Sdílet prostřednictvím

Konfigurace pokročilých funkcí v Defenderu for Endpoint

  • Článek

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

V závislosti na bezpečnostních produktech Microsoftu, které používáte, můžou být k dispozici některé pokročilé funkce, se kterými můžete Defender for Endpoint integrovat.

Povolení pokročilých funkcí

  1. Přejděte na portál Microsoft Defender a přihlaste se.

  2. V navigačním podokně vyberte Nastavení>Koncové body>Pokročilé funkce.

  3. Vyberte pokročilou funkci, kterou chcete nakonfigurovat, a přepněte nastavení mezi Zapnuto a Vypnuto.

  4. Vyberte Uložit předvolby.

Pomocí následujících pokročilých funkcí získáte lepší ochranu před potenciálně škodlivými soubory a získáte lepší přehled během vyšetřování zabezpečení.

Omezení korelace na v rámci skupin zařízení s vymezeným oborem

Tuto konfiguraci je možné použít ve scénářích, kdy místní operace SOC chtějí omezit korelace výstrah pouze na skupiny zařízení, ke kterým mají přístup. Když toto nastavení zapnete, incident složený z výstrah, které se už nebudou považovat za jeden incident, skupiny napříč zařízeními. Místní soc pak může na incidentu reagovat, protože má přístup k jedné ze skupin zařízení, kterých se to týká. Globální soc ale místo jednoho incidentu uvidí několik různých incidentů podle skupiny zařízení. Nedoporučujeme toto nastavení zapínat, pokud to nepřeváží výhody korelace incidentů v celé organizaci.

Poznámka

  • Změna tohoto nastavení ovlivní pouze budoucí korelace výstrah.

  • Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

Povolení EDR v režimu blokování

Detekce a reakce koncového bodu (EDR) v režimu blokování poskytuje ochranu před škodlivými artefakty, i když antivirová ochrana v programu Microsoft Defender běží v pasivním režimu. Když je zapnutá, EDR v režimu blokování blokuje škodlivé artefakty nebo chování, které se zjistí na zařízení. EDR v režimu blokování funguje na pozadí a opravuje škodlivé artefakty, které jsou zjištěny po porušení zabezpečení.

Automatické řešení výstrah

Zapnutím tohoto nastavení automaticky vyřešíte výstrahy, kdy nebyly nalezeny žádné hrozby nebo kdy byly zjištěné hrozby napraveny. Pokud nechcete, aby se upozornění automaticky vyřešila, budete muset funkci vypnout ručně.

Poznámka

  • Výsledek akce automatického řešení může ovlivnit výpočet úrovně rizika zařízení, který je založený na aktivních výstrahách nalezených na zařízení.
  • Pokud analytik operací zabezpečení ručně nastaví stav výstrahy na "Probíhá" nebo "Vyřešeno", funkce automatického překladu ji nepřepíše.

Povolit nebo blokovat soubor

Blokování je dostupné jenom v případě, že vaše organizace splňuje tyto požadavky:

  • Používá Antivirovou ochranu v programu Microsoft Defender jako aktivní antimalwarové řešení a
  • Funkce cloudové ochrany je povolená.

Tato funkce umožňuje blokovat potenciálně škodlivé soubory ve vaší síti. Blokování souboru zabrání jeho čtení, zápisu nebo spuštění na zařízeních ve vaší organizaci.

Zapnutí možnosti Povolit nebo blokovat soubory:

  1. Na portálu Microsoft Defender v navigačním podokně vyberte Nastavení>Koncové body>Obecné>Rozšířené funkce>Povolit nebo blokovat soubor.

  2. Přepněte nastavení mezi Zapnuto a Vypnuto.

    Obrazovka Koncové body

  3. V dolní části stránky vyberte Uložit předvolby .

Po zapnutí této funkce můžete soubory blokovat prostřednictvím karty Přidat indikátor na stránce profilu souboru.

Skrýt potenciální duplicitní záznamy zařízení

Povolením této funkce můžete zajistit, že se zobrazují nejpřesnější informace o vašich zařízeních, a to skrytím potenciálních duplicitních záznamů zařízení. K duplicitním záznamům zařízení může docházet z různých důvodů, například funkce zjišťování zařízení v Programu Microsoft Defender for Endpoint může zkontrolovat vaši síť a zjistit zařízení, které je už nasazené nebo nedávno bylo offboardováno.

Tato funkce identifikuje potenciální duplicitní zařízení na základě jejich názvu hostitele a času posledního výskytu. Duplicitní zařízení budou skryta z více prostředí na portálu, jako je inventář zařízení, stránky správy ohrožení zabezpečení v programu Microsoft Defender a veřejná rozhraní API pro data počítačů, takže zůstane viditelný nejpřesnější záznam zařízení. Duplikáty ale budou dál viditelné na stránkách globálního vyhledávání, rozšířeného proaktivního vyhledávání, upozornění a incidentů.

Toto nastavení je ve výchozím nastavení zapnuté a používá se pro celého tenanta. Pokud nechcete skrýt potenciální duplicitní záznamy zařízení, budete muset tuto funkci vypnout ručně.

Vlastní indikátory sítě

Zapnutí této funkce umožňuje vytvářet indikátory pro IP adresy, domény nebo adresy URL, které na základě vašeho vlastního seznamu ukazatelů určují, jestli budou povolené nebo blokované.

Pokud chcete tuto funkci používat, musí na zařízeních běžet Windows 10 verze 1709 nebo novější nebo Windows 11. Měly by mít také ochranu sítě v režimu blokování a verze 4.18.1906.3 nebo novější antimalwarové platformy , viz kb 4052623.

Další informace najdete v tématu Správa indikátorů.

Poznámka

Ochrana sítě využívá služby reputace, které zpracovávají požadavky v umístěních, která můžou být mimo umístění, které jste vybrali pro data defenderu for Endpoint.

Ochrana před falšováním

Během některých druhů kybernetických útoků se zlí aktéři snaží na vašich počítačích zakázat funkce zabezpečení, jako je antivirová ochrana. Špatní aktéři chtějí zakázat funkce zabezpečení, aby získali snadnější přístup k datům, nainstalovali malware nebo jinak zneužili vaše data, identitu a zařízení. Ochrana před falšováním v podstatě uzamkne Antivirovou ochranu v programu Microsoft Defender a zabrání změnám nastavení zabezpečení prostřednictvím aplikací a metod.

Další informace, včetně postupu konfigurace ochrany před falšováním, najdete v tématu Ochrana nastavení zabezpečení pomocí ochrany před falšováním.

Zobrazit podrobnosti o uživateli

Tuto funkci zapněte, abyste viděli podrobnosti o uživateli uložené v Microsoft Entra ID. Podrobnosti zahrnují obrázek uživatele, jméno, titul a informace o oddělení při zkoumání entit uživatelských účtů. Informace o uživatelském účtu najdete v následujících zobrazeních:

  • Fronta upozornění
  • Stránka s podrobnostmi o zařízení

Další informace najdete v tématu Prozkoumání uživatelského účtu.

Integrace Skypu pro firmy

Když povolíte integraci Skypu pro firmy, budete moct komunikovat s uživateli pomocí Skypu pro firmy, e-mailu nebo telefonu. Tato aktivace se může hodit, když potřebujete komunikovat s uživatelem a zmírnit rizika.

Poznámka

Když je zařízení izolováno od sítě, je k dispozici automaticky otevírané okno, kde můžete povolit komunikaci Outlooku a Skypu, která umožňuje komunikaci s uživatelem, když jsou odpojeni od sítě. Toto nastavení platí pro komunikaci přes Skype a Outlook, když jsou zařízení v režimu izolace.

Microsoft Defender for Cloud Apps

Povolením tohoto nastavení předáte signály Defenderu for Endpoint do Microsoft Defenderu for Cloud Apps, aby bylo k dispozici lepší přehled o využití cloudových aplikací. Přeposílaná data se ukládají a zpracovávají ve stejném umístění jako data defenderu for Cloud Apps.

Poznámka

Tato funkce bude k dispozici s licencí E5 pro Enterprise Mobility + Security na zařízeních s Windows 10. verze 1709 (build operačního systému 16299.1085 s KB4493441), Windows 10 verze 1803 (build operačního systému 17134.704 s KB4493464), Windows 10 verze 1809 (build operačního systému 17763.379 s KB4489899), novější verze Windows 10 nebo Windows 11.

Filtrování webového obsahu

Blokování přístupu k webům obsahujícím nežádoucí obsah a sledování webové aktivity napříč všemi doménami Pokud chcete určit kategorie webového obsahu, které chcete blokovat, vytvořte zásadu filtrování webového obsahu. Při nasazování standardních hodnot zabezpečení Microsoft Defenderu for Endpoint se ujistěte, že máte ochranu sítě v režimu blokování.

Jednotný protokol auditování

Hledání v Microsoft Purview umožňuje týmu pro zabezpečení a dodržování předpisů zobrazit důležitá data událostí protokolu auditu, aby získal přehled a prozkoumal aktivity uživatelů. Kdykoli uživatel nebo správce provede auditovanou aktivitu, vygeneruje se záznam auditu a uloží se do protokolu auditování Microsoftu 365 pro vaši organizaci. Další informace najdete v tématu Hledání v protokolu auditování.

Zjišťování zařízení

Pomůže vám najít nespravovaná zařízení připojená k podnikové síti bez nutnosti dalších zařízení nebo těžkopádných změn procesů. Pomocí onboardovaných zařízení můžete ve své síti najít nespravovaná zařízení a vyhodnotit ohrožení zabezpečení a rizika. Další informace najdete v tématu Zjišťování zařízení.

Poznámka

Kdykoli můžete použít filtry k vyloučení nespravovaných zařízení ze seznamu inventáře zařízení. K odfiltrování nespravovaných zařízení můžete také použít sloupec stavu onboardingu u dotazů rozhraní API.

Stažení souborů v karanténě

Zálohujte soubory v karanténě v zabezpečeném a vyhovujícím umístění, aby je bylo možné stáhnout přímo z karantény. Tlačítko Stáhnout soubor bude vždy dostupné na stránce souboru. Toto nastavení je ve výchozím nastavení zapnuté. Další informace o požadavcích

Výchozí možnost zjednodušeného připojení při onboardingu zařízení na portálu Defender

Toto nastavení nastaví výchozí balíček pro připojování tak, aby se zjednodušily možnosti připojení pro příslušné operační systémy. Stále máte možnost použít standardní balíček pro zprovoznění na stránce onboardingu, ale musíte ho konkrétně vybrat v rozevíracím seznamu.

Živá odpověď

Tuto funkci zapněte, aby uživatelé s příslušnými oprávněními mohli na zařízeních spustit živou relaci odpovědí.

Další informace o přiřazení rolí najdete v tématu Vytváření a správa rolí.

Živá odpověď pro servery

Tuto funkci zapněte, aby uživatelé s příslušnými oprávněními mohli spustit živou relaci odpovědí na serverech.

Další informace o přiřazení rolí najdete v tématu Vytváření a správa rolí.

Spuštění nepodepsaného skriptu živé odpovědi

Povolení této funkce vám umožní spouštět nepodepsané skripty v živé relaci odpovědí.

Podvod

Podvod umožňuje vašemu bezpečnostnímu týmu spravovat a nasazovat vábí a návnady, aby zachytil útočníky ve vašem prostředí. Po zapnutí této funkce přejděte do části Pravidla > podvodu a spusťte podvodné kampaně. Viz Správa možnosti podvodu v Microsoft Defenderu XDR.

Sdílení upozornění koncového bodu s Centrem dodržování předpisů Microsoftu

Předá výstrahy zabezpečení koncového bodu a jejich stav posouzení na portál dodržování předpisů Microsoft Purview, což vám umožní vylepšit zásady správy insiderských rizik o výstrahy a napravit interní rizika předtím, než způsobí škodu. Přeposílaná data se zpracovávají a ukládají ve stejném umístění jako vaše data Office 365.

Po nakonfigurování indikátorů porušení zásad zabezpečení v nastavení správy insiderských rizik se výstrahy Defenderu for Endpoint budou sdílet se správou insiderských rizik pro příslušné uživatele.

Připojení k Microsoft Intune

Defender for Endpoint je možné integrovat s Microsoft Intune a povolit tak podmíněný přístup zařízení na základě rizik. Když tuto funkci zapnete, budete moct sdílet informace o zařízeních Defenderu for Endpoint s Intune, což zlepší vynucování zásad.

Důležité

Abyste mohli tuto funkci používat, budete muset povolit integraci v Intune i v Defenderu for Endpoint. Další informace o konkrétních krocích najdete v tématu Konfigurace podmíněného přístupu v Defenderu for Endpoint.

Tato funkce je dostupná jenom v případě, že splňujete následující požadavky:

  • Licencovaný tenant pro Enterprise Mobility + Security E3 a Windows E5 (nebo Microsoft 365 Enterprise E5)
  • Aktivní prostředí Microsoft Intune s připojenými zařízeními s Windows spravovanými službou Intune.

Ověřená telemetrie

Pokud chcete zabránit falšování telemetrie do řídicího panelu, můžete zapnout ověřenou telemetrii.

Funkce náhledu

Seznamte se s novými funkcemi ve verzi Preview defenderu for Endpoint.

Vyzkoušejte chystané funkce zapnutím prostředí preview. Budete mít přístup k připravovaným funkcím, ke kterým můžete poskytnout zpětnou vazbu, která vám pomůže zlepšit celkové prostředí, než budou funkce obecně dostupné.

Pokud už máte funkce Preview zapnuté, spravujte nastavení z hlavního nastavení DefenderU XDR.

Další informace najdete v tématu Funkce XDR v programu Microsoft Defender ve verzi Preview.

Oznámení o útoku na koncový bod

Oznámení o útoku na koncové body umožňují Microsoftu aktivně vyhledávat kritické hrozby, které mají být upřednostňovány na základě naléhavosti a dopadu na data vašich koncových bodů.

Pokud chcete proaktivní vyhledávání v celém rozsahu microsoft defenderu XDR, včetně hrozeb, které zahrnují e-mail, spolupráci, identitu, cloudové aplikace a koncové body, přečtěte si další informace o expertech microsoft defenderu.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.