Konfigurieren erweiterter Umgebungsfeatures
Der Bereich „Erweiterte Features“ im Bereich „Allgemeine Einstellungen“ bietet viele Optionen zum Ein- bzw. Ausschalten von Features des Produkts. Einige dieser Features lernen Sie in späteren Modulen kennen.
Abhängig von den von Ihnen verwendeten Microsoft-Sicherheitsprodukten stehen möglicherweise einige erweiterte Features zur Verfügung, mit denen Sie Defender für Endpunkt integrieren können.
Klicken Sie im Navigationsbereich auf „Einstellungen“ > „Endpunkte“ > „Erweiterte Features“.
Wählen Sie das erweiterte Feature aus, das Sie konfigurieren möchten, und schalten Sie zwischen „Ein“ und „Aus“ um.
Wählen Sie Voreinstellungen speichern aus.
Verwenden Sie die folgenden erweiterten Features, um bei sicherheitsrelevanten Überprüfungen besser vor potenziell schädlichen Dateien geschützt zu werden und bessere Einblicke zu erhalten.
Automatisierte Untersuchung
Aktivieren Sie diese Funktion, um die Funktionen zur automatisierten Untersuchung und Wartung des Diensts zu nutzen. Weitere Informationen finden Sie unter „Automatisierte Untersuchung“.
Live Response
Hinweis
Die Livereaktion erfordert, dass „Automatisierte Untersuchung“ aktiviert wird, bevor Sie sie im Abschnitt für erweiterte Einstellungen im Portal aktivieren können.
Aktivieren Sie dieses Feature, damit Benutzer mit den entsprechenden Berechtigungen eine Live Response-Sitzung auf Geräten starten können.
Livereaktion für Server
Aktivieren Sie dieses Feature, damit Benutzer*innen mit den entsprechenden Berechtigungen eine Livereaktionssitzung auf Geräten starten können.
Live Response: Ausführung nicht signierter Skripts
Wenn Sie dieses Feature aktivieren, können Sie nicht signierte Skripts in einer Live Response-Sitzung ausführen.
Stetiges Entfernen potenziell unerwünschter Anwendungen
Bei potenziell unerwünschten Anwendungen (Potentially unwanted applications, PUA) handelt es sich um eine Softwarekategorie, die dazu führen kann, dass Ihr Computer langsam ausgeführt, unerwartete Werbung angezeigt oder im schlimmsten Fall unerwartet oder unerwünscht andere Software installiert wird.
Aktivieren Sie dieses Feature, sodass potenziell unerwünschte Anwendungen (PUA) auf allen Geräten in Ihrem Mandanten gelöscht werden, auch wenn der PUA-Schutz auf den Geräten nicht konfiguriert ist. Durch die Aktivierung des Features werden Benutzer*innen vor dem versehentlichen Installieren unerwünschter Anwendungen auf ihrem Gerät geschützt. Bei Deaktivierung des Features hängt es von der Gerätekonfiguration ab, ob diese Anwendungen entfernt werden.
Einschränken der Korrelation auf bereichsbezogene Gerätegruppen
Diese Konfiguration kann für Szenarios verwendet werden, in denen lokale SOC-Vorgänge Warnungskorrelationen nur auf Gerätegruppen beschränken möchten, auf die sie zugreifen können. Durch Aktivieren dieser Einstellung wird ein Incident, der aus Warnungen für mehrere Gruppen besteht, nicht mehr als einzelner Incident betrachtet. Das lokale SOC-Team kann dann Maßnahmen für den Incident ergreifen, da es Zugriff auf eine der beteiligten Gerätegruppen hat. Globalen SOC-Teams werden jedoch mehrere verschiedene Incidents nach Gerätegruppe anstelle eines einzigen Incidents angezeigt. Es wird nicht empfohlen, diese Einstellung zu aktivieren, es sei denn, dies übertrifft die Vorteile der Incidentkorrelation in der gesamten Organisation.
Hinweis
Das Ändern dieser Einstellung wirkt sich nur auf zukünftige Warnungskorrelationen aus.
Enable EDR in block mode (EDR im Blockmodus aktivieren)
Erkennung und Reaktion am Endpunkt (EDR) im Blockmodus bietet Schutz vor schädlichen Artefakten, auch wenn Microsoft Defender Antivirus im passiven Modus ausgeführt wird. Wenn EDR aktiviert wird, blockt das Feature im Blockiermodus schädliche Artefakte oder Verhaltensweisen, die auf einem Gerät erkannt werden. EDR im Blockmodus arbeitet im Hintergrund, um schädliche Artefakte zu entfernen, die nach der Sicherheitsverletzung erkannt werden.
Automatisches Auflösen von Warnungen nach der Wartung
Bei Mandanten, die unter Windows 10 ab Version 1809 erstellt wurden, ist die Funktion zur automatisierten Untersuchung und Wartung standardmäßig so konfiguriert, dass Warnungen aufgelöst werden, deren Status der automatisierten Analyse „Keine Bedrohungen gefunden“ oder „Behoben“ lautet. Wenn die Warnungen nicht automatisch aufgelöst werden sollen, müssen Sie das Feature manuell deaktivieren.
Tipp
Für Mandanten, die vor dieser Version erstellt wurden, müssen Sie dieses Feature manuell auf der Seite „Erweiterte Funktionen“ aktivieren.
Hinweis
Das Ergebnis der Aktion zum automatischen Auflösen kann Einfluss auf die Berechnung der Risikostufe des Geräts haben, die auf den aktiven Warnungen auf einem Gerät beruht. Wenn ein Security Operations-Analyst den Status einer Warnung manuell als „In Bearbeitung“ oder „Aufgelöst“ festlegt, wird er von der Funktion für die automatische Auflösung nicht überschrieben.
Zulassen oder Blockieren von Dateien
Die Blockierung ist nur verfügbar, wenn Ihre Organisation diese Anforderungen erfüllt:
- Microsoft Defender Antivirus wird als aktive Antischadsoftware verwendet.
- Die Funktion für den cloudbasierten Schutz ist aktiviert.
Diese Funktion ermöglicht Ihnen, potenziell schädliche Dateien in Ihrem Netzwerk zu blockieren. Das Sperren einer Datei verhindert, dass sie auf Geräten in Ihrer Organisation gelesen, geschrieben oder ausgeführt wird.
Nachdem Sie diese Funktion aktiviert haben, können Sie Dateien über die Registerkarte „Indikator hinzufügen“ auf der Profilseite einer Datei blockieren.
Benutzerdefinierte Netzwerkindikatoren
Wenn Sie dieses Feature aktivieren, können Sie Indikatoren für IP-Adressen, Domänen oder URLs erstellen, die bestimmen, ob sie basierend auf Ihrer Liste der benutzerdefinierten Indikatoren zugelassen oder blockiert werden.
Um dieses Feature verwenden zu können, muss auf den Geräten Windows 10 Version 1709 oder höher bzw. Windows 11 ausgeführt werden. Zudem sollten sie Netzwerkschutz im Blockmodus haben und Version 4.18.1906.3 oder höher der Antischadsoftwareplattform aufweisen (siehe KB4052623).
Hinweis
Der Netzwerkschutz nutzt Bewertungsdienste, die Anforderungen an Speicherorten verarbeiten, die außerhalb des Speicherorts liegen, den Sie für Ihre Defender for Endpoint-Daten ausgewählt haben.
Manipulationsschutz
Bei einigen Arten von Cyberangriffen versuchen Angreifer*innen, Sicherheitsfeatures wie den Antischadsoftwareschutz auf Ihren Computern zu deaktivieren. Sie möchten diese Sicherheitsfeatures deaktivieren, um leichter Zugriff auf Ihre Daten zu erhalten, Schadsoftware zu installieren oder Ihre Daten, Identitäten und Geräte anderweitig zu missbrauchen.
Der Manipulationsschutz sperrt im Wesentlichen Microsoft Defender Antivirus und verhindert, dass Ihre Sicherheitseinstellungen über Apps und Methoden geändert werden.
Dieses Feature ist verfügbar, wenn Ihr Unternehmen Microsoft Defender Antivirus verwendet und der cloudbasierte Schutz aktiviert ist.
Lassen Sie den Manipulationsschutz aktiviert, um unerwünschte Änderungen an Ihrer Sicherheitslösung und den wesentlichen Features zu verhindern.
Anzeigen von Benutzerdetails
Aktivieren Sie diese Funktion, damit in Microsoft Entra ID gespeicherte Benutzerdetails angezeigt werden. Zu den Details gehören das Bild, der Name, die Berufsbezeichnung sowie Informationen zur Abteilung eines Benutzers, wenn Entitäten für Benutzerkonten untersucht werden. Informationen zu Benutzerkonten finden Sie in den folgenden Ansichten:
- Dashboard für Sicherheitsvorgänge
- Warnungswarteschlage
- Seite mit Gerätedetails
Integration von Skype for Business
Durch die Aktivierung der Skype for Business-Integration haben Sie die Möglichkeit, über Skype for Business, E-Mails oder das Telefon mit Benutzern zu kommunizieren. Die Aktivierung kann hilfreich sein, wenn Sie mit den Benutzer*innen kommunizieren müssen und die Risiken minimieren möchten.
Hinweis
Wenn ein Gerät vom Netzwerk isoliert wird, wird ein Popupelement angezeigt, über das Sie die Outlook- und Skype-Kommunikation aktivieren können. Auf diese Weise können Sie mit den Benutzern kommunizieren, während diese vom Netzwerk getrennt sind. Diese Einstellung gilt für die Skype- und Outlook-Kommunikation, wenn sich Geräte im Isolationsmodus befinden.
Integration von Microsoft Defender for Identity
Die Integration mit Microsoft Defender for Identity ermöglicht Ihnen das direkte Pivotieren in ein anderes Microsoft Defender for Identity-Sicherheitsprodukt. Microsoft Defender for Identity erweitert eine Untersuchung mit weiteren Erkenntnissen zu einem verdächtigen kompromittierten Konto und zugehörigen Ressourcen. Durch die Aktivierung dieses Features erweitern Sie die gerätebasierte Untersuchungsfunktion, indem Sie netzwerkübergreifend aus der Sicht einer Identität pivotieren können.
Hinweis
Sie müssen über die entsprechende Lizenz verfügen, um dieses Feature aktivieren zu können.
Office 365 Threat Intelligence-Verbindung
Dieses Feature ist nur verfügbar, wenn Sie über ein aktives Office 365 E5-Abonnement oder das Threat Intelligence-Add-On verfügen.
Wenn Sie dieses Feature aktivieren, können Sie Daten aus Microsoft Defender für Office 365 in Microsoft 365 Defender integrieren, um eine umfassende Sicherheitsuntersuchung in Office 365-Postfächern und auf Windows-Geräten durchzuführen.
Hinweis
Sie müssen über die entsprechende Lizenz verfügen, um dieses Feature aktivieren zu können.
Damit Sie kontextbezogene Informationen zur Geräteintegration in Office 365 Threat Intelligence erhalten, müssen Sie die Microsoft Defender für Endpunkt-Einstellungen auf dem Dashboard „Sicherheit und Compliance“ aktivieren.
Microsoft-Bedrohungsexperten: Gezielte Angriffsbenachrichtigungen
Sie können die Funktion für die Zusammenarbeit mit Experten bei Bedarf nur dann nutzen, wenn Sie eine Vorschauversion beantragt haben und Ihre Anfrage genehmigt wurde. Wenn Sie diese Funktion konfigurieren, können Sie gezielte Angriffsbenachrichtigungen von Microsoft-Bedrohungsexperten über das Warnungsdashboard des Portals und per E-Mail erhalten.
Microsoft Defender for Cloud Apps
Wenn Sie diese Einstellung aktivieren, werden Defender für Endpunkt-Signale an Microsoft Defender for Cloud Apps weitergeleitet, um einen tieferen Einblick in die Nutzung von Cloudanwendungen zu bieten. Weitergeleitete Daten werden am gleichen Speicherort wie die Daten von Defender for Cloud Apps gespeichert und verarbeitet.
Aktivieren der Microsoft Defender für Endpunkt-Integration über das Microsoft Defender for Identity-Portal
Für die kontextbezogene Geräteintegration in Microsoft Defender for Identity müssen Sie das Feature auch im Microsoft Defender for Identity-Portal aktivieren.
