الكشف عن نقطة النهاية والاستجابة لها في وضع الحظر
ينطبق على:
- Defender for Endpoint الخطة 2
- Microsoft Defender XDR
- برنامج الحماية من الفيروسات من Microsoft Defender
الأنظمة الأساسية
- بالنسبة لنظام التشغيل
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
توضح هذه المقالة EDR في وضع الحظر، مما يساعد على حماية الأجهزة التي تقوم بتشغيل حل مكافحة فيروسات غير تابع ل Microsoft (مع برنامج الحماية من الفيروسات من Microsoft Defender في الوضع السلبي).
ما هو EDR في وضع الحظر؟
يوفر الكشف عن نقطة النهاية والاستجابة لها (EDR) في وضع الحظر حماية إضافية من البيانات الاصطناعية الضارة عندما لا يكون برنامج الحماية من الفيروسات من Microsoft Defender منتج الحماية من الفيروسات الأساسي ويعمل في الوضع السلبي. يتوفر EDR في وضع الحظر في Defender لنقطة النهاية الخطة 2.
هام
لا يمكن أن يوفر EDR في وضع الحظر جميع الحماية المتوفرة عندما تكون الحماية من الفيروسات من Microsoft Defender في الوقت الحقيقي في الوضع السلبي. لن تعمل بعض الإمكانات التي تعتمد على برنامج الحماية من الفيروسات من Microsoft Defender لتكون حل مكافحة الفيروسات النشط، مثل الأمثلة التالية:
- لا تتوفر الحماية في الوقت الحقيقي، بما في ذلك الفحص عند الوصول، والمسح المجدول عندما يكون برنامج الحماية من الفيروسات من Microsoft Defender في الوضع السلبي. لمعرفة المزيد حول إعدادات نهج الحماية في الوقت الحقيقي، راجع تمكين الحماية من الفيروسات من Microsoft Defender وتكوينها دائما.
- تتوفر ميزات مثل قواعد ومؤشرات حماية الشبكةوتقليل الأجزاء المعرضة للهجوم (تجزئة الملف وعنوان IP وعنوان URL والشهادات) فقط عند تشغيل برنامج الحماية من الفيروسات من Microsoft Defender في الوضع النشط. من المتوقع أن يتضمن حل مكافحة الفيروسات غير التابع ل Microsoft هذه الإمكانات.
يعمل EDR في وضع الحظر خلف الكواليس لمعالجة البيانات الاصطناعية الضارة التي تم اكتشافها بواسطة قدرات EDR. قد يكون منتج مكافحة الفيروسات الأساسي غير التابع ل Microsoft قد غاب عن هذه البيانات الاصطناعية. يسمح EDR في وضع الحظر ل Microsoft Defender Antivirus باتخاذ إجراءات بشأن اكتشافات EDR السلوكية بعد الاختراق.
يتم دمج EDR في وضع الحظر مع قدرات إدارة الثغرات الأمنية & التهديدات . يحصل فريق الأمان في مؤسستك على توصية أمان لتشغيل EDR في وضع الحظر إذا لم يتم تمكينه بالفعل.
تلميح
للحصول على أفضل حماية، تأكد من توزيع خطوط أساس Microsoft Defender لنقطة النهاية.
شاهد هذا الفيديو لمعرفة سبب وكيفية تشغيل الكشف عن نقطة النهاية والاستجابة لها (EDR) في وضع الحظر، وتمكين الحظر السلوكي، والاحتواء في كل مرحلة من الاختراق المسبق إلى ما بعد الاختراق.
ماذا يحدث عند اكتشاف شيء ما؟
عند تشغيل EDR في وضع الحظر، واكتشاف بيانات اصطناعية ضارة، يقوم Defender لنقطة النهاية بتجهيل تلك الأداة. يرى فريق عمليات الأمان حالة الكشف على أنها محظورة أو محظورة في مركز الصيانة، مدرجة كإجراءات مكتملة. تظهر الصورة التالية مثيلا للبرامج غير المرغوب فيها التي تم اكتشافها ومعالجتها من خلال EDR في وضع الحظر:
تمكين EDR في وضع الحظر
هام
- تأكد من استيفاء المتطلبات قبل تشغيل EDR في وضع الحظر.
- مطلوب تراخيص Defender لنقطة النهاية الخطة 2.
- بدءا من إصدار النظام الأساسي 4.18.2202.X، يمكنك تعيين EDR في وضع الحظر لاستهداف مجموعات أجهزة معينة باستخدام Intune CSPs. يمكنك الاستمرار في تعيين EDR في وضع الحظر على مستوى المستأجر في مدخل Microsoft Defender.
