Konfigurer avancerede funktioner i Defender for Endpoint

Gælder for:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Afhængigt af de Microsoft-sikkerhedsprodukter, du bruger, kan nogle avancerede funktioner være tilgængelige, så du kan integrere Defender for Endpoint med.

Aktivér avancerede funktioner

1. Gå til Microsoft Defender-portalen , og log på.

2. Vælg Indstillinger>Slutpunkter>Avancerede funktioner i navigationsruden.

3. Vælg den avancerede funktion, du vil konfigurere, og skift mellem Til og Fra.

4. Vælg Gem indstillinger.

Brug følgende avancerede funktioner til at blive bedre beskyttet mod potentielt skadelige filer og få bedre indsigt under sikkerhedsundersøgelser.

Begræns korrelation til inden for bestemte enhedsgrupper

Denne konfiguration kan bruges til scenarier, hvor lokale SOC-handlinger kun vil begrænse beskedkorrelationen til enhedsgrupper, som de har adgang til. Ved at aktivere denne indstilling vil en hændelse, der består af beskeder, som grupper på tværs af enheder ikke længere betragtes som en enkelt hændelse. Den lokale SOC kan derefter udføre handlinger på hændelsen, fordi de har adgang til en af de involverede enhedsgrupper. Global SOC kan dog se flere forskellige hændelser efter enhedsgruppe i stedet for én hændelse. Vi anbefaler ikke, at du aktiverer denne indstilling, medmindre det opvejer fordelene ved hændelseskorrelation på tværs af hele organisationen.

Bemærk!

• Ændring af denne indstilling påvirker kun fremtidige beskeders korrelation.

• Oprettelse af enhedsgruppe understøttes i Defender for Endpoint Plan 1 og Plan 2.

Aktivér EDR i bloktilstand

EDR (Endpoint Detection and Response) i blokeringstilstand giver beskyttelse mod skadelige artefakter, selv når Microsoft Defender Antivirus kører i passiv tilstand. Når EDR er slået til, blokerer EDR i bloktilstand skadelige artefakter eller funktionsmåder, der registreres på en enhed. EDR i bloktilstand arbejder bag kulisserne for at afhjælpe skadelige artefakter, der registreres efter sikkerhedsbrud.

Løs automatisk beskeder

Slå denne indstilling til for automatisk at løse beskeder, hvor der ikke blev fundet nogen trusler, eller hvor registrerede trusler blev afhjælpet. Hvis du ikke vil have beskederne løst automatisk, skal du slå funktionen fra manuelt.

Bemærk!

• Resultatet af handlingen til automatