Konfigurieren erweiterter Features
Die Seite „Erweiterte Funktionen“ im Bereich „Einstellungen“ > „Allgemein“ bietet die folgenden Einstellungen für die Automatisierung:
Der Bereich „Erweiterte Funktionen“ im Bereich „Allgemeine Einstellungen“ bietet viele Umschalter für Funktionen des Produkts. Die folgenden Einstellungen sind für die Automatisierung von Bedeutung.
| Funktion | BESCHREIBUNG |
|---|---|
| Automatisierte Untersuchung | Ermöglicht die Automatisierungsfunktionen für die Untersuchung und Reaktion |
| Enable EDR in block mode (EDR im Blockmodus aktivieren) | Bei Aktivierung verwendet Microsoft Defender für Endpunkt Funktionen zur Blockierung und Eingrenzung nach Verhaltensmustern, indem schädliche Artefakte oder Verhaltensweisen über die EDR-Funktionen (Endpoint Detection and Response) nach einer Sicherheitsverletzung blockiert werden. Diese Funktion ändert nicht die Art und Weise, wie Microsoft Defender für Endpunkt die Erkennung, die Generierung von Warnungen und die Vorfallkorrelation ausführt. |
| Automatically resolve alerts (Warnungen automatisch auflösen) | Löst eine Warnung auf, wenn die automatisierte Untersuchung keine Bedrohungen findet oder alle bösartigen Artefakte korrigiert werden konnten. |
| Allow or block file (Dateien zulassen oder blockieren) | Sie müssen sicherstellen, dass Windows Defender Antivirus aktiviert ist und dass die Funktion für den cloudbasierten Schutz in Ihrer Organisation aktiviert ist, damit die Funktion zum Zulassen oder Blockieren von Dateien verwendet werden kann. |
Automatisierte Untersuchung
Aktivieren Sie diese Funktion, um die Funktionen zur automatisierten Untersuchung und Wartung des Diensts zu nutzen.
Automatisches Auflösen von Warnungen nach der Wartung
Bei Mandanten, die ab Windows 10, Version 1809 oder höher erstellt wurden, ist die Funktion zur automatisierten Untersuchung und Wartung standardmäßig so konfiguriert, dass Warnungen gelöst werden, deren Ergebnisstatus bei der automatisierten Analyse „No threats found“ (Keine Bedrohungen gefunden) oder „Remediated“ (Behoben) lautet. Wenn Warnungen nicht automatisch gelöst werden sollen, müssen Sie das Feature manuell deaktivieren.
Das Ergebnis der Aktion zum automatischen Auflösen kann Einfluss auf die Berechnung der Risikostufe des Geräts haben, die auf den aktiven Warnungen auf einem Gerät beruht. Wenn ein Security Operations Analyst den Status einer Warnung manuell auf „In Bearbeitung“ oder „Aufgelöst“ festlegt, wird dies von der Funktion für die automatische Auflösung nicht überschrieben.
Zulassen oder Blockieren von Dateien
Die Blockierung ist nur verfügbar, wenn Ihre Organisation diese Anforderungen erfüllt:
- Microsoft Defender Antivirus wird als aktive Antischadsoftware verwendet.
Und
- Die Funktion für den cloudbasierten Schutz ist aktiviert.
Diese Funktion ermöglicht Ihnen, potenziell schädliche Dateien in Ihrem Netzwerk zu blockieren. Das Blockieren einer Datei verhindert, dass sie auf Geräten in Ihrer Organisation gelesen, geschrieben oder ausgeführt wird. Nachdem Sie diese Funktion aktiviert haben, können Sie Dateien über die Registerkarte „Indikator hinzufügen“ auf der Profilseite einer Datei blockieren.