Jaa


Päätepisteen tunnistaminen ja vastaus lohkotilassa

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa kuvataan EDR estotilassa, mikä auttaa suojaamaan laitteita, joissa on käytössä jokin muu kuin Microsoftin virustentorjuntaratkaisu (Microsoft Defender virustentorjunta passiivitilassa).

Mikä on EDR lohkotilassa?

Päätepisteen tunnistaminen ja vastaus (EDR) estotilassa tarjoaa lisäsuojan haitallisilta artefaktilta, kun Microsoft Defender virustentorjunta ei ole ensisijainen virustentorjuntatuote ja suoritetaan passiivitilassa. Estotilassa EDR on käytettävissä Defender for Endpoint -palvelupaketti 2:ssa.

Tärkeää

Estotilassa oleva EDR ei voi tarjota kaikkea käytettävissä olevaa suojausta, kun Microsoft Defender virustentorjuntaohjelman reaaliaikainen suojaus on passiivitilassa. Jotkin ominaisuudet, jotka riippuvat siitä, Microsoft Defender virustentorjuntaohjelma aktiiviseksi virustentorjuntaratkaisuksi, eivät toimi, kuten seuraavat esimerkit:

Estotilassa EDR toimii taustalla EDR-ominaisuuksien havaitsemien haitallisten artefaktien korjaamiseksi. Ensisijainen virustentorjuntatuote, joka ei ole Microsoftin virustentorjuntaohjelma, on saattanut jättää tällaiset artefaktit väliin. Estotilassa EDR sallii Microsoft Defender virustentorjunnan ryhtyä toimiin murron jälkeisissä, käyttäytymisen EDR-tunnisnnoissa.

Estotilassa EDR on integroitu uhkien & haavoittuvuuksien hallintaominaisuuksiin . Organisaatiosi suojaustiimi saa suojaussuosituksen , joka ottaa EDR:n käyttöön estotilassa, jos se ei ole vielä käytössä.

Suositus ottaa EDR käyttöön lohkotilassa

Vihje

Jotta saat parhaan suojauksen, varmista, että otat käyttöön Microsoft Defender for Endpoint perusaikataulut.

Katso tästä videosta lisätietoja siitä, miksi ja miten voit ottaa käyttöön päätepisteen tunnistuksen ja vastauksen (EDR) estotilassa, ottaa käyttöön toiminnan estämisen ja eristämisen jokaisessa vaiheessa murtoa edeltävästä murron jälkeiseen tilaan.

Mitä tapahtuu, kun jotain havaitaan?

Kun EDR lohkotilassa on käytössä ja haitallisia artefakteja havaitaan, Defender for Endpoint korjaa kyseisen artefaktin. Suojaustoimintojen tiimi näkee tunnistuksen tilan estettynä tai estettynätoimintokeskuksessa valmiina toimintoina. Seuraavassa kuvassa näkyy ei-toivottujen ohjelmistojen esiintymä, joka havaittiin ja korjattiin EDR:n avulla estotilassa:

EDR:n tunnistaminen lohkotilassa

Ota EDR käyttöön lohkotilassa

Tärkeää

  • Varmista, että vaatimukset täyttyvät, ennen kuin otat EDR:n käyttöön lohkotilassa.
  • Defender for Endpoint Plan 2 -käyttöoikeudet vaaditaan.
  • Alustaversiosta 4.18.2202.X alkaen voit määrittää ESTO-tilan kohdistamaan tietyt laiteryhmät Intune CSP:iden avulla. Voit jatkaa EDR-asetuksen määrittämistä koko vuokraajan lohkotilassa Microsoft Defender portaalissa.
  • Estotilassa EDR:n käyttöä suositellaan ensisijaisesti laitteille, joissa on käynnissä Microsoft Defender virustentorjunta passiivitilassa (laitteessa on asennettuna muu kuin Microsoftin virustentorjuntaratkaisu, joka on aktiivinen).

