Detekce koncových bodů a odezva v režimu blokování
Platí pro:
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
- Antivirová ochrana v Microsoft Defenderu
Platformy
- Windows
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Tento článek popisuje EDR v režimu blokování, který pomáhá chránit zařízení, na kterých běží jiné antivirové řešení než Microsoft (s Antivirovou ochranou v programu Microsoft Defender v pasivním režimu).
Co je EDR v režimu blokování?
Detekce a odezva koncového bodu (EDR) v režimu blokování poskytuje přidanou ochranu před škodlivými artefakty, když Antivirová ochrana v programu Microsoft Defender není primární antivirový produkt a běží v pasivním režimu. EDR v režimu blokování je k dispozici v Defenderu for Endpoint Plan 2.
Důležité
EDR v režimu blokování nemůže poskytovat veškerou dostupnou ochranu, pokud je antivirová ochrana v reálném čase v programu Microsoft Defender v pasivním režimu. Některé funkce, které závisí na antivirové ochraně v programu Microsoft Defender jako aktivní antivirové řešení, nebudou fungovat, například následující příklady:
- Ochrana v reálném čase, včetně kontroly přístupu a plánované kontroly, není k dispozici, pokud je Antivirová ochrana v programu Microsoft Defender v pasivním režimu. Další informace o nastavení zásad ochrany v reálném čase najdete v tématu Povolení a konfigurace trvalé ochrany Antivirová ochrana v programu Microsoft Defender.
- Funkce, jako je ochrana sítě a pravidla a indikátory omezení potenciální oblasti útoku (hodnota hash souboru, IP adresa, adresa URL a certifikáty), jsou dostupné jenom v případě, že antivirová ochrana v programu Microsoft Defender běží v aktivním režimu. Očekává se, že vaše antivirové řešení od jiných společností než Microsoft zahrnuje tyto funkce.
EDR v režimu blokování funguje na pozadí a opravuje škodlivé artefakty zjištěné funkcemi EDR. Tyto artefakty mohly být vynechány primárním antivirovým produktem, který není společností Microsoft. EDR v režimu blokování umožňuje antivirové ochraně v programu Microsoft Defender provádět akce při detekci EDR po porušení zabezpečení a chování.
EDR v režimu blokování je integrovaný s možnostmi správy ohrožení zabezpečení & ohrožení zabezpečení . Bezpečnostní tým vaší organizace dostane doporučení zabezpečení, aby EDR zapnul v režimu blokování, pokud ještě není povolený.
Tip
Pokud chcete získat nejlepší ochranu, nezapomeňte nasadit standardní hodnoty Microsoft Defenderu for Endpoint.
V tomto videu se dozvíte, proč a jak zapnout detekci a odezvu koncového bodu (EDR) v režimu blokování, povolit blokování chování a omezení v každé fázi od předběžného porušení až po následné porušení zabezpečení.
Co se stane, když se něco zjistí?
Když je EDR v režimu blokování zapnutý a zjistí se škodlivý artefakt, Defender for Endpoint tento artefakt napraví. Váš tým pro operace zabezpečení uvidí stav detekce jako Blokované nebo Prevented v Centru akcí, který je uvedený jako dokončené akce. Následující obrázek ukazuje instanci nežádoucího softwaru, která byla zjištěna a napravena prostřednictvím EDR v režimu blokování:
Povolení EDR v režimu blokování
Důležité
- Než zapnete EDR v režimu blokování, ujistěte se, že jsou splněné požadavky .
- Licence defenderu for Endpoint Plan 2 jsou povinné.
- Od verze platformy 4.18.2202.X můžete nastavit EDR v režimu blokování tak, aby cílil na konkrétní skupiny zařízení pomocí CSP Intune. Na portálu Microsoft Defender můžete dál nastavit EDR v režimu blokování pro celého tenanta.
