Wykrywanie punktów końcowych i reagowanie w trybie bloku
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
- Program antywirusowy Microsoft Defender
Platformy
- System Windows
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
W tym artykule opisano środowisko EDR w trybie blokowym, które pomaga chronić urządzenia z uruchomionym rozwiązaniem antywirusowym firmy innej niż Microsoft (z programem antywirusowym Microsoft Defender w trybie pasywnym).
Co to jest EDR w trybie bloku?
Wykrywanie i reagowanie na punkty końcowe (EDR) w trybie bloku zapewnia dodatkową ochronę przed złośliwymi artefaktami, gdy program antywirusowy Microsoft Defender nie jest podstawowym produktem antywirusowym i działa w trybie pasywnym. Środowisko EDR w trybie bloku jest dostępne w usłudze Defender for Endpoint Plan 2.
Ważna
Funkcja EDR w trybie bloku nie może zapewnić całej dostępnej ochrony, gdy Microsoft Defender ochrona antywirusowa w czasie rzeczywistym jest w trybie pasywnym. Niektóre funkcje, które zależą od tego, Microsoft Defender program antywirusowy jest aktywnym rozwiązaniem antywirusowym, nie będą działać, takie jak następujące przykłady:
- Ochrona w czasie rzeczywistym, w tym skanowanie przy dostępie i zaplanowane skanowanie, nie jest dostępna, gdy program antywirusowy Microsoft Defender jest w trybie pasywnym. Aby dowiedzieć się więcej na temat ustawień zasad ochrony w czasie rzeczywistym, zobacz Włączanie i konfigurowanie zawsze włączonej ochrony programu antywirusowego Microsoft Defender.
- Funkcje, takie jak reguły i wskaźniki zmniejszania obszaru podatnego na ataki i ochrony sieci (skrót pliku, adres IP, adres URL i certyfikaty) są dostępne tylko wtedy, gdy program antywirusowy Microsoft Defender działa w trybie aktywnym. Oczekuje się, że rozwiązanie antywirusowe firmy innej niż Microsoft obejmuje te możliwości.
EDR w trybie bloku działa w tle, aby korygować złośliwe artefakty, które zostały wykryte przez możliwości EDR. Takie artefakty mogły zostać pominięte przez podstawowy produkt antywirusowy spoza firmy Microsoft. Funkcja EDR w trybie bloku umożliwia programowi antywirusowemu Microsoft Defender podjęcie działań w przypadku wykrywania EDR po naruszeniu zabezpieczeń.
Funkcja EDR w trybie bloku jest zintegrowana z funkcjami zarządzania lukami w zabezpieczeniach & zagrożeń . Zespół ds. zabezpieczeń organizacji otrzymuje zalecenie dotyczące zabezpieczeń , aby włączyć funkcję EDR w trybie bloku, jeśli nie jest jeszcze włączona.
Porada
Aby uzyskać najlepszą ochronę, należy wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender punktów odniesienia.
Obejrzyj ten film wideo, aby dowiedzieć się, dlaczego i jak włączyć wykrywanie i reagowanie na punkty końcowe (EDR) w trybie bloku, włączać blokowanie zachowań i powstrzymywanie na każdym etapie od wstępnego naruszenia do stanu po naruszeniu zabezpieczeń.
Co się stanie, gdy coś zostanie wykryte?
Po włączeniu EDR w trybie bloku i wykryciu złośliwego artefaktu usługa Defender for Endpoint koryguje ten artefakt. Twój zespół ds. operacji zabezpieczeń widzi stan wykrywania jako Zablokowany lub Zablokowany w Centrum akcji, wymieniony jako ukończone akcje. Na poniższej ilustracji przedstawiono wystąpienie niechcianego oprogramowania, które zostało wykryte i skorygowane za pośrednictwem EDR w trybie bloku:
Włączanie EDR w trybie bloku
Ważna
- Przed włączeniem EDR w trybie bloku upewnij się, że wymagania zostały spełnione.
- Wymagane są licencje usługi Defender for Endpoint Plan 2.
- Począwszy od platformy w wersji 4.18.2202.X, można ustawić EDR w trybie bloku, aby była przeznaczona dla określonych grup urządzeń przy użyciu Intune dostawców CSP. Możesz nadal ustawiać EDR w trybie bloku dla całej dzierżawy w portalu Microsoft Defender.