Microsoft Defender -portaali

  1. Siirry Microsoft Defender portaaliin (https://security.microsoft.com/) ja kirjaudu sisään.

  2. Valitse Asetukset>PäätepisteetYleiset>lisäominaisuudet>.

  3. Vieritä alaspäin ja ota sitten EDR käyttöön lohkotilassa.

Intune

Jos haluat luoda mukautetun käytännön Intune, katso OMA-URIs käyttöönotto CSP:lle kohdistamiseksi Intune kautta ja vertailu paikalliseen.

Lisätietoja Defenderin CSP:stä, jota käytetään EDR:ssä lohkotilassa, on Defender CSP:n kohdassa Configuration/PassiveRemediation.

EDR:n vaatimukset lohkotilassa

Seuraavassa taulukossa on lueteltu EDR:n vaatimukset lohkotilassa:

Vaatimus Tiedot
Käyttöoikeudet Sinulla on oltava joko yleinen järjestelmänvalvoja- tai suojauksen järjestelmänvalvoja -rooli määritettynä Microsoft Entra ID. Lisätietoja on artikkelissa Peruskäyttöoikeudet.
Käyttöjärjestelmä Laitteissa on oltava käytössä jokin seuraavista Windows-versioista:
- Windows 11
– Windows 10 (kaikki julkaisut)
- Windows Server 2019 tai uudempi versio
- Windows Server, versio 1803 tai uudempi
– Windows Server 2016 ja Windows Server 2012 R2 ( uuden yhdistetyn asiakasratkaisun kanssa)
Microsoft Defender for Endpoint Plan 2 Laitteet on otettava käyttöön Defender for Endpointissa. Tutustu seuraaviin artikkeleihin:
- Microsoft Defender for Endpoint vähimmäisvaatimukset
- Laitteissa ja Microsoft Defender for Endpoint ominaisuuksien määrittämisessä
- Windows-palvelimien käyttöönotto Defender for Endpoint -palveluun
- Uudet Windows Server 2012 R2- ja 2016-toiminnot nykyaikaisessa yhdistetyssä ratkaisussa
( Katso Tuetaanko EDR:ää lohkotilassa Windows Server 2016:ssa ja Windows Server 2012 R2:ssa?)
Microsoft Defenderin virustentorjunta Laitteissa on oltava Microsoft Defender virustentorjunta asennettuna ja käynnissä joko aktiivisessa tilassa tai passiivitilassa. Vahvista, Microsoft Defender virustentorjunta on aktiivisessa tai passiivisessa tilassa.
Pilvipalveluun toimitettu suojaus Microsoft Defender virustentorjunta on määritettävä siten, että pilvipalveluun toimitettu suojaus on käytössä.
Microsoft Defender virustentorjuntaympäristö Laitteiden on oltava ajan tasalla. Vahvista suorittamalla PowerShellin avulla järjestelmänvalvojana Get-MpComputerStatus cmdlet. AMProductVersion-rivillä pitäisi näkyä 4.18.2001.10 tai uudempi.

Lisätietoja on artikkelissa Microsoft Defenderin virustentorjunnan päivitysten ja perusaikataulujen hallinta.
Microsoft Defender virustentorjuntaohjelma Laitteiden on oltava ajan tasalla. Vahvista suorittamalla PowerShellin avulla järjestelmänvalvojana Get-MpComputerStatus cmdlet. AMEngineVersion-rivillä pitäisi näkyä 1.1.16700.2 tai uudempi.

Lisätietoja on artikkelissa Microsoft Defenderin virustentorjunnan päivitysten ja perusaikataulujen hallinta.

Tärkeää

Jotta saat parhaan suojausarvon, varmista, että virustentorjuntaratkaisusi on määritetty vastaanottamaan säännöllisiä päivityksiä ja olennaisia ominaisuuksia ja että poikkeukset on määritetty. Estotilassa EDR noudattaa poissulkemisia, jotka on määritetty Microsoft Defender virustentorjuntaa varten, mutta ei Microsoft Defender for Endpoint määritettyjä ilmaisimia.

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.