الكشف عن نقطة النهاية والاستجابة لها في وضع الحظر

ينطبق على:

الأنظمة الأساسية

  • بالنسبة لنظام التشغيل

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

هذه التوصية مخصصة بشكل أساسي للأجهزة التي تستخدم حلا نشطا للحماية من الفيروسات غير التابع ل Microsoft (مع Microsoft Defender مكافحة الفيروسات في الوضع السلبي). لا توجد فائدة تذكر لتمكين EDR في وضع الحظر عندما يكون برنامج الحماية من الفيروسات Microsoft Defender هو حل مكافحة الفيروسات الأساسي على الأجهزة.

ما هو EDR في وضع الحظر؟

يوفر الكشف عن نقطة النهاية والاستجابة لها (EDR) في وضع الحظر حماية إضافية من البيانات الاصطناعية الضارة عندما لا يكون برنامج الحماية من الفيروسات Microsoft Defender منتج مكافحة الفيروسات الأساسي ويعمل في الوضع السلبي.

هام

لا يمكن أن يوفر EDR في وضع الحظر جميع الحماية المتوفرة عندما يكون Microsoft Defender الحماية من الفيروسات في الوقت الحقيقي في الوضع السلبي. لن تعمل بعض الإمكانات التي تعتمد على Microsoft Defender مكافحة الفيروسات لتكون حل مكافحة الفيروسات النشط، مثل الأمثلة التالية:

  • لا تتوفر الحماية في الوقت الحقيقي، بما في ذلك الفحص عند الوصول، والمسح المجدول عندما يكون برنامج الحماية من الفيروسات Microsoft Defender في الوضع السلبي. لمعرفة المزيد حول إعدادات نهج الحماية في الوقت الحقيقي، راجع تمكين الحماية من الفيروسات Microsoft Defender وتكوينها دائما.
  • تتوفر ميزات مثل قواعد ومؤشرات حماية الشبكةوتقليل الأجزاء المعرضة للهجوم (تجزئة الملف وعنوان IP وعنوان URL والشهادات) فقط عند تشغيل برنامج الحماية من الفيروسات Microsoft Defender في الوضع النشط. من المتوقع أن يتضمن حل مكافحة الفيروسات غير التابع ل Microsoft هذه الإمكانات.

يعمل EDR في وضع الحظر خلف الكواليس لمعالجة البيانات الاصطناعية الضارة التي تم اكتشافها بواسطة قدرات EDR. قد يكون منتج مكافحة الفيروسات الأساسي غير التابع ل Microsoft قد غاب عن هذه البيانات الاصطناعية. يسمح EDR في وضع الحظر Microsoft Defender Antivirus باتخاذ إجراءات بشأن اكتشافات EDR ما بعد الاختراق والسلوكية.

يتم دمج EDR في وضع الحظر مع قدرات إدارة الثغرات الأمنية & التهديدات . يحصل فريق الأمان في مؤسستك على توصية أمان لتشغيل EDR في وضع الحظر إذا لم يتم تمكينه بالفعل.

التوصية بتشغيل EDR في وضع الحظر

تلميح

للحصول على أفضل حماية، تأكد من توزيع خطوط الأساس Microsoft Defender لنقطة النهاية.

شاهد هذا الفيديو لمعرفة سبب وكيفية تشغيل الكشف عن نقطة النهاية والاستجابة لها (EDR) في وضع الحظر، وتمكين الحظر السلوكي، والاحتواء في كل مرحلة من الاختراق المسبق إلى ما بعد الاختراق.

ماذا يحدث عند اكتشاف شيء ما؟

عند تشغيل EDR في وضع الحظر، واكتشاف بيانات اصطناعية ضارة، يقوم Defender لنقطة النهاية بتجهيل تلك الأداة. يرى فريق عمليات الأمان حالة الكشف على أنها محظورة أو محظورة في مركز الصيانة، مدرجة كإجراءات مكتملة. تظهر الصورة التالية مثيلا للبرامج غير المرغوب فيها التي تم اكتشافها ومعالجتها من خلال EDR في وضع الحظر:

الكشف بواسطة EDR في وضع الحظر

تمكين EDR في وضع الحظر

هام

تأكد من استيفاء المتطلبات قبل تشغيل EDR في وضع الحظر. بدءا من إصدار النظام الأساسي 4.18.2202.X، يمكنك الآن تعيين EDR في وضع الحظر لاستهداف مجموعات أجهزة معينة باستخدام Intune CSPs. يمكنك الاستمرار في تعيين EDR في وضع الحظر على مستوى المستأجر في مدخل Microsoft Defender. يوصى باستخدام EDR في وضع الحظر بشكل أساسي للأجهزة التي تعمل Microsoft Defender مكافحة الفيروسات في الوضع السلبي (يتم تثبيت حل مكافحة الفيروسات غير التابع ل Microsoft ونشط على الجهاز).

Microsoft Defender XDR

  1. انتقل إلى مدخل Microsoft Defender (https://security.microsoft.com/) وسجل الدخول.

  2. اختر الإعدادات>نقاط> النهايةميزات متقدمةعامة>.

  3. مرر لأسفل، ثم قم بتشغيل تمكين EDR في وضع الحظر.

Intune

لإنشاء نهج مخصص في Intune، راجع توزيع OMA-URIs لاستهداف CSP من خلال Intune، ومقارنة بالأماكن المحلية.

لمزيد من المعلومات حول Defender CSP المستخدم ل EDR في وضع الحظر، راجع "التكوين/المعالجة السلبية" ضمن Defender CSP.

متطلبات EDR في وضع الحظر

يسرد الجدول التالي متطلبات EDR في وضع الحظر:

شرط التفاصيل
الأذونات يجب أن يكون لديك دور المسؤول العام أو مسؤول الأمان المعين في معرف Microsoft Entra. لمزيد من المعلومات، راجع الأذونات الأساسية.
نظام التشغيل يجب أن تعمل الأجهزة بأحد الإصدارات التالية من Windows:
- Windows 11
- Windows 10 (جميع الإصدارات)
- Windows Server 2019 أو أحدث
- Windows Server، الإصدار 1803 أو أحدث
- Windows Server 2016 وWindows Server 2012 R2 (مع حل العميل الموحد الجديد)
Microsoft Defender for Endpoint يجب إلحاق الأجهزة ب Defender لنقطة النهاية. راجع المقالات التالية:
- الحد الأدنى لمتطلبات Microsoft Defender لنقطة النهاية
- إلحاق الأجهزة وتكوين قدرات Microsoft Defender لنقطة النهاية
- إلحاق خوادم Windows بخدمة Defender لنقطة النهاية
- وظائف Windows Server 2012 R2 و2016 الجديدة في الحل الموحد الحديث
(راجع هل EDR في وضع الحظر مدعوم على Windows Server 2016 وWindows Server 2012 R2؟)
برنامج الحماية من الفيروسات من Microsoft Defender يجب أن يكون لدى الأجهزة Microsoft Defender مكافحة الفيروسات مثبتة وتعمل إما في الوضع النشط أو الوضع السلبي. تأكد من Microsoft Defender برنامج الحماية من الفيروسات في الوضع النشط أو السلبي.
الحماية المقدمة من السحابة Microsoft Defender يجب تكوين برنامج الحماية من الفيروسات بحيث يتم تمكين الحماية المقدمة من السحابة.
نظام الحماية من الفيروسات Microsoft Defender يجب أن تكون الأجهزة محدثة. للتأكيد، باستخدام PowerShell، قم بتشغيل Get-MpComputerStatus cmdlet كمسؤول. في سطر AMProductVersion ، يجب أن تشاهد 4.18.2001.10 أو أعلى.

لمعرفة المزيد، راجع إدارة تحديثات برنامج الحماية من الفيروسات من Microsoft Defender وتطبيق الخطوط الأساسية.
محرك مكافحة الفيروسات Microsoft Defender يجب أن تكون الأجهزة محدثة. للتأكيد، باستخدام PowerShell، قم بتشغيل Get-MpComputerStatus cmdlet كمسؤول. في سطر AMEngineVersion ، يجب أن ترى 1.1.16700.2 أو أعلى.

لمعرفة المزيد، راجع إدارة تحديثات برنامج الحماية من الفيروسات من Microsoft Defender وتطبيق الخطوط الأساسية.

هام

للحصول على أفضل قيمة حماية، تأكد من تكوين حل الحماية من الفيروسات لتلقي التحديثات المنتظمة والميزات الأساسية، ومن تكوين استثناءاتك. يحترم EDR في وضع الحظر الاستثناءات التي تم تعريفها لبرنامج الحماية من الفيروسات Microsoft Defender، ولكن ليس المؤشرات المحددة Microsoft Defender لنقطة النهاية.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender لنقطة النهاية Tech Community.