- EDR w trybie blokowym jest zalecany głównie w przypadku urządzeń z uruchomionym programem antywirusowym Microsoft Defender w trybie pasywnym (na urządzeniu jest zainstalowane i aktywne rozwiązanie antywirusowe innej firmy niż Microsoft).
Portal usługi Microsoft Defender
Przejdź do portalu Microsoft Defender (https://security.microsoft.com/) i zaloguj się.
Wybierz pozycję Ustawienia>Punkty końcowe>Ogólne>funkcje zaawansowane.
Przewiń w dół, a następnie włącz opcję Włącz EDR w trybie bloku.
Intune
Aby utworzyć zasady niestandardowe w Intune, zobacz Deploy OMA-URIs to target a CSP through Intune and a comparison to on-premises (Wdrażanie OMA-URIs do celów dostawcy CSP za pośrednictwem Intune) oraz porównanie z lokalnymi.
Aby uzyskać więcej informacji na temat dostawcy CSP usługi Defender używanego dla EDR w trybie bloku, zobacz "Configuration/PassiveRemediation" w obszarze Dostawca CSP usługi Defender.
Wymagania dotyczące EDR w trybie bloku
W poniższej tabeli wymieniono wymagania dotyczące EDR w trybie bloku:
| Wymaganie | Szczegóły |
|---|---|
| Uprawnienia | W Tożsamość Microsoft Entra musisz mieć przypisaną rolę administratora globalnego lub administratora zabezpieczeń. Aby uzyskać więcej informacji, zobacz Podstawowe uprawnienia. |
| System operacyjny | Na urządzeniach musi działać jedna z następujących wersji systemu Windows: - Windows 11 - Windows 10 (wszystkie wersje) — Windows Server 2019 lub nowszy — Windows Server, wersja 1803 lub nowsza - Windows Server 2016 i Windows Server 2012 R2 (z nowym rozwiązaniem ujednoliconego klienta) |
| Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2) | Urządzenia muszą być dołączone do usługi Defender for Endpoint. Zobacz następujące artykuły: - Minimalne wymagania dotyczące Ochrona punktu końcowego w usłudze Microsoft Defender - Dołączanie urządzeń i konfigurowanie możliwości Ochrona punktu końcowego w usłudze Microsoft Defender - Dołączanie serwerów z systemem Windows do usługi Defender for Endpoint - Nowe funkcje Windows Server 2012 R2 i 2016 w nowoczesnym ujednoliconym rozwiązaniu (Zobacz Czy funkcja EDR jest obsługiwana w trybie bloku w Windows Server 2016 i Windows Server 2012 R2?) |
| Program antywirusowy Microsoft Defender | Urządzenia muszą mieć zainstalowany program antywirusowy Microsoft Defender i działać w trybie aktywnym lub pasywnym. Upewnij się, Microsoft Defender program antywirusowy jest w trybie aktywnym lub pasywnym. |
| Ochrona dostarczana przez chmurę | Microsoft Defender program antywirusowy musi być skonfigurowany w taki sposób, aby włączono ochronę dostarczaną przez chmurę. |
| platforma antywirusowa Microsoft Defender | Urządzenia muszą być aktualne. Aby potwierdzić, używając programu PowerShell, uruchom polecenie cmdlet Get-MpComputerStatus jako administrator. W wierszu AMProductVersion powinna być widoczna wersja 4.18.2001.10 lub nowsza . Aby dowiedzieć się więcej, zobacz Zarządzanie aktualizacji programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia. |
| aparat antywirusowy Microsoft Defender | Urządzenia muszą być aktualne. Aby potwierdzić, używając programu PowerShell, uruchom polecenie cmdlet Get-MpComputerStatus jako administrator. W wierszu AMEngineVersion powinna zostać wyświetlona wartość 1.1.16700.2 lub nowsza. Aby dowiedzieć się więcej, zobacz Zarządzanie aktualizacji programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia. |
Ważna
Aby uzyskać najlepszą wartość ochrony, upewnij się, że rozwiązanie antywirusowe jest skonfigurowane do otrzymywania regularnych aktualizacji i podstawowych funkcji oraz że wykluczenia są skonfigurowane. EDR w trybie bloku uwzględnia wykluczenia zdefiniowane dla programu antywirusowego Microsoft Defender, ale nie wskaźniki zdefiniowane dla Ochrona punktu końcowego w usłudze Microsoft Defender.
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Zobacz też
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.