Webinhaltsfilterung
Blockieren Sie den Zugriff auf Websites mit unerwünschten Inhalten, und verfolgen Sie Webaktivitäten in allen Domänen nach. Erstellen Sie eine Richtlinie für die Webinhaltsfilterung, um die zu blockierenden Webinhaltskategorien anzugeben. Stellen Sie sicher, dass sich der Netzwerkschutz beim Bereitstellen der Microsoft Defender for Endpoint-Sicherheitsbaseline im Blockmodus befindet.
Freigeben von Endpunktwarnungen mit dem Microsoft Purview-Complianceportal
Endpunktsicherheitswarnungen und die zugehörigen Selektierungsstatus werden an das Microsoft Purview-Complianceportal weitergeleitet, sodass Sie die Richtlinien für das Insiderrisikomanagement durch Warnungen erweitern und interne Risiken beseitigen können, bevor sie Schaden anrichten. Weitergeleitete Daten werden an demselben Ort verarbeitet und gespeichert wie Ihre Office 365-Daten.
Nach der Konfiguration der Indikatoren für Sicherheitsrichtlinienverstöße in den Einstellungen für das Insider-Risikomanagement werden die Warnungen von Defender für Endpunkt für die entsprechenden Benutzer für das Insider-Risikomanagement freigegeben.
Microsoft Intune-Verbindung
Microsoft Defender für Endpunkt kann mit Microsoft Intune integriert werden, um den risikobasierten bedingten Zugriff auf Geräte zu ermöglichen. Wenn Sie dieses Feature aktivieren, können Sie Microsoft Defender für Endpunkt-Geräteinformationen über Intune freigeben und so das Erzwingen von Richtlinien erweitern.
Wichtig
Sie müssen die Integration sowohl für Intune als auch für Microsoft Defender für Endpunkt aktivieren, um dieses Feature verwenden zu können.
Dieses Feature ist nur verfügbar, wenn die folgenden Voraussetzungen erfüllt sind:
Lizenzierter Mandant für Enterprise Mobility + Security E3 und Windows E5 (oder Microsoft 365 Enterprise E5)
Aktive Microsoft Intune-Umgebung mit von Intune verwalteten Windows-Geräten, die in Microsoft Entra eingebunden sind.
Richtlinie für bedingten Zugriff
Wenn Sie die Intune-Integration aktivieren, erstellt Intune automatisch eine klassische Richtlinie für bedingten Zugriff (Conditional Access, CA). Diese klassische CA-Richtlinie ist eine Voraussetzung für das Einrichten von Statusberichten in Intune. Sie sollte nicht gelöscht werden.
Hinweis
Die klassische Zertifizierungsstellenrichtlinie, die von Intune erstellt wird, unterscheidet sich von modernen Richtlinien für den bedingten Zugriff, die zum Konfigurieren von Endpunkten verwendet werden.
Geräteermittlung
Dieses Feature hilft Ihnen dabei, nicht verwaltete Geräte zu ermitteln, die mit Ihrem Unternehmensnetzwerk verbunden sind, ohne dass zusätzliche Appliances erforderlich sind oder Änderungen an umständlichen Prozessen vorgenommen werden müssen. Mit integrierten Geräten können Sie nach nicht verwalteten Geräten in Ihrem Netzwerk suchen und Sicherheitsrisiken sowie Risiken bewerten.
Hinweis
Sie können immer Filter anwenden, um nicht verwaltete Geräte aus der Gerätebestandsliste auszuschließen. Zudem haben Sie die Möglichkeit, die Spalte für den Onboardingstatus für API-Abfragen zu verwenden, um nicht verwaltete Geräte herauszufiltern.
Previewfunktionen
Informieren Sie sich weiter über neue Features im Defender für Endpunkt-Vorschaurelease. Probieren Sie demnächst verfügbare Features aus, indem Sie die Vorschaufunktion aktivieren.
Sie haben Zugriff auf zukünftig verfügbare Features, zu denen Sie Ihr Feedback übermitteln können. Auf diese Weise können Sie dabei helfen, vor der allgemeinen Verfügbarkeit die Nutzung zu verbessern.
Herunterladen von unter Quarantäne gestellten Dateien
Sichern Sie die unter Quarantäne gestellten Dateien an einem sicheren und kompatiblen Speicherort, sodass sie direkt aus der Quarantäne heruntergeladen werden können. Die Schaltfläche „Datei herunterladen“ ist auf der Dateiseite immer verfügbar. Diese Einstellung ist standardmäßig aktiviert.