- يوصى باستخدام EDR في وضع الحظر بشكل أساسي للأجهزة التي تقوم بتشغيل برنامج الحماية من الفيروسات من Microsoft Defender في الوضع السلبي (يتم تثبيت حل مكافحة الفيروسات غير التابع ل Microsoft ونشط على الجهاز).
مدخل Microsoft Defender
انتقل إلى مدخل Microsoft Defender (https://security.microsoft.com/) وسجل الدخول.
اختر الإعدادات>نقاط> النهايةميزات متقدمةعامة>.
مرر لأسفل، ثم قم بتشغيل تمكين EDR في وضع الحظر.
Intune
لإنشاء نهج مخصص في Intune، راجع توزيع OMA-URIs لاستهداف CSP من خلال Intune، ومقارنة بالأماكن المحلية.
لمزيد من المعلومات حول Defender CSP المستخدم ل EDR في وضع الحظر، راجع "التكوين/المعالجة السلبية" ضمن Defender CSP.
متطلبات EDR في وضع الحظر
يسرد الجدول التالي متطلبات EDR في وضع الحظر:
| احتياج | التفاصيل |
|---|---|
| الأذونات | يجب أن يكون لديك دور المسؤول العام أو مسؤول الأمان المعين في معرف Microsoft Entra. لمزيد من المعلومات، راجع الأذونات الأساسية. |
| نظام التشغيل | يجب أن تعمل الأجهزة بأحد الإصدارات التالية من Windows: - Windows 11 - Windows 10 (جميع الإصدارات) - Windows Server 2019 أو أحدث - Windows Server، الإصدار 1803 أو أحدث - Windows Server 2016 وWindows Server 2012 R2 (مع حل العميل الموحد الجديد) |
| Defender for Endpoint الخطة 2 | يجب إلحاق الأجهزة ب Defender لنقطة النهاية. راجع المقالات التالية: - الحد الأدنى لمتطلبات Microsoft Defender لنقطة النهاية - إلحاق الأجهزة وتكوين قدرات Microsoft Defender لنقطة النهاية - إلحاق خوادم Windows بخدمة Defender لنقطة النهاية - وظائف Windows Server 2012 R2 و2016 الجديدة في الحل الموحد الحديث (راجع هل EDR في وضع الحظر مدعوم على Windows Server 2016 وWindows Server 2012 R2؟) |
| برنامج الحماية من الفيروسات من Microsoft Defender | يجب أن يكون لدى الأجهزة برنامج الحماية من الفيروسات من Microsoft Defender مثبت ويعمل إما في الوضع النشط أو الوضع السلبي. تأكد من أن برنامج الحماية من الفيروسات من Microsoft Defender في وضع نشط أو سلبي. |
| الحماية المقدمة من السحابة | يجب تكوين برنامج الحماية من الفيروسات من Microsoft Defender بحيث يتم تمكين الحماية المقدمة من السحابة. |
| النظام الأساسي لبرامج الحماية من الفيروسات من Microsoft Defender | يجب أن تكون الأجهزة محدثة. للتأكيد، باستخدام PowerShell، قم بتشغيل Get-MpComputerStatus cmdlet كمسؤول. في سطر AMProductVersion ، يجب أن تشاهد 4.18.2001.10 أو أعلى. لمعرفة المزيد، راجع إدارة تحديثات برنامج الحماية من الفيروسات من Microsoft Defender وتطبيق الخطوط الأساسية. |
| محرك برنامج الحماية من الفيروسات من Microsoft Defender | يجب أن تكون الأجهزة محدثة. للتأكيد، باستخدام PowerShell، قم بتشغيل Get-MpComputerStatus cmdlet كمسؤول. في سطر AMEngineVersion ، يجب أن ترى 1.1.16700.2 أو أعلى. لمعرفة المزيد، راجع إدارة تحديثات برنامج الحماية من الفيروسات من Microsoft Defender وتطبيق الخطوط الأساسية. |
هام
للحصول على أفضل قيمة حماية، تأكد من تكوين حل الحماية من الفيروسات لتلقي التحديثات المنتظمة والميزات الأساسية، ومن تكوين استثناءاتك. يحترم EDR في وضع الحظر الاستثناءات المحددة لبرنامج الحماية من الفيروسات من Microsoft Defender، ولكن ليس المؤشرات المحددة ل Microsoft Defender لنقطة النهاية.
توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.
راجع أيضًا
تلميح
هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