotazech rozhraní API.
Funkce Preview
Přečtěte si o nových funkcích ve verzi Defender for Endpoint Preview. Vyzkoušejte nadcházející funkce zapnutím prostředí Preview.
Budete mít přístup k nadcházejícím funkcím, ke kterým můžete poskytnout zpětnou vazbu, abyste mohli zlepšit celkové prostředí, než budou funkce obecně dostupné.
Stažení souborů v karanténě
Zálohujte soubory v karanténě v zabezpečeném a vyhovujícím umístění, aby je bylo možné stáhnout přímo z karantény. Tlačítko Stáhnout soubor bude vždy k dispozici na stránce souboru. Toto nastavení je ve výchozím nastavení zapnuté.