Sdílet prostřednictvím


Konfigurace pokročilých funkcí v Defenderu for Endpoint

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

V závislosti na bezpečnostních produktech Microsoftu, které používáte, můžou být k dispozici některé pokročilé funkce, se kterými můžete Defender for Endpoint integrovat.

Povolení pokročilých funkcí

  1. Přejděte na portál Microsoft Defender a přihlaste se.

  2. V navigačním podokně vyberte Nastavení>Koncové body>Pokročilé funkce.

  3. Vyberte pokročilou funkci, kterou chcete nakonfigurovat, a přepněte nastavení mezi Zapnuto a Vypnuto.

  4. Vyberte Uložit předvolby.

Pomocí následujících pokročilých funkcí získáte lepší ochranu před potenciálně škodlivými soubory a získáte lepší přehled během vyšetřování zabezpečení.

Omezení korelace na v rámci skupin zařízení s vymezeným oborem

Tuto konfiguraci je možné použít ve scénářích, kdy místní operace SOC chtějí omezit korelace výstrah pouze na skupiny zařízení, ke kterým mají přístup. Když toto nastavení zapnete, incident složený z výstrah, které se už nebudou považovat za jeden incident, skupiny napříč zařízeními. Místní soc pak může na incidentu reagovat, protože má přístup k jedné ze skupin zařízení, kterých se to týká. Globální soc ale místo jednoho incidentu uvidí několik různých incidentů podle skupiny zařízení. Nedoporučujeme toto nastavení zapínat, pokud to nepřeváží výhody korelace incidentů v celé organizaci.

Poznámka

  • Změna tohoto nastavení ovlivní pouze budoucí korelace výstrah.

  • Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

Povolení EDR v režimu blokování

Detekce a odezva koncových bodů (EDR) v režimu blokování poskytuje ochranu před škodlivými artefakty, i když Microsoft Defender Antivirus běží v pasivním režimu. Když je zapnutá, EDR v režimu blokování blokuje škodlivé artefakty nebo chování, které se zjistí na zařízení. EDR v režimu blokování funguje na pozadí a opravuje škodlivé artefakty, které jsou zjištěny po porušení zabezpečení.

Automatické řešení výstrah

Zapnutím tohoto nastavení automaticky vyřešíte výstrahy, kdy nebyly nalezeny žádné hrozby nebo kdy byly zjištěné hrozby napraveny. Pokud nechcete, aby se upozornění automaticky vyřešila, budete muset funkci vypnout ručně.

Poznámka

  • Výsledek akce automatického řešení může ovlivnit výpočet úrovně rizika zařízení, který je založený na aktivních výstrahách nalezených na zařízení.
  • Pokud analytik operací zabezpečení ručně nastaví stav výstrahy na "Probíhá" nebo "Vyřešeno", funkce automatického překladu ji nepřepíše.

Povolit nebo blokovat soubor

Blokování je dostupné jenom v případě, že vaše organizace splňuje tyto požadavky:

  • Používá Microsoft Defender Antivirus jako aktivní antimalwarové řešení a
  • Funkce cloudové ochrany je povolená.

Tato funkce umožňuje blokovat potenciálně škodlivé soubory ve vaší síti. Blokování souboru zabrání jeho čtení, zápisu nebo spuštění na zařízeních ve vaší organizaci.

Zapnutí možnosti Povolit nebo blokovat soubory:

  1. Na portálu Microsoft Defender v navigačním podokně vyberte Nastavení>Koncové body>Obecné>rozšířené funkce>Povolit nebo blokovat soubor.

  2. Přepněte nastavení mezi Zapnuto a Vypnuto.

    Obrazovka Koncové body

  3. V dolní části stránky vyberte Uložit předvolby .

Po zapnutí této funkce můžete soubory blokovat prostřednictvím karty Přidat indikátor na stránce profilu souboru.

Skrýt potenciální duplicitní záznamy zařízení

Povolením této funkce můžete zajistit, že se zobrazují nejpřesnější informace o vašich zařízeních, a to skrytím potenciálních duplicitních záznamů zařízení. K duplicitním záznamům zařízení může docházet z různých důvodů, například funkce zjišťování zařízení v Microsoft Defender for Endpoint může zkontrolovat vaši síť a zjistit zařízení, které je už nasazené nebo nedávno bylo zprovozněno.

Tato funkce identifikuje potenciální duplicitní zařízení na základě jejich názvu hostitele a času posledního výskytu. Duplicitní zařízení budou skryta v různých prostředích na portálu, jako je inventář zařízení, stránky Microsoft Defender Správa zranitelností a veřejná rozhraní API pro data počítačů, takže zůstane viditelný nejpřesnější záznam zařízení. Duplicity se ale budou dál zobrazovat na stránkách globální vyhledávání, rozšířeného proaktivního vyhledávání, výstrah a incidentů.

Toto nastavení je ve výchozím nastavení zapnuté a používá se pro celého tenanta. Pokud nechcete skrýt potenciální duplicitní záznamy zařízení, budete muset tuto funkci vypnout ručně.

Vlastní indikátory sítě

Zapnutí této funkce umožňuje vytvářet indikátory pro IP adresy, domény nebo adresy URL, které na základě vašeho vlastního seznamu ukazatelů určují, jestli budou povolené nebo blokované.

Aby bylo možné tuto funkci používat, musí zařízení používat Windows 10 verze 1709 nebo novější nebo Windows 11. Měly by mít také ochranu sítě v režimu blokování a verze 4.18.1906.3 nebo novější antimalwarové platformy , viz kb 4052623.

Další informace najdete v tématu Správa indikátorů.

Poznámka

Ochrana sítě využívá služby reputace, které zpracovávají požadavky v umístěních, která můžou být mimo umístění, které jste vybrali pro data defenderu for Endpoint.

Ochrana před falšováním

Během některých druhů kybernetických útoků se zlí aktéři snaží na vašich počítačích zakázat funkce zabezpečení, jako je antivirová ochrana. Špatní aktéři chtějí zakázat funkce zabezpečení, aby získali snadnější přístup k datům, nainstalovali malware nebo jinak zneužili vaše data, identitu a zařízení. Ochrana před falšováním v podstatě zamkne Microsoft Defender antivirové ochrany a zabrání změnám nastavení zabezpečení prostřednictvím aplikací a metod.

Další informace, včetně postupu konfigurace ochrany před falšováním, najdete v tématu Ochrana nastavení zabezpečení pomocí ochrany před falšováním.

Zobrazit podrobnosti o uživateli

Tuto funkci zapněte, abyste viděli podrobnosti o uživateli uložené v Microsoft Entra ID. Podrobnosti zahrnují obrázek uživatele, jméno, titul a informace o oddělení při zkoumání entit uživatelských účtů. Informace o uživatelském účtu najdete v následujících zobrazeních:

  • Fronta upozornění
  • Stránka s podrobnostmi o zařízení

Další informace najdete v tématu Prozkoumání uživatelského účtu.

integrace Skype pro firmy

Povolení integrace Skype pro firmy vám umožní komunikovat s uživateli pomocí Skype pro firmy, e-mailu nebo telefonu. Tato aktivace se může hodit, když potřebujete komunikovat s uživatelem a zmírnit rizika.

Poznámka

Když je zařízení izolováno od sítě, je k dispozici automaticky otevírané okno, kde můžete povolit komunikaci Outlooku a Skypu, která umožňuje komunikaci s uživatelem, když jsou odpojeni od sítě. Toto nastavení platí pro komunikaci přes Skype a Outlook, když jsou zařízení v režimu izolace.

Microsoft Defender for Cloud Apps

Povolením tohoto nastavení se signály Defenderu for Endpoint přesměrují na Microsoft Defender for Cloud Apps, aby se zajistil lepší přehled o využití cloudových aplikací. Předávaná data se ukládají a zpracovávají ve stejném umístění jako vaše Defender for Cloud Apps data.

Poznámka

Tato funkce bude dostupná s licencí E5 pro Enterprise Mobility + Security na zařízeních se systémem Windows 10 verze 1709 (build operačního systému 16299.1085 s KB4493441), Windows 10 verze 1803 (build operačního systému 17134.704 s KB4493464) Windows 10 verze 1809 (build operačního systému 17763.379 s KB4489899), novější verze Windows 10 nebo Windows 11.

Filtrování webového obsahu

Blokování přístupu k webům obsahujícím nežádoucí obsah a sledování webové aktivity napříč všemi doménami Pokud chcete určit kategorie webového obsahu, které chcete blokovat, vytvořte zásadu filtrování webového obsahu. Při nasazování standardních hodnot zabezpečení Microsoft Defender for Endpoint se ujistěte, že máte ochranu sítě v režimu blokování.

Jednotný protokol auditování

Hledání v Microsoft Purview umožňuje týmu pro zabezpečení a dodržování předpisů zobrazit důležitá data událostí protokolu auditu, aby získal přehled a prozkoumal aktivity uživatelů. Kdykoli uživatel nebo správce provede auditovanou aktivitu, vygeneruje se záznam auditu a uloží se do protokolu auditování Microsoftu 365 pro vaši organizaci. Další informace najdete v tématu Hledání v protokolu auditování.

Zjišťování zařízení

Pomůže vám najít nespravovaná zařízení připojená k podnikové síti bez nutnosti dalších zařízení nebo těžkopádných změn procesů. Pomocí onboardovaných zařízení můžete ve své síti najít nespravovaná zařízení a vyhodnotit ohrožení zabezpečení a rizika. Další informace najdete v tématu Zjišťování zařízení.

Poznámka

Kdykoli můžete použít filtry k vyloučení nespravovaných zařízení ze seznamu inventáře zařízení. K odfiltrování nespravovaných zařízení můžete také použít sloupec stavu onboardingu u dotazů rozhraní API.

Stažení souborů v karanténě

Zálohujte soubory v karanténě v zabezpečeném a vyhovujícím umístění, aby je bylo možné stáhnout přímo z karantény. Tlačítko Stáhnout soubor bude vždy dostupné na stránce souboru. Toto nastavení je ve výchozím nastavení zapnuté. Další informace o požadavcích

Výchozí možnost zjednodušeného připojení při onboardingu zařízení na portálu Defender

Toto nastavení nastaví výchozí balíček pro připojování tak, aby se zjednodušily možnosti připojení pro příslušné operační systémy. Stále máte možnost použít standardní balíček pro zprovoznění na stránce onboardingu, ale musíte ho konkrétně vybrat v rozevíracím seznamu.

Živá odpověď

Tuto funkci zapněte, aby uživatelé s příslušnými oprávněními mohli na zařízeních spustit živou relaci odpovědí.

Další informace o přiřazení rolí najdete v tématu Vytváření a správa rolí.

Živá odpověď pro servery

Tuto funkci zapněte, aby uživatelé s příslušnými oprávněními mohli spustit živou relaci odpovědí na serverech.

Další informace o přiřazení rolí najdete v tématu Vytváření a správa rolí.

Spuštění nepodepsaného skriptu živé odpovědi

Povolení této funkce vám umožní spouštět nepodepsané skripty v živé relaci odpovědí.

Podvod

Podvod umožňuje vašemu bezpečnostnímu týmu spravovat a nasazovat vábí a návnady, aby zachytil útočníky ve vašem prostředí. Po zapnutí této funkce přejděte do části Pravidla > podvodu a spusťte podvodné kampaně. Viz Správa možnosti podvodu v Microsoft Defender XDR.

Sdílení upozornění koncového bodu s Centrem dodržování předpisů Microsoftu

Předá výstrahy zabezpečení koncového bodu a jejich stav posouzení Portál dodržování předpisů Microsoft Purview, což vám umožní vylepšit zásady správy insiderských rizik o výstrahy a napravit interní rizika předtím, než způsobí škodu. Přeposílaná data se zpracovávají a ukládají ve stejném umístění jako vaše Office 365 data.

Po nakonfigurování indikátorů porušení zásad zabezpečení v nastavení správy insiderských rizik se výstrahy Defenderu for Endpoint budou sdílet se správou insiderských rizik pro příslušné uživatele.

Microsoft Intune připojení

Defender for Endpoint je možné integrovat s Microsoft Intunea povolit tak podmíněný přístup zařízení na základě rizika. Když tuto funkci zapnete, budete moct sdílet informace o zařízeních Defenderu for Endpoint s Intune, což zlepší vynucování zásad.

Důležité

Abyste mohli tuto funkci používat, budete muset povolit integraci Intune i Defenderu for Endpoint. Další informace o konkrétních krocích najdete v tématu Konfigurace podmíněného přístupu v Defenderu for Endpoint.

Tato funkce je dostupná jenom v případě, že splňujete následující požadavky:

  • Licencovaný tenant pro Enterprise Mobility + Security E3 a Windows E5 (nebo Microsoft 365 Enterprise E5)
  • Aktivní Microsoft Intune prostředí se zařízeními s Windows spravovaná Intune Microsoft Entra připojená.

Ověřená telemetrie

Pokud chcete zabránit falšování telemetrie do řídicího panelu, můžete zapnout ověřenou telemetrii.

Funkce náhledu

Seznamte se s novými funkcemi ve verzi Preview defenderu for Endpoint.

Vyzkoušejte chystané funkce zapnutím prostředí preview. Budete mít přístup k připravovaným funkcím, ke kterým můžete poskytnout zpětnou vazbu, která vám pomůže zlepšit celkové prostředí, než budou funkce obecně dostupné.

Pokud už máte funkce Preview zapnuté, spravujte nastavení z hlavního nastavení Defender XDR.

Další informace najdete v tématu funkce Microsoft Defender XDR Preview.

Oznámení o útoku na koncový bod

Oznámení o útoku na koncové body umožňují Microsoftu aktivně vyhledávat kritické hrozby, které mají být upřednostňovány na základě naléhavosti a dopadu na data vašich koncových bodů.

Pokud chcete proaktivní vyhledávání v celém rozsahu Microsoft Defender XDR, včetně hrozeb, které zahrnují e-mail, spolupráci, identitu, cloudové aplikace a koncové body, přečtěte si další informace o Microsoft Defender Expertech.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.