設定環境進階功能

  • 7 分鐘

[一般設定] 區域中的 [進階功能] 區域,針對產品內的功能提供許多開啟/關閉的切換設定。 您將在稍後的課程模組中了解的部分功能。

根據您所使用的 Microsoft 安全性產品而定,可能有一些進階功能可供您與適用於端點的 Defender 整合。

在瀏覽窗格中,選取 [設定] > [端點] > [進階功能]。

選取您想要設定的進階功能,並在 [開啟] 與 [關閉] 之間切換設定。

選取 [儲存喜好設定]。

使用下列進階功能以受到更好的保護,免於潛在惡意檔案的攻擊,並在安全性調查期間取得更佳的深入解析。

自動化調查

開啟此功能,即可利用服務的自動化調查和補救功能。 如需詳細資訊,請參閱自動調查。

即時回應

注意

即時回應需要先開啟自動調查,您才能在入口網站的 [進階設定] 區段中加以啟用。

開啟此功能,讓具有適當權限的使用者可以在裝置上啟動即時回應工作階段。

伺服器的即時回應

開啟此功能,讓具有適當權限的使用者可以在伺服器上啟動即時回應工作階段。

即時回應未簽署的指令碼執行

啟用這項功能可讓您在即時回應工作階段中執行未簽署的指令碼。

一律補救 PUA

潛在垃圾應用程式 (PUA) 是一種軟體類別,可能會導致您的電腦執行速度緩慢、顯示非預期的廣告,或最糟的情況可能會安裝其他軟體,這些可能是非預期或不必要的軟體。

開啟此功能,以便在租用戶中的所有裝置上補救潛在垃圾應用程式 (PUA),即使裝置上未設定 PUA 保護也一樣。 啟用功能有助於保護使用者不小心在其裝置上安裝垃圾應用程式。 關閉時,補救會相依於裝置設定。

將相互關聯限制在限域裝置群組內

此設定可用於本機 SOC 作業想要限制警示僅與其可存取裝置群組相互關聯的案例。 若啟用此設定,由跨裝置群組警示所組成的事件將不會再視為單一事件。 然後,本機 SOC 就可以對事件採取動作,因為其可以存取所涉及的其中一個裝置群組。 不過,全域 SOC 會依裝置群組看到數個不同的事件,而不是一個事件。 除非這樣做比超過整個組織之間的事件相互關聯更有利,否則不建議開啟此設定。

注意

變更此設定只會影響未來的警示相互關聯。

在封鎖模式中啟用 EDR

封鎖模式中的端點偵測及回應 (EDR) 提供惡意成品的保護,即使當 Microsoft Defender 防毒軟體是在被動模式中執行也是如此。 在開啟時,封鎖模式中的 EDR 會封鎖在裝置上偵測到的惡意成品或行為。 封鎖模式中的 EDR 可在幕後運作,以補救入侵後偵測到的惡意成品。

自動解決補救的警示

針對在 Windows 10、版本 1809 或之後版本上建立的租用戶,預設會設定自動化調查和補救功能,以解決自動分析結果狀態為「找不到威脅」或「已補救」的警示。 如果您不想要讓警示自動解決,則必須手動關閉該功能。

提示

針對在該版本之前建立的租用戶,您必須從 [進階功能] 頁面手動開啟此功能。

注意

自動解決動作的結果可能會根據在裝置上找到的作用中警示,影響裝置風險層級的計算。 如果安全性作業分析師手動將警示狀態設為「進行中」或「已解決」,則自動解決功能就不會予以覆寫。

允許或封鎖檔案

只有當您的組織符合下列需求時,才可使用封鎖:

  • 使用 Microsoft Defender 防毒軟體作為主動反惡意程式碼解決方案
  • 已啟用雲端式保護功能

此功能可讓您封鎖您網路中的潛在惡意檔案。 封鎖檔案可防止其他人在您組織中的裝置上讀取、寫入或執行該檔案。

開啟此功能之後,您可以透過檔案設定檔頁面上的 [加入指標] 索引標籤封鎖檔案。

自訂網路指標

啟用這項功能可讓您建立 IP 位址、網域或 URL 的指標,並根據您的自訂指標清單來決定是否允許或封鎖這些指標。

若要使用這項功能,裝置必須執行 Windows 10 1709 版或更新版本,或是執行 Windows 11。 其在封鎖模式和 4.18.1906.3 版或更新版本的反惡意程式碼軟體平台中也應該有網路保護,請參閱 KB 4052623。

注意

網路保護會使用信譽服務,以處理您為適用於端點的 Defender 所選取位置以外位置的要求。

竄改防護

在某些類型的網路攻擊期間,不良的執行者會嘗試在您的電腦上停用安全性功能 (例如防毒保護)。 不良執行者偏好停用您的安全性功能,以更輕鬆地存取您的資料、安裝惡意程式碼,或是惡意探索您的資料、身分識別和裝置。

竄改防護基本上會鎖定 Microsoft Defender 防毒軟體,並防止安全性設定透過應用程式和方法遭到變更。

只有當您的組織使用 Microsoft Defender 防毒軟體且已啟用雲端式保護時,此功能才適用。

保持開啟竄改防護,以防止對安全性解決方案及其基本功能進行不必要的變更。

顯示使用者詳細資料

開啟此功能,您即可查看儲存在 Microsoft Entra ID 中的使用者詳細資料。 詳細資料包括使用者的圖片、姓名、職稱,以及調查使用者帳戶實體時的部門資訊。 您可以在下列檢視中找到使用者帳戶資訊:

  • 安全性作業儀表板
  • 警示佇列
  • [裝置詳細資料] 頁面

商務用 Skype 整合

啟用商務用 Skype 整合讓您能夠使用商務用 Skype、電子郵件或手機與使用者通訊。 當您需要與使用者通訊並降低風險時,這項啟用會很有幫助。

注意

當裝置與網路隔離時,有一個快顯視窗可讓您選擇啟用 Outlook 和 Skype 通訊,以便在使用者的網路中斷連線時進行通訊。 當裝置處於隔離模式時,此設定適用於 Skype 和 Outlook 通訊。

適用於身分識別的 Microsoft Defender 整合

與適用於身分識別的 Microsoft Defender 整合可讓您直接將資料轉移到另一個 Microsoft 身分識別安全性產品。 適用於身分識別的 Microsoft Defender 會透過更多有關可疑的遭入侵帳戶和相關資源的深入解析以增強調查。 藉由啟用這項功能,您將可以從識別的觀點轉移到網路,以擴充裝置型調查功能。

注意

您必須具備適當的授權,才能啟用這項功能。

Office 365 威脅情報連線

僅當您擁有有效的 Office 365 E5 或威脅情報附加元件時,才可以使用此功能。

當您開啟此功能時,即可將適用於 Office 365 的 Microsoft Defender 資料併入 Microsoft Defender 全面偵測回應,以在 Office 365 信箱和 Windows 裝置上進行全面的安全性調查。

注意

您必須具備適當的授權,才能啟用這項功能。

若要在 Office 365 威脅情報中接收內容裝置整合,您必須在 [安全性與合規性] 儀表板中啟用 [Defender for Endpoint] 設定。

Microsoft 威脅專家 - 目標攻擊通知

如果您已申請預覽版,且應用程式已獲得核准,則只能使用專家隨選功能。 您可以透過入口網站的警示儀表板及透過電子郵件 (若設定),從 Microsoft 威脅專家接收目標攻擊通知。

Microsoft Defender for Cloud Apps

啟用此設定會將適用於端點的 Defender 訊號轉送給適用於雲端的 Microsoft Defender 應用程式,以針對雲端應用程式使用方式提供更深入的可見度。 轉送的資料會與適用於雲端的 Defender 應用程式資料,在相同的位置中進行儲存和處理。

從適用於身分識別的 Microsoft Defender 入口網站啟用適用於端點的 Microsoft Defender 整合

若要在適用於身分識別的 Microsoft Defender 中接收內容相關的裝置整合,您也必須在適用於身分識別的 Microsoft Defender 入口網站中啟用此功能。

網路內容篩選

封鎖存取含有垃圾內容的網站,並追蹤所有網域的 Web 活動。 若要指定您想要封鎖的網路內容類別,請建立網路內容篩選原則。 部署適用於端點的 Microsoft Defender 安全性基準時,請確定您已在封鎖模式中提供網路保護。

與 Microsoft Purview 合規性入口網站共用端點警示

將端點安全性警示及其分級狀態轉接至 Microsoft Purview 合規性入口網站,讓您可以使用警示來增強內部風險管理原則,並在內部風險造成損害之前加以補救。 轉接的資料會進行處理,並儲存在與您 Office 365 資料相同的位置。

在內部風險管理設定中設定安全性原則違規指標之後,適用於端點的 Defender 警示將針對適用的使用者,與內部風險管理共用。

Microsoft Intune 連線

適用於端點的 Defender 可以與 Microsoft Intune 整合,以啟用以裝置風險為基礎的條件式存取。 當您開啟此功能時,即可與 Intune 共用適用於端點的 Defender 裝置資訊,進而強化原則執行。

重要

您必須啟用 Intune 和適用於端點的 Defender 整合,才能使用此功能。

僅在您具備下列必要條件時,才能使用這項功能:

Enterprise Mobility + Security E3 和 Windows E5 (或 Microsoft 365 企業版 E5) 的授權租用戶

作用中 Microsoft Intune 環境,包含已加入 Microsoft Entra 的受 Intune 管理 Windows 裝置。

條件式存取原則

當您啟用 Intune 整合時,Intune 會自動建立傳統的條件式存取 (CA) 原則。 此傳統的 CA 原則是將狀態報告設定至 Intune 的先決條件。 不應該將其刪除。

注意

Intune 所建立的傳統 CA 原則與用於設定端點的新式條件式存取原則不同。

裝置探索

協助您尋找連線到公司網路的非受控裝置,而不需要額外的設備或繁瑣的程序變更。 您可以使用上線裝置來尋找網路中的非受控裝置,並評估弱點和風險。

注意

您隨時可以套用篩選從裝置庫存清單中排除非受控裝置。 您還可以在 API 査詢上使用上線狀態欄位來篩選出非受控裝置。

預覽功能

了解適用於端點的 Defender 預覽版本中的新功能。 開啟預覽體驗,以嘗試即將推出的功能。

您將可以使用即將推出的功能,以便您提供意見反應,幫助我們在公開給大眾使用前改善整體的體驗。

下載已隔離的檔案

將隔離的檔案備份在安全且符合規範的位置中,以便直接從隔離區下載這些檔案。 您一律可在檔案頁面中使用 [下載檔案] 按鈕。 依預設會開啟此設定。