Udostępnij za pośrednictwem


Omówienie możliwości zmniejszania obszaru ataków i korzystanie z nich

Dotyczy:

Platformy

  • System Windows

Porada

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Powierzchnie ataków to wszystkie miejsca, w których twoja organizacja jest narażona na ataki cybernetyczne i ataki. Usługa Defender for Endpoint oferuje kilka możliwości, które ułatwiają zmniejszenie obszarów ataków. Obejrzyj poniższy film wideo, aby dowiedzieć się więcej na temat zmniejszania obszaru podatnego na ataki.

Konfigurowanie możliwości zmniejszania obszaru ataków

Aby skonfigurować redukcję obszaru ataków w środowisku, wykonaj następujące kroki:

  1. Włącz izolację sprzętową dla przeglądarki Microsoft Edge.

  2. Włącz reguły zmniejszania obszaru ataków.

  3. Włącz kontrolę aplikacji.

    1. Przejrzyj zasady podstawowe w systemie Windows. Zobacz przykładowe zasady podstawowe.

    2. Zobacz przewodnik projektowania kontrolki aplikacji usługi Windows Defender.

    3. Zapoznaj się z tematem Wdrażanie zasad kontroli aplikacji usługi Windows Defender (WDAC).

  4. Włącz kontrolowany dostęp do folderu.

  5. Włącz kontrolę urządzenia.

  6. Włącz ochronę sieci.

  7. Włącz ochronę sieci Web.

  8. Włącz ochronę przed lukami w zabezpieczeniach.

  9. Skonfiguruj zaporę sieciową.

    1. Zapoznaj się z omówieniem zapory systemu Windows z zaawansowanymi zabezpieczeniami.

    2. Skorzystaj z przewodnika projektowania Zapory systemu Windows , aby zdecydować, jak chcesz zaprojektować zasady zapory.

    3. Skorzystaj z przewodnika wdrażania Zapory systemu Windows , aby skonfigurować zaporę organizacji z zaawansowanymi zabezpieczeniami.

Porada

W większości przypadków podczas konfigurowania możliwości zmniejszania obszaru podatnego na ataki można wybrać jedną z kilku metod:

  • Microsoft Intune
  • Microsoft Configuration Manager
  • Zasady grupy
  • Polecenia cmdlet programu PowerShell

Zmniejszanie obszaru ataków testowych w Ochrona punktu końcowego w usłudze Microsoft Defender

W ramach zespołu ds. zabezpieczeń organizacji możesz skonfigurować możliwości zmniejszania obszaru ataków, aby uruchamiać je w trybie inspekcji, aby zobaczyć, jak działają. W trybie inspekcji można włączyć następujące funkcje zabezpieczeń zmniejszania obszaru podatnego na ataki:

  • Reguły zmniejszania obszaru podatnego na ataki
  • Ochrona przed wykorzystywaniem
  • Ochrona sieci
  • Kontrolowany dostęp do folderu
  • Kontrola urządzenia

Tryb inspekcji umożliwia wyświetlenie rekordu, co by się stało, gdyby funkcja została włączona.

Tryb inspekcji można włączyć podczas testowania działania funkcji. Włączenie trybu inspekcji tylko na potrzeby testowania pomaga zapobiegać wpływowi trybu inspekcji na aplikacje biznesowe. Możesz również poznać liczbę podejrzanych prób modyfikacji plików w określonym okresie.

Funkcje nie blokują ani nie uniemożliwiają modyfikowania aplikacji, skryptów ani plików. Jednak dziennik zdarzeń systemu Windows rejestruje zdarzenia tak, jakby funkcje były w pełni włączone. W trybie inspekcji możesz przejrzeć dziennik zdarzeń, aby zobaczyć, jaki wpływ miałaby funkcja, gdyby została włączona.

Aby znaleźć wpisy inspekcji, przejdź do obszaru Aplikacje i usługi>Microsoft>Windows>Defender>Operational.

Użyj usługi Defender for Endpoint, aby uzyskać więcej szczegółów dotyczących każdego zdarzenia. Te szczegóły są szczególnie przydatne w badaniu reguł zmniejszania obszaru podatnego na ataki. Korzystanie z konsoli usługi Defender for Endpoint umożliwia badanie problemów w ramach osi czasu alertów i scenariuszy badania.

Tryb inspekcji można włączyć przy użyciu dostawców usług zasady grupy, PowerShell i konfiguracji.

Opcje inspekcji Jak włączyć tryb inspekcji Jak wyświetlać zdarzenia
Inspekcja dotyczy wszystkich zdarzeń Włącz kontrolowany dostępu do folderu Zdarzenia dostępu do kontrolowanych folderów
Inspekcja ma zastosowanie do poszczególnych reguł Krok 1. Testowanie reguł zmniejszania obszaru ataków przy użyciu trybu inspekcji Krok 2. Omówienie strony raportowania reguł zmniejszania obszaru ataków
Inspekcja dotyczy wszystkich zdarzeń Włączanie ochrony sieci Zdarzenia ochrony sieci
Inspekcja ma zastosowanie do poszczególnych środków zaradczych Włącz ochronę przed wykorzystaniem Zdarzenia ochrony przed lukami w zabezpieczeniach

Na przykład przed włączeniem ich w trybie bloku można przetestować reguły zmniejszania obszaru podatnego na ataki w trybie inspekcji. Reguły zmniejszania obszaru podatnego na ataki są wstępnie zdefiniowane w celu wzmacniania typowych, znanych obszarów ataków. Istnieje kilka metod, za pomocą których można zaimplementować reguły zmniejszania obszaru podatnego na ataki. Preferowana metoda jest udokumentowana w następujących artykułach dotyczących wdrażania reguł zmniejszania obszaru ataków:

Wyświetlanie zdarzeń redukcji obszaru ataków

Przejrzyj zdarzenia zmniejszania obszaru ataków w Podgląd zdarzeń, aby monitorować, jakie reguły lub ustawienia działają. Możesz również określić, czy jakiekolwiek ustawienia są zbyt "hałaśliwe" lub mają wpływ na przepływ pracy z dnia na dzień.

Przeglądanie zdarzeń jest przydatne podczas oceny funkcji. Możesz włączyć tryb inspekcji dla funkcji lub ustawień, a następnie sprawdzić, co by się stało, gdyby były w pełni włączone.

W tej sekcji wymieniono wszystkie zdarzenia, skojarzoną z nimi funkcję lub ustawienie oraz opisano sposób tworzenia widoków niestandardowych w celu filtrowania do określonych zdarzeń.

Uzyskaj szczegółowe raporty dotyczące zdarzeń, bloków i ostrzeżeń w ramach Zabezpieczenia Windows, jeśli masz subskrypcję E5 i używasz Ochrona punktu końcowego w usłudze Microsoft Defender.

Przeglądanie możliwości zmniejszania obszaru podatnego na ataki przy użyciu widoków niestandardowych

Tworzenie widoków niestandardowych w Podgląd zdarzeń systemu Windows w celu wyświetlenia zdarzeń tylko dla określonych możliwości i ustawień. Najprostszym sposobem jest zaimportowanie widoku niestandardowego jako pliku XML. Kod XML można skopiować bezpośrednio z tej strony.

Możesz również ręcznie przejść do obszaru zdarzeń, który odpowiada funkcji.

Importowanie istniejącego widoku niestandardowego XML

  1. Utwórz pusty plik .txt i skopiuj plik XML dla widoku niestandardowego, którego chcesz użyć, do pliku .txt. Zrób to dla każdego z widoków niestandardowych, których chcesz użyć. Zmień nazwę plików w następujący sposób (upewnij się, że typ został zmieniony z .txt na .xml):

    • Widok niestandardowy zdarzeń dostępu do folderów kontrolowanych: cfa-events.xml
    • Widok niestandardowy zdarzeń ochrony przed lukami w zabezpieczeniach: ep-events.xml
    • Niestandardowy widok zdarzeń zmniejszania obszaru ataków: asr-events.xml
    • Widok niestandardowy zdarzeń sieci/ochrony: np-events.xml
  2. Wpisz podgląd zdarzeń w menu Start i otwórz Podgląd zdarzeń.

  3. Wybierz pozycję Akcja>Importuj widok niestandardowy...

    Animacja z wyróżnionym widokiem niestandardowym Import po lewej stronie okna Parzysta przeglądarka.

  4. Przejdź do miejsca wyodrębnienia pliku XML dla żądanego widoku niestandardowego i wybierz go.

  5. Wybierz opcję Otwórz.

  6. Tworzy on niestandardowy widok, który filtruje tylko w celu wyświetlenia zdarzeń związanych z tą funkcją.

Bezpośrednie kopiowanie kodu XML

  1. Wpisz podgląd zdarzeń w menu Start i otwórz Podgląd zdarzeń systemu Windows.

  2. Na panelu po lewej stronie w obszarze Akcje wybierz pozycję Utwórz widok niestandardowy...

    Animacja wyróżniająca opcję utwórz widok niestandardowy w oknie Podgląd zdarzeń.

  3. Przejdź do karty XML i ręcznie wybierz pozycję Edytuj zapytanie. Zostanie wyświetlone ostrzeżenie, że nie można edytować zapytania przy użyciu karty Filtr , jeśli używasz opcji XML. Wybierz opcję Tak.

  4. Wklej kod XML funkcji, z której chcesz filtrować zdarzenia, do sekcji XML.

  5. Wybierz przycisk OK. Określ nazwę filtru. Ta akcja tworzy widok niestandardowy, który filtruje tylko w celu wyświetlenia zdarzeń związanych z tą funkcją.

XML dla zdarzeń reguły zmniejszania obszaru ataków

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML dla zdarzeń dostępu do folderów kontrolowanych

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

KOD XML dla zdarzeń ochrony przed lukami w zabezpieczeniach

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML dla zdarzeń ochrony sieci

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Lista zdarzeń zmniejszania obszaru ataków

Wszystkie zdarzenia zmniejszania obszaru ataków znajdują się w obszarze Dzienniki > aplikacji i usług Microsoft > Windows , a następnie folder lub dostawca, jak wymieniono w poniższej tabeli.

Dostęp do tych zdarzeń można uzyskać w przeglądarce zdarzeń systemu Windows:

  1. Otwórz menu Start i wpisz podgląd zdarzeń, a następnie wybierz wynik Podgląd zdarzeń.

  2. Rozwiń węzeł Dzienniki > aplikacji i usług Microsoft > Windows , a następnie przejdź do folderu wymienionego w obszarze Dostawca/źródło w poniższej tabeli.

  3. Kliknij dwukrotnie element podrzędny, aby wyświetlić zdarzenia. Przewiń zdarzenia, aby znaleźć ten, którego szukasz.

    Animacja przedstawiająca użycie Podgląd zdarzeń.

Funkcja Dostawca/źródło Identyfikator zdarzenia Opis
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 1 Inspekcja ACG
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 2 Wymuszanie acg
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 3 Nie zezwalaj na inspekcję procesów podrzędnych
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 4 Nie zezwalaj na blok procesów podrzędnych
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 5 Blokuj inspekcję obrazów o niskiej integralności
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 6 Blokuj blok obrazów o niskiej integralności
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 7 Blokuj inspekcję obrazów zdalnych
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 8 Blokuj zdalny blok obrazów
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 9 Wyłącz inspekcję wywołań systemowych win32k
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 10 Wyłącz blok wywołań systemowych win32k
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 11 Ochrona integralności kodu
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 12 Blok ochrony integralności kodu
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 13 Inspekcja zapory aplikacji internetowej
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 14 Wymuszanie zapory aplikacji internetowej
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 15 Inspekcja EAF+
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 16 Wymuszanie aplikacji EAF+
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 17 Inspekcja zapory aplikacji internetowej
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 18 Wymuszanie zapory aplikacji internetowej
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 19 Inspekcja ROP StackPivot
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 20 Wymuszanie ROP StackPivot
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 21 Inspekcja kontroli wywołań ROP
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 22 Wymuszanie wywołania ROP
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 23 Inspekcja ROP SimExec
Ochrona przed wykorzystywaniem Security-Mitigations (tryb jądra/tryb użytkownika) 24 Wymuszanie ROP SimExec
Ochrona przed wykorzystywaniem WER-Diagnostics 5 Blok CFG
Ochrona przed wykorzystywaniem Win32K (operacyjny) 260 Niezaufane czcionki
Ochrona sieci Windows Defender (operacyjny) 5007 Zdarzenie po zmianie ustawień
Ochrona sieci Windows Defender (operacyjny) 1125 Zdarzenie, gdy ochrona sieci jest uruchamiana w trybie inspekcji
Ochrona sieci Windows Defender (operacyjny) 1126 Zdarzenie, gdy ochrona sieci jest uruchamiana w trybie bloku
Kontrolowany dostęp do folderu Windows Defender (operacyjny) 5007 Zdarzenie po zmianie ustawień
Kontrolowany dostęp do folderu Windows Defender (operacyjny) 1124 Zdarzenie inspekcji dostępu do folderów kontrolowanych
Kontrolowany dostęp do folderu Windows Defender (operacyjny) 1123 Zablokowane zdarzenie dostępu do folderu kontrolowanego
Kontrolowany dostęp do folderu Windows Defender (operacyjny) 1127 Zablokowane zdarzenie bloku zapisu w sektorze dostępu do folderów kontrolowanych
Kontrolowany dostęp do folderu Windows Defender (operacyjny) 1128 Zdarzenie bloku zapisu w sektorze inspekcji dostępu do folderów kontrolowanych
Zmniejszanie obszaru podatnego na ataki Windows Defender (operacyjny) 5007 Zdarzenie po zmianie ustawień
Zmniejszanie obszaru podatnego na ataki Windows Defender (operacyjny) 1122 Zdarzenie, gdy reguła jest uruchamiana w trybie inspekcji
Zmniejszanie obszaru podatnego na ataki Windows Defender (operacyjny) 1121 Zdarzenie, gdy reguła jest uruchamiana w trybie bloku

Uwaga

Z perspektywy użytkownika powiadomienia o trybie ostrzegania dotyczące zmniejszania obszaru ataków są wysyłane jako powiadomienie wyskakujące systemu Windows dla reguł zmniejszania obszaru ataków.

W przypadku zmniejszania obszaru podatnego na ataki ochrona sieci zapewnia tylko tryby inspekcji i bloku.

Zasoby, aby dowiedzieć się więcej na temat zmniejszania obszaru ataków

Jak wspomniano w filmie wideo, usługa Defender for Endpoint oferuje kilka możliwości zmniejszania obszaru ataków. Aby dowiedzieć się więcej, skorzystaj z następujących zasobów:

Artykuł Opis
Kontrola aplikacji Użyj kontroli aplikacji, aby aplikacje mogły uzyskiwać zaufanie do uruchamiania.
Dokumentacja reguł zmniejszania obszaru podatnego na ataki Zawiera szczegółowe informacje o każdej regule zmniejszania obszaru ataków.
Przewodnik wdrażania reguł zmniejszania obszaru ataków Przedstawia omówienie informacji i wymagań wstępnych dotyczących wdrażania reguł zmniejszania obszaru podatnego na ataki, a następnie wskazówki krok po kroku dotyczące testowania (trybu inspekcji), włączania (trybu bloku) i monitorowania.
Kontrolowany dostęp do folderu Zapobiegaj złośliwym lub podejrzanym aplikacjom (w tym złośliwemu oprogramowaniu wymuszającemu szyfrowanie plików) przed wprowadzaniem zmian w plikach w kluczowych folderach systemowych (wymaga programu antywirusowego Microsoft Defender).
Sterowanie urządzeniem Chroni przed utratą danych przez monitorowanie i kontrolowanie nośników używanych na urządzeniach, takich jak magazyn wymienny i dyski USB, w organizacji.
Ochrona przed wykorzystywaniem Ochrona systemów operacyjnych i aplikacji używanych przez organizację przed wykorzystywaniem. Ochrona przed lukami w zabezpieczeniach działa również z rozwiązaniami antywirusowymi innych firm.
Izolacja sprzętowa Chroń i zachowaj integralność systemu podczas uruchamiania i podczas jego działania. Weryfikowanie integralności systemu za pomocą lokalnego i zdalnego zaświadczania. Użyj izolacji kontenera dla przeglądarki Microsoft Edge, aby chronić przed złośliwymi witrynami internetowymi.
Ochrona sieci Rozszerzanie ochrony ruchu sieciowego i łączności na urządzeniach organizacji. (Wymaga programu antywirusowego Microsoft Defender).
Reguły zmniejszania obszaru ataków testowych Zawiera instrukcje dotyczące używania trybu inspekcji do testowania reguł zmniejszania obszaru podatnego na ataki.
Ochrona sieci Web Ochrona w Internecie pozwala zabezpieczyć urządzenia przed zagrożeniami internetowymi i pomaga regulować niechcianą zawartość.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.