共用方式為


在適用於端點的Defender中設定進階功能

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

視您使用的Microsoft安全性產品而定,某些進階功能可能可供您整合適用於端點的Defender。

啟用進階功能

  1. 移至 Microsoft Defender 入口網站並登入。

  2. 在瀏覽窗格中,選> [設定端點進階>功能]

  3. 選取您想要設定的進階功能,並切換 [ 啟] 和 [ 關閉] 之間的設定。

  4. 選取 [儲存喜好設定]

使用下列進階功能,以更妥善地防範潛在的惡意檔案,並在安全性調查期間取得更深入的見解。

限制限定範圍裝置群組內的相互關聯

此設定可用於本機 SOC 作業只想將警示相互關聯限制為其可存取之裝置群組的案例。 藉由開啟此設定,由跨裝置群組的警示所組成的事件將不再被視為單一事件。 然後,本機SOC可以對事件採取動作,因為他們可以存取其中一個涉及的裝置群組。 不過,全域 SOC 會依裝置群組看到數個不同的事件,而不是一個事件。 我們不建議開啟此設定,除非這樣做超過整個組織的事件相互關聯優點。

注意事項

  • 變更此設定只會影響未來的警示相互關聯。

  • 適用於端點的Defender方案1和方案2支援裝置群組建立。

在區塊模式中啟用 EDR

在封鎖模式中 (EDR) 端點偵測和回應,可防止惡意成品,即使 Microsoft Defender 防病毒軟體以被動模式執行也一樣。 開啟時,封鎖模式中的 EDR 會封鎖在裝置上偵測到的惡意成品或行為。 封鎖模式中的EDR 可在幕後運作,以補救在入侵後偵測到的惡意構件。

自動解決警示

開啟此設定可自動解決找不到任何威脅或已補救偵測到威脅的警示。 如果您不想自動解決警示,則必須手動關閉此功能。

注意事項

  • 自動解決動作的結果可能會影響裝置風險層級計算,這是根據在裝置上找到的作用中警示而定。
  • 如果安全性作業分析師手動將警示的狀態設定為「進行中」或「已解決」,自動解析功能將不會覆寫它。

允許或封鎖檔案

只有當您的組織符合下列需求時,才能使用封鎖:

  • 使用 Microsoft Defender 防病毒軟體作為作用中的反惡意代碼解決方案,以及
  • 已啟用雲端式保護功能

此功能可讓您封鎖網路中潛在的惡意檔案。 封鎖檔案會防止在組織中的裝置上讀取、寫入或執行檔案。

若要開啟 [允許] 或 [封鎖 檔案]:

  1. 在 Microsoft Defender 入口網站的瀏覽窗格中,選取 [設定>端點>一般>進階功能>允許] 或 [封鎖檔案]

  2. [開 啟] 和 [ 關閉] 之間切換設定。

    [端點] 畫面

  3. 選取頁面底部的 [儲存 喜好設定 ]。

開啟這項功能之後,您可以透過檔案配置檔頁面上的 [新增指標] 索引標籤來封鎖檔案

隱藏可能重複的裝置記錄

藉由啟用這項功能,您可以藉由隱藏潛在的重複裝置記錄,確保您看到的裝置資訊最精確。 發生重複裝置記錄的原因有很多種,例如,適用於端點的 Microsoft Defender 中的裝置探索功能可能會掃描您的網路,並探索已上線或最近已離線的裝置。

這項功能會根據裝置的主機名和上次看見的時間來識別潛在的重複裝置。 重複的裝置將會隱藏在入口網站中的多個體驗中,例如裝置清查、Microsoft Defender 弱點管理 頁面,以及機器數據的公用 API,讓最精確的裝置記錄保持可見。 不過,重複專案仍會顯示在 全域搜尋、進階搜捕、警示和事件頁面中。

默認會開啟此設定,並套用整個租使用者。 如果您不想隱藏潛在的重複裝置記錄,則必須手動關閉此功能。

自定義網路指標

開啟這項功能可讓您建立IP位址、網域或URL的指標,以根據您的自定義指標清單來決定是否允許或封鎖這些指標。

若要使用這項功能,裝置必須執行 Windows 10 1709 版或更新版本,或 Windows 11。 它們也應該有封鎖模式的網路保護,以及反惡意代碼平臺的4.18.1906.3版或更新版本, 請參閱 KB 4052623

如需詳細資訊,請參閱 指標概觀

注意事項

網路保護會利用信譽服務來處理您為適用於端點的 Defender 資料選取之位置以外的位置要求。

竄改保護

在某些類型的網路攻擊期間,不良執行者會嘗試停用計算機上的安全性功能,例如防病毒軟體保護。 不良的執行者喜歡停用您的安全性功能,以更輕鬆地存取您的數據、安裝惡意代碼,或惡意探索您的數據、身分識別和裝置。 竄改保護基本上會鎖定 Microsoft Defender 防病毒軟體,並防止透過應用程式和方法變更您的安全性設定。

如需詳細資訊,包括如何設定竄改保護,請參閱 使用竄改保護來保護安全性設定

顯示使用者詳細數據

開啟此功能,讓您可以查看儲存在 Microsoft Entra ID 中的使用者詳細數據。 詳細數據包括調查用戶帳戶實體時的用戶圖片、名稱、標題和部門資訊。 您可以在下列檢視中找到使用者帳戶資訊:

  • 警示佇列
  • 裝置詳細數據頁面

如需詳細資訊,請 參閱調查用戶帳戶

商務用 Skype 整合

啟用 商務用 Skype整合可讓您使用 商務用 Skype、電子郵件或電話與用戶通訊。 當您需要與用戶通訊並降低風險時,這項啟用會很方便。

注意事項

當裝置與網路隔離時,有一個彈出視窗可讓您選擇啟用 Outlook 和 Skype 通訊,以允許在使用者與網路中斷連線時與使用者進行通訊。 此設定適用於裝置處於隔離模式時的 Skype 和 Outlook 通訊。

Microsoft Defender for Cloud Apps

啟用此設定會將適用於端點的 Defender 訊號轉送至 Microsoft Defender for Cloud Apps,以提供更深入的雲端應用程式使用方式可見度。 轉送的數據會與您的 Defender for Cloud Apps 資料儲存和處理在同一個位置。

注意事項

在執行 Windows 10 版本 1709 Enterprise Mobility + Security ( 操作系統組建 16299.1085 且 KB4493441) 、Windows 10 版本 1803 (操作系統組建 17134.704 KB4493464 ) 的裝置上,此功能將提供 E5 授權,Windows 10 版本 1809 (操作系統組建 17763.379 與KB4489899) 、更新版本 Windows 10 或 Windows 11。

Web 內容篩選

封鎖存取包含垃圾內容的網站,並追蹤所有網域的 Web 活動。 若要指定您要封鎖的 Web 內容類別,請建立 Web 內容篩選原則。 部署 適用於端點的 Microsoft Defender 安全性基準時,請確定您已在封鎖模式中進行網路保護。

整合稽核記錄

搜尋 Microsoft Purview 可讓您的安全性與合規性小組檢視重要的稽核記錄事件數據,以深入瞭解及調查用戶活動。 每當使用者或系統管理員執行稽核活動時,就會產生稽核記錄,並儲存在您組織的Microsoft 365 稽核記錄中。 如需詳細資訊,請 參閱搜尋稽核記錄

裝置探索

可協助尋找連接到公司網路的非受控裝置,而不需要額外的設備或麻煩的流程變更。 您可以使用上線的裝置在網路中尋找非受控裝置,並評估弱點和風險。 如需詳細資訊,請參閱 裝置探索

注意事項

您隨時可以套用篩選從裝置庫存清單中排除非受控裝置。 您還可以在 API 査詢上使用上線狀態欄位來篩選出非受控裝置。

下載隔離的檔案

在安全且符合規範的位置備份隔離的檔案,以便直接從隔離區下載。 [ 下載檔案] 按鈕一律可在檔案頁面中使用。 默認會開啟此設定。 深入瞭解需求

在 Defender 入口網站中將裝置上線時,預設為簡化的連線

此設定會將預設上線套件設定為簡化適用操作系統的 連線 。 您仍然可以選擇在上線頁面內使用標準上線套件,但必須在下拉式清單中特別選取它。

即時回應

開啟這項功能,讓具有適當許可權的用戶可以在裝置上啟動即時回應會話。

如需角色指派的詳細資訊,請參閱 建立和管理角色

伺服器的實時回應

開啟這項功能,讓具有適當許可權的用戶可以在伺服器上啟動即時回應會話。

如需角色指派的詳細資訊,請參閱 建立和管理角色

即時回應未簽署的腳本執行

啟用此功能可讓您在即時回應會話中執行未簽署的腳本。

欺騙

憑證可讓您的安全性小組管理和部署偽裝和譯碼,以攔截您環境中的攻擊者。 開啟此功能之後,請移至 [規則 > ][附加規則] 以執行廣告活動。 請參閱在 Microsoft Defender 全面偵測回應 中管理這項功能

與Microsoft合規性中心共用端點警示

將端點安全性警示及其分級狀態轉送至 Microsoft Purview 合規性入口網站,讓您使用警示增強內部風險管理原則,並在造成損害之前補救內部風險。 轉送的數據會與您的 Office 365 數據處理並儲存在相同的位置。

在測試人員風險管理設定中設定 安全策略違規指標 之後,適用於端點的 Defender 警示會與適用使用者的測試人員風險管理共用。

Microsoft Intune 連線

適用於端點的 Defender 可以與 Microsoft Intune 整合,以啟用裝置風險型條件式存取。 當您開啟此功能時,您將能夠與 Intune 共用適用於端點的Defender裝置資訊,以強化原則強制執行。

重要事項

您必須在 Intune 和適用於端點的 Defender 上啟用整合,才能使用此功能。 如需特定步驟的詳細資訊, 請參閱在適用於端點的 Defender 中設定條件式存取

只有在您有下列必要條件時,才能使用此功能:

  • 適用於 企業行動力 + 安全性 E3 的授權租使用者,以及 Windows E5 (或 Microsoft 365 企業版 E5)
  • 使用中 Microsoft Intune 環境,Microsoft Entra 加入 Intune 管理的 Windows 裝置。

已驗證的遙測

您可以 開啟 已驗證的遙測,以防止在儀錶板中詐騙遙測。

預覽功能

瞭解適用於端點的 Defender 預覽版本中的新功能。

開啟預覽體驗來試用即將推出的功能。 您將可存取即將推出的功能,您可以在功能正式推出之前提供意見反應,以協助改善整體體驗。

如果您已經開啟預覽功能,請從主要 Defender 全面偵測回應 設定管理您的設定。

如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 預覽功能

端點攻擊通知

端點攻擊通知 可讓Microsoft根據對端點數據的急迫性和影響,主動搜捕要優先處理的重大威脅。

如需跨 Microsoft Defender 全面偵測回應 的完整範圍主動搜捕,包括跨越電子郵件、共同作業、身分識別、雲端應用程式和端點的威脅,請深入瞭解 Microsoft Defender 專家。

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。