Gjenkjenning og svar for endepunkt i blokkmodus
Gjelder for:
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Plattformer
- Windows
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Denne artikkelen beskriver EDR i blokkmodus, som bidrar til å beskytte enheter som kjører en antivirusløsning som ikke er Fra Microsoft (med Microsoft Defender Antivirus i passiv modus).
Hva er EDR i blokkmodus?
Gjenkjenning og respons for endepunkt (EDR) i blokkmodus gir ekstra beskyttelse mot skadelige artefakter når Microsoft Defender Antivirus ikke er det primære antivirusproduktet og kjører i passiv modus. EDR i blokkmodus er tilgjengelig i Defender for Endpoint Plan 2.
Viktig
EDR i blokkmodus kan ikke gi all tilgjengelig beskyttelse når Microsoft Defender Antivirus sanntidsbeskyttelse er i passiv modus. Noen funksjoner som er avhengige av Microsoft Defender Antivirus for å være den aktive antivirusløsningen, vil ikke fungere, for eksempel følgende eksempler:
- Sanntidsbeskyttelse, inkludert skanning ved tilgang og planlagt skanning, er ikke tilgjengelig når Microsoft Defender Antivirus er i passiv modus. Hvis du vil lære mer om policyinnstillinger for beskyttelse i sanntid, kan du se Aktivere og konfigurere Microsoft Defender Antivirus alltid på beskyttelse.
- Funksjoner som nettverksbeskyttelse og regler for reduksjon av angrepsoverflater og indikatorer (fil-hash, IP-adresse, nettadresse og sertifikater) er bare tilgjengelige når Microsoft Defender Antivirus kjører i aktiv modus. Det forventes at antivirusløsningen som ikke er fra Microsoft, inneholder disse funksjonene.
EDR i blokkmodus fungerer bak kulissene for å utbedre ondsinnede artefakter som ble oppdaget av EDR-funksjoner. Slike artefakter kan ha blitt savnet av det primære antivirusproduktet som ikke er fra Microsoft. EDR i blokkmodus gjør det mulig for Microsoft Defender Antivirus å utføre handlinger på EDR-gjenkjenninger etter brudd.
EDR i blokkmodus er integrert med trussel & funksjoner for sårbarhetsbehandling . Organisasjonens sikkerhetsteam får en sikkerhetsanbefaling om å aktivere EDR i blokkmodus hvis den ikke allerede er aktivert.
Tips
Hvis du vil ha best mulig beskyttelse, må du sørge for å distribuere Microsoft Defender for endepunkt opprinnelige planer.
Se denne videoen for å finne ut hvorfor og hvordan du aktiverer gjenkjenning og respons for endepunkt (EDR) i blokkmodus, aktiverer atferdsblokkering og inneslutning i alle faser fra forhåndsbrudd til etterbrudd.
Hva skjer når noe oppdages?
Når EDR i blokkmodus er aktivert, og det oppdages en skadelig artefakt, vil Defender for Endpoint sende den artefakten på nytt. Sikkerhetsoperasjonsteamet ser registreringsstatusen blokkert eller forhindret i handlingssenteret, oppført som fullførte handlinger. Bildet nedenfor viser en forekomst av uønsket programvare som ble oppdaget og utbedret gjennom EDR i blokkmodus:
Aktiver EDR i blokkmodus
Viktig
- Kontroller at kravene er oppfylt før du slår på EDR i blokkmodus.
- Lisenser for endepunktplan 2 kreves for Defender for endepunktsplan 2.
- Fra og med plattformversjon 4.18.2202.X kan du angi EDR i blokkmodus til å målrette mot bestemte enhetsgrupper ved hjelp av Intune CSP-er. Du kan fortsette å angi EDR i blokkmodus for hele leieren i Microsoft Defender-portalen.
- EDR i blokkmodus anbefales hovedsakelig for enheter som kjører Microsoft Defender Antivirus i passiv modus (en antivirusløsning som ikke er Fra Microsoft, er installert og aktiv på enheten).
Microsoft Defender portal
Gå til Microsoft Defender-portalen (https://security.microsoft.com/) og logg på.
Velg Generelleavanserte funksjonerforinnstillinger-endepunkter>>>.
Rull nedover, og aktiver deretter Aktiver EDR i blokkmodus.
Intune
Hvis du vil opprette en egendefinert policy i Intune, kan du se Distribuer OMA-URIs for å målrette en CSP gjennom Intune, og en sammenligning med lokale.
Hvis du vil ha mer informasjon om Defender CSP som brukes for EDR i blokkmodus, kan du se "Configuration/PassiveRemediation" under Defender CSP.
Krav til EDR i blokkmodus
Tabellen nedenfor viser krav for EDR i blokkmodus:
| Krav | Detaljer |
|---|---|
| Tillatelser | Du må enten ha rollen global administrator eller sikkerhetsadministrator logget på Microsoft Entra ID. Hvis du vil ha mer informasjon, kan du se Grunnleggende tillatelser. |
| Operativsystem | Enheter må kjøre én av følgende versjoner av Windows: - Windows 11 - Windows 10 (alle versjoner) – Windows Server 2019 eller nyere – Windows Server, versjon 1803 eller nyere – Windows Server 2016 og Windows Server 2012 R2 (med den nye enhetlige klientløsningen) |
| Microsoft Defender for endepunkt plan 2 | Enheter må være koblet til Defender for endepunkt. Se følgende artikler: - Minimumskrav for Microsoft Defender for endepunkt - Innebygde enheter og konfigurer Microsoft Defender for endepunkt funksjoner - Om bord på Windows-servere til Defender for Endpoint-tjenesten - Ny Windows Server 2012 R2- og 2016-funksjonalitet i den moderne enhetlige løsningen (Se Støttes EDR i blokkmodus på Windows Server 2016 og Windows Server 2012 R2?) |
| Microsoft Defender Antivirus | Enheter må ha Microsoft Defender Antivirus installert og kjøre i aktiv modus eller passiv modus. Bekreft Microsoft Defender Antivirus er i aktiv eller passiv modus. |
| Skybasert beskyttelse | Microsoft Defender Antivirus må konfigureres slik at skylevert beskyttelse er aktivert. |
| antivirusplattform for Microsoft Defender | Enhetene må være oppdaterte. Hvis du vil bekrefte, kan du kjøre cmdleten Get-MpComputerStatus som administrator ved hjelp av PowerShell. I AMProductVersion-linjen skal du se 4.18.2001.10 eller høyere. Hvis du vil ha mer informasjon, kan du se Administrere Microsoft Defender Antivirus-oppdateringer og bruke opprinnelige grunnlinjer. |
| Microsoft Defender antivirusmotor | Enhetene må være oppdaterte. Hvis du vil bekrefte, kan du kjøre cmdleten Get-MpComputerStatus som administrator ved hjelp av PowerShell. I AMEngineVersion-linjen skal du se 1.1.16700.2 eller høyere. Hvis du vil ha mer informasjon, kan du se Administrere Microsoft Defender Antivirus-oppdateringer og bruke opprinnelige grunnlinjer. |
Viktig
Hvis du vil ha den beste beskyttelsesverdien, må du kontrollere at antivirusløsningen er konfigurert til å motta regelmessige oppdateringer og viktige funksjoner, og at utelukkelsene er konfigurert. EDR i blokkmodus respekterer utelatelser som er definert for Microsoft Defender Antivirus, men ikke indikatorer som er definert for Microsoft Defender for endepunkt.
Microsoft anbefaler at du bruker roller med færrest tillatelser. Dette bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.
Se også
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.