Konfigurowanie zaawansowanych funkcji środowiska
Obszar Funkcje zaawansowane w obszarze Ustawienia ogólne zawiera wiele przełączników włączania/wyłączania dla funkcji w produkcie. Niektóre z tych funkcji poznasz w kolejnych modułach.
W zależności od używanych produktów zabezpieczeń firmy Microsoft niektóre funkcje zaawansowane mogą być dostępne do integracji usługi Defender for Endpoint z programem .
W okienku nawigacji wybierz pozycję Ustawienia > Punkty końcowe > Zaawansowane funkcje.
Wybierz funkcję zaawansowaną, którą chcesz skonfigurować, i przełącz ustawienie między włączonym i wyłączonym.
Wybierz pozycję Zapisz preferencje.
Skorzystaj z poniższych zaawansowanych funkcji, aby uzyskać lepszą ochronę przed potencjalnie złośliwymi plikami i uzyskać lepszy wgląd w badania zabezpieczeń.
Automatyczne badanie
Włącz tę funkcję, aby korzystać z funkcji zautomatyzowanego badania i korygowania usługi. Aby uzyskać więcej informacji, zobacz Zautomatyzowane badanie.
Odpowiedź na żywo
Uwaga
Odpowiedź na żywo wymaga włączenia zautomatyzowanego badania przed włączeniem jej w sekcji ustawienia zaawansowane w portalu.
Włącz tę funkcję, aby użytkownicy z odpowiednimi uprawnieniami mogli rozpocząć sesję odpowiedzi na żywo na urządzeniach.
Odpowiedź na żywo dla serwerów
Włącz tę funkcję, aby użytkownicy z odpowiednimi uprawnieniami mogli rozpocząć sesję odpowiedzi na żywo na serwerach.
Wykonywanie niepodpisanego skryptu odpowiedzi na żywo
Włączenie tej funkcji umożliwia uruchamianie niepodpisanych skryptów w sesji odpowiedzi na żywo.
Zawsze koryguj pua
Potencjalnie niechciane aplikacje (PUA) to kategoria oprogramowania, które może spowodować powolne działanie komputera, wyświetlenie nieoczekiwanych reklam lub najgorsze zainstalowanie innego oprogramowania, które może być nieoczekiwane lub niepożądane.
Włącz tę funkcję, aby potencjalnie niechciane aplikacje (PUA) zostały skorygowane na wszystkich urządzeniach w dzierżawie, nawet jeśli ochrona aplikacji PUA nie jest skonfigurowana na urządzeniach. Ta aktywacja funkcji pomaga chronić użytkowników przed przypadkowym instalowaniem niechcianych aplikacji na ich urządzeniu. Po wyłączeniu korygowanie zależy od konfiguracji urządzenia.
Ograniczanie korelacji do grup urządzeń w zakresie
Ta konfiguracja może być używana w scenariuszach, w których lokalne operacje SOC chcą ograniczyć korelacje alertów tylko do grup urządzeń, do których mogą uzyskiwać dostęp. Po włączeniu tego ustawienia zdarzenie składające się z alertów, które grupy między urządzeniami nie będą już traktowane jako pojedyncze zdarzenie. Lokalny soc może następnie podjąć działania na wypadek zdarzenia, ponieważ ma dostęp do jednej z zaangażowanych grup urządzeń. Jednak globalna usługa SOC widzi kilka różnych zdarzeń według grupy urządzeń zamiast jednego zdarzenia. Nie zalecamy włączania tego ustawienia, chyba że przeważa to nad korzyściami płynącymi z korelacji zdarzeń w całej organizacji.
Uwaga
Zmiana tego ustawienia ma wpływ tylko na przyszłe korelacje alertów.
Włączanie EDR w trybie bloku
Wykrywanie punktów końcowych i reagowanie (EDR) w trybie bloku zapewnia ochronę przed złośliwymi artefaktami, nawet jeśli Program antywirusowy Microsoft Defender działa w trybie pasywnym. Po włączeniu funkcja EDR w trybie bloku blokuje złośliwe artefakty lub zachowania wykryte na urządzeniu. Funkcja EDR w trybie bloku działa w tle w celu skorygowania złośliwych artefaktów wykrytych po naruszeniu.
Autoresolve skorygowane alerty
W przypadku dzierżaw utworzonych w systemie Windows 10 w wersji 1809 lub nowszej funkcja automatycznego badania i korygowania jest domyślnie konfigurowana w celu rozwiązywania alertów, w których stan wyniku zautomatyzowanej analizy to "Nie znaleziono zagrożeń" lub "Skorygowane". Jeśli nie chcesz automatycznie rozwiązywać alertów, musisz ręcznie wyłączyć tę funkcję.
Napiwek
W przypadku dzierżaw utworzonych przed tą wersją należy ręcznie włączyć tę funkcję na stronie Funkcje zaawansowane.
Uwaga
Wynik akcji automatycznego rozwiązywania może mieć wpływ na obliczenie poziomu ryzyka urządzenia oparte na aktywnych alertach znalezionych na urządzeniu. Jeśli analityk operacji zabezpieczeń ręcznie ustawia stan alertu na "W toku" lub "Rozwiązano", funkcja automatycznego rozpoznawania nie zastąpi go.
Zezwalanie na plik lub blokowanie go
Blokowanie jest dostępne tylko wtedy, gdy organizacja spełnia następujące wymagania:
- Używa Program antywirusowy Microsoft Defender jako aktywnego rozwiązania chroniącego przed złośliwym kodem
- Funkcja ochrony opartej na chmurze jest włączona
Ta funkcja umożliwia blokowanie potencjalnie złośliwych plików w sieci. Blokowanie pliku uniemożliwia jego odczyt, zapis lub wykonywanie na urządzeniach w organizacji.
Po włączeniu tej funkcji można zablokować pliki za pośrednictwem karty Dodaj wskaźnik na stronie profilu pliku.
Niestandardowe wskaźniki sieciowe
Włączenie tej funkcji umożliwia tworzenie wskaźników dla adresów IP, domen lub adresów URL, które określają, czy będą dozwolone, czy blokowane na podstawie listy wskaźników niestandardowych.
Aby korzystać z tej funkcji, urządzenia muszą mieć system Windows 10 w wersji 1709 lub nowszej lub Windows 11. Powinny one również mieć ochronę sieci w trybie bloku i 4.18.1906.3 lub nowszej platformy ochrony przed złośliwym kodem, zobacz KB 4052623.
Uwaga
Ochrona sieci używa usług reputacji, które przetwarzają żądania w lokalizacjach, które mogą znajdować się poza lokalizacją wybraną dla danych usługi Defender for Endpoint.
Ochrona przed naruszeniami
Podczas niektórych rodzajów cyberataków źli aktorzy próbują wyłączyć funkcje zabezpieczeń, takie jak ochrona przed wirusami, na maszynach. Nieprawidłowe podmioty, takie jak wyłączenie funkcji zabezpieczeń, aby uzyskać łatwiejszy dostęp do danych, zainstalować złośliwe oprogramowanie lub w inny sposób wykorzystać dane, tożsamość i urządzenia.
Ochrona przed naruszeniami zasadniczo blokuje Program antywirusowy Microsoft Defender i uniemożliwia zmianę ustawień zabezpieczeń za pośrednictwem aplikacji i metod.
Ta funkcja jest dostępna, jeśli organizacja korzysta z Program antywirusowy Microsoft Defender i ochrony opartej na chmurze jest włączona.
Pozostaw ochronę przed naruszeniami włączoną, aby zapobiec niepożądanym zmianom w rozwiązaniu zabezpieczeń i jego podstawowymi funkcjami.
Wyświetlanie szczegółowych informacji o użytkowniku
Włącz tę funkcję, aby wyświetlić szczegóły użytkownika przechowywane w identyfikatorze Entra firmy Microsoft. Szczegóły obejmują obraz użytkownika, nazwę, tytuł i informacje o dziale podczas badania jednostek konta użytkownika. Informacje o koncie użytkownika można znaleźć w następujących widokach:
- Pulpit nawigacyjny operacji zabezpieczeń
- Kolejka alertów
- Strona szczegółów urządzenia
integracja Skype dla firm
Włączenie integracji Skype dla firm umożliwia komunikowanie się z użytkownikami przy użyciu Skype dla firm, poczty e-mail lub telefonu. Ta aktywacja może być przydatna, gdy musisz komunikować się z użytkownikiem i ograniczyć ryzyko.
Uwaga
Gdy urządzenie jest odizolowane od sieci, istnieje wyskakujące okienko, w którym można włączyć komunikację programu Outlook i Skype, która umożliwia komunikację z użytkownikiem podczas odłączania się od sieci. To ustawienie dotyczy komunikacji programu Skype i Outlook, gdy urządzenia są w trybie izolacji.
Integracja usługi Microsoft Defender for Identity
Integracja z usługą Microsoft Defender for Identity umożliwia przejście bezpośrednio do innego produktu zabezpieczeń tożsamości firmy Microsoft. Usługa Microsoft Defender for Identity rozszerza badanie o więcej szczegółowych informacji na temat podejrzanego konta z naruszonymi zabezpieczeniami i powiązanych zasobów. Włączenie tej funkcji spowoduje wzbogacenie możliwości badania opartego na urządzeniach przez przestawienie całej sieci z punktu widzenia tożsamości.
Uwaga
Aby włączyć tę funkcję, musisz mieć odpowiednią licencję.
Połączenie analizy zagrożeń usługi Office 365
Ta funkcja jest dostępna tylko wtedy, gdy masz aktywny dodatek Usługi Office 365 E5 lub analizy zagrożeń.
Po włączeniu tej funkcji będziesz mieć możliwość dołączania danych z Ochrona usługi Office 365 w usłudze Microsoft Defender do usługi Microsoft Defender XDR w celu przeprowadzenia kompleksowego badania zabezpieczeń w skrzynkach pocztowych usługi Office 365 i urządzeniach z systemem Windows.
Uwaga
Aby włączyć tę funkcję, musisz mieć odpowiednią licencję.
Aby uzyskać kontekstową integrację urządzenia w usłudze Office 365 Threat Intelligence, musisz włączyć ustawienia usługi Defender dla punktu końcowego na pulpicie nawigacyjnym Zabezpieczenia i zgodność.
Eksperci ds. zagrożeń firmy Microsoft — powiadomienia o atakach ukierunkowanych
Możesz korzystać tylko z funkcji ekspertów na żądanie, jeśli zastosowano aplikację do wersji zapoznawczej i aplikacja została zatwierdzona. Możesz otrzymywać ukierunkowane powiadomienia o ataku od ekspertów ds. zagrożeń firmy Microsoft za pośrednictwem pulpitu nawigacyjnego alertów w portalu i za pośrednictwem poczty e-mail w przypadku jej skonfigurowania.
Microsoft Defender for Cloud Apps
Włączenie tego ustawienia powoduje przekazanie sygnałów usługi Defender for Endpoint do Microsoft Defender dla Chmury Apps w celu zapewnienia dokładniejszego wglądu w użycie aplikacji w chmurze. Przekazane dane są przechowywane i przetwarzane w tej samej lokalizacji co dane usługi Defender dla Chmury Apps.
Włączanie integracji Ochrona punktu końcowego w usłudze Microsoft Defender z portalu usługi Microsoft Defender for Identity
Aby uzyskać kontekstową integrację urządzenia w usłudze Microsoft Defender for Identity, należy również włączyć tę funkcję w portalu usługi Microsoft Defender for Identity.
Filtrowanie zawartości internetowej
Blokuj dostęp do witryn internetowych zawierających niepożądane treści i śledź aktywność sieci Web we wszystkich domenach. Aby określić kategorie zawartości sieci Web, które chcesz zablokować, utwórz zasady filtrowania zawartości internetowej. Upewnij się, że podczas wdrażania punktu odniesienia zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender masz ochronę sieci w trybie bloku.
Udostępnianie alertów punktów końcowych portal zgodności Microsoft Purview
Przekazuje alerty zabezpieczeń punktu końcowego i ich stan klasyfikacji do portal zgodności Microsoft Purview, co pozwala zwiększyć zasady zarządzania ryzykiem wewnętrznym przy użyciu alertów i korygowania zagrożeń wewnętrznych, zanim spowodują szkody. Przekazane dane są przetwarzane i przechowywane w tej samej lokalizacji co dane usługi Office 365.
Po skonfigurowaniu wskaźników naruszenia zasad zabezpieczeń w ustawieniach zarządzania ryzykiem poufnym alerty usługi Defender dla punktu końcowego będą udostępniane do zarządzania ryzykiem poufnym dla odpowiednich użytkowników.
Połączenie z usługą Microsoft Intune
Usługę Defender for Endpoint można zintegrować z usługą Microsoft Intune, aby umożliwić dostęp warunkowy oparty na ryzyku urządzenia. Po włączeniu tej funkcji będzie można udostępniać informacje o urządzeniu usługi Defender for Endpoint w usłudze Intune, zwiększając wymuszanie zasad.
Ważne
Aby korzystać z tej funkcji, należy włączyć integrację zarówno w usłudze Intune, jak i usłudze Defender dla punktu końcowego.
Ta funkcja jest dostępna tylko wtedy, gdy masz następujące wymagania wstępne:
Licencjonowana dzierżawa pakietu Enterprise Mobility + Security E3 i Windows E5 (lub Microsoft 365 Enterprise E5)
Aktywne środowisko usługi Microsoft Intune z urządzeniami z systemem Windows zarządzanymi przez usługę Intune dołączonymi do firmy Microsoft Entra.
Zasady dostępu warunkowego
Po włączeniu integracji z usługą Intune usługa Intune automatycznie utworzy klasyczne zasady dostępu warunkowego. Te klasyczne zasady urzędu certyfikacji są wymaganiem wstępnym do skonfigurowania raportów o stanie w usłudze Intune. Nie należy go usuwać.
Uwaga
Klasyczne zasady urzędu certyfikacji utworzone przez usługę Intune różnią się od nowoczesnych zasad dostępu warunkowego, które są używane do konfigurowania punktów końcowych.
Odnajdywanie urządzeń
Ułatwia znalezienie niezarządzanych urządzeń połączonych z siecią firmową bez konieczności wprowadzania dodatkowych urządzeń lub kłopotliwych zmian procesów. Korzystając z dołączonych urządzeń, można znaleźć urządzenia niezarządzane w sieci i ocenić luki w zabezpieczeniach i zagrożeniach.
Uwaga
Filtry można zawsze stosować, aby wykluczyć urządzenia niezarządzane z listy spisu urządzeń. Możesz również użyć kolumny stan dołączania w zapytaniach interfejsu API, aby odfiltrować niezarządzane urządzenia.
Funkcje w wersji zapoznawczej
Dowiedz się więcej o nowych funkcjach w wersji zapoznawczej usługi Defender for Endpoint. Wypróbuj nadchodzące funkcje, włączając środowisko wersji zapoznawczej.
Będziesz mieć dostęp do nadchodzących funkcji, na które możesz przekazać opinię, aby ułatwić poprawę ogólnego środowiska, zanim funkcje będą ogólnie dostępne.
Pobieranie plików objętych kwarantanną
Utwórz kopię zapasową plików poddanej kwarantannie w bezpiecznej i zgodnej lokalizacji, aby można je było pobrać bezpośrednio z kwarantanny. Przycisk Pobierz plik będzie zawsze dostępny na stronie pliku. To ustawienie jest domyślnie włączone.