封鎖模式中的端點偵測和回應
適用於:
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender XDR
- Microsoft Defender 防毒軟體
平台
- Windows
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
本文說明封鎖模式中的 EDR,可協助保護執行非Microsoft防病毒軟體解決方案的裝置, (在被動模式中使用 Microsoft Defender 防病毒軟體) 。
什麼是封鎖模式中的 EDR?
當 Microsoft Defender 防病毒軟體不是主要防病毒軟體產品,且在被動模式中執行時,封鎖模式中 EDR) (端點偵測和回應可提供額外的保護,以防止惡意成品。 適用於端點的Defender方案2提供封鎖模式的EDR。
重要事項
當防病毒軟體即時保護處於被動模式時,封鎖模式中的 EDR 無法提供所有可用的保護 Microsoft Defender。 某些相依於 Microsoft Defender 防病毒軟體成為作用中防病毒軟體解決方案的功能將無法運作,例如下列範例:
- 當 Microsoft Defender 防病毒軟體處於被動模式時,無法使用即時保護,包括存取掃描和排程掃描。 若要深入瞭解即時保護原則設定,請參閱啟用和設定 Microsoft Defender 防病毒軟體永遠開啟保護。
- 網路保護和受攻擊面縮小規則和指標等功能, (檔案哈希、ip 位址、URL和憑證) 只有在 Microsoft Defender 防病毒軟體以作用中模式執行時才可使用。 您的非Microsoft防病毒軟體解決方案應該會包含這些功能。
封鎖模式中的 EDR 可在幕後運作,以補救 EDR 功能所偵測到的惡意成品。 主要、非Microsoft防病毒軟體產品可能遺漏這類成品。 封鎖模式中的 EDR 可讓 Microsoft Defender 防病毒軟體對入侵后的行為 EDR 偵測採取動作。
封鎖模式中的 EDR 與 威脅 & 弱點管理 功能整合。 如果尚未啟用 EDR,貴組織的安全性小組會收到 安全性建議 ,以開啟封鎖模式的 EDR。
提示
若要取得最佳保護,請務必部署 適用於端點的 Microsoft Defender 基準。
觀看這段影片,了解為何以及如何在封鎖模式下開啟 EDR (端點偵測和回應) 、啟用行為封鎖,以及在每個階段從入侵前到入侵後進行內含專案。
偵測到某個專案時會發生什麼事?
當封鎖模式中的 EDR 開啟且偵測到惡意構件時,適用於端點的 Defender 會補救該成品。 您的安全性作業小組會在控制中心將偵測狀態視為 [已封鎖] 或 [已防止],並列為已完成的動作。 下圖顯示在封鎖模式中透過 EDR 偵測到並補救的垃圾軟體實例:
在區塊模式中啟用 EDR
重要事項
- 在區塊模式中開啟 EDR 之前,請確定已符合 需求 。
- 需要適用於端點的Defender方案2授權。
- 從平臺 4.18.2202.X 版開始,您可以使用 Intune CSP,在區塊模式中將 EDR 設定為以特定裝置群組為目標。 您可以在 Microsoft Defender 入口網站中,以全租使用者模式繼續設定EDR。
- 在裝置) 上安裝非Microsoft防病毒軟體解決方案 (,在被動模式中執行 Microsoft Defender 防病毒軟體的裝置,主要建議使用封鎖模式的 EDR。
Microsoft Defender 入口網站
移至 Microsoft Defender 入口網站 (https://security.microsoft.com/) 並登入。
選擇 [設定>端點>一般>進階功能]。
向下捲動,然後在 區塊模式中開啟 [啟用 EDR]。
Intune
若要在 Intune 中建立自定義原則,請參閱透過 Intune 部署 OMA-URIs 以 CSP 為目標,以及與內部部署的比較。
For more information on the Defender CSP used for EDR in block mode, see "Configuration/PassiveRemediation" under Defender CSP.
區塊模式中 EDR 的需求
下表列出 EDR 在區塊模式中的需求:
需求 | 詳細資料 |
---|---|
權限 | 您必須在 Microsoft Entra ID 中指派全域管理員或安全性系統管理員角色。 如需詳細資訊,請參閱 基本許可權。 |
作業系統 | 裝置必須執行下列其中一個 Windows 版本: - Windows 11 - Windows 10 (所有版本) - Windows Server 2019 或更新版本 - Windows Server 版本 1803 或更新版本 - Windows Server 2016 和 Windows Server 2012 R2 (與新的整合用戶端解決方案) |
適用於端點的 Microsoft Defender方案 2 | 裝置必須上線至適用於端點的Defender。 請參閱下列文章: - 適用於端點的 Microsoft Defender的最低需求 - 將裝置上線並設定 適用於端點的 Microsoft Defender 功能 - 將 Windows 伺服器上線至適用於端點的 Defender 服務 - 新式整合解決方案中的新 Windows Server 2012 R2 和 2016 功能 (請參閱 Windows Server 2016 和 Windows Server 2012 R2 是否支援封鎖模式的 EDR?) |
Microsoft Defender 防毒軟體 | 裝置必須已安裝 Microsoft Defender 防病毒軟體,並在主動模式或被動模式中執行。 確認 Microsoft Defender 防病毒軟體處於主動或被動模式。 |
雲端提供的保護 | Microsoft Defender 必須設定防病毒軟體,才能啟用雲端式保護。 |
Microsoft Defender 防病毒軟體平臺 | 裝置必須是最新狀態。 若要確認使用 PowerShell,請以系統管理員身分執行 Get-MpComputerStatus Cmdlet。 在 AMProductVersion 行中,您應該會看到 4.18.2001.10 或更新版本。 若要深入了解,請參閱管理Microsoft Defender 防毒軟體更新及套用基準。 |
Microsoft Defender 防病毒軟體引擎 | 裝置必須是最新狀態。 若要確認使用 PowerShell,請以系統管理員身分執行 Get-MpComputerStatus Cmdlet。 在 AMEngineVersion 行中,您應該會看到 1.1.16700.2 或更新版本。 若要深入了解,請參閱管理Microsoft Defender 防毒軟體更新及套用基準。 |
重要事項
若要取得最佳的保護值,請確定您的防病毒軟體解決方案已設定為接收定期更新和基本功能,並已 設定排除專案。 封鎖模式中的 EDR 會遵守針對 Microsoft Defender 防病毒軟體所定義的排除專案,但不遵守針對 適用於端點的 Microsoft Defender 定義的指標。
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
另請參閱
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。