- EDR v režimu blokování se doporučuje hlavně pro zařízení, která používají Antivirovou ochranu v programu Microsoft Defender v pasivním režimu (na zařízení je nainstalované a aktivní antivirové řešení jiné společnosti než Microsoft).
Portál Microsoft Defender
Přejděte na portál Microsoft Defender (https://security.microsoft.com/) a přihlaste se.
Zvolte Nastavení>Koncové body>Obecné>pokročilé funkce.
Posuňte se dolů a zapněte povolit EDR v režimu blokování.
Intune
Pokud chcete vytvořit vlastní zásadu v Intune, přečtěte si téma Nasazení OMA-URIs pro cílení na poskytovatele CSP prostřednictvím Intune a porovnání s místním prostředím.
Další informace o programu Defender CSP používaném pro EDR v režimu blokování najdete v části Konfigurace/Pasivní obnovení v části Defender CSP.
Požadavky na EDR v režimu blokování
Následující tabulka uvádí požadavky na EDR v režimu blokování:
| Požadavek | Podrobnosti |
|---|---|
| Oprávnění | V Microsoft Entra ID musíte mít přiřazenou roli globálního správce nebo správce zabezpečení. Další informace najdete v tématu Základní oprávnění. |
| Operační systém | Na zařízeních musí běžet jedna z následujících verzí Windows: – Windows 11 – Windows 10 (všechny vydané verze) – Windows Server 2019 nebo novější – Windows Server verze 1803 nebo novější – Windows Server 2016 a Windows Server 2012 R2 (s novým jednotným klientským řešením) |
| Plán 2 pro Microsoft Defender pro koncový bod | Zařízení musí být onboardovaná do Defenderu for Endpoint. Projděte si následující články: - Minimální požadavky na Microsoft Defender for Endpoint - Onboarding zařízení a konfigurace funkcí Microsoft Defenderu for Endpoint - Onboarding serverů Windows do služby Defender for Endpoint - Nové funkce Windows Serveru 2012 R2 a 2016 v moderním sjednocené řešení (Viz Je EDR v režimu blokování podporován ve Windows Serveru 2016 a Windows Serveru 2012 R2?) |
| Antivirová ochrana v Microsoft Defenderu | Na zařízeních musí být nainstalovaná antivirová ochrana v programu Microsoft Defender a spuštěná v aktivním nebo pasivním režimu. Ověřte, že je Antivirová ochrana v programu Microsoft Defender v aktivním nebo pasivním režimu. |
| Cloudová ochrana | Antivirová ochrana v programu Microsoft Defender musí být nakonfigurovaná tak, aby byla povolená cloudová ochrana. |
| Antivirová ochrana v programu Microsoft Defender | Zařízení musí být aktuální. Pokud to chcete ověřit, spusťte pomocí PowerShellu rutinu Get-MpComputerStatus jako správce. Na řádku AMProductVersion byste měli vidět 4.18.2001.10 nebo vyšší. Další informace najdete v tématu Správa aktualizací antivirové ochrana v programu Microsoft Defender a použití směrných plánů. |
| Antivirová ochrana v programu Microsoft Defender | Zařízení musí být aktuální. Pokud to chcete ověřit, spusťte pomocí PowerShellu rutinu Get-MpComputerStatus jako správce. Na řádku AMEngineVersion byste měli vidět 1.1.16700.2 nebo vyšší. Další informace najdete v tématu Správa aktualizací antivirové ochrana v programu Microsoft Defender a použití směrných plánů. |
Důležité
Pokud chcete získat nejlepší hodnotu ochrany, ujistěte se, že je vaše antivirové řešení nakonfigurované tak, aby dostávalo pravidelné aktualizace a základní funkce, a že jsou nakonfigurovaná vyloučení. EDR v režimu blokování respektuje vyloučení definovaná pro Antivirovou ochranu v programu Microsoft Defender, ale ne indikátory definované pro Microsoft Defender for Endpoint.
Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Viz také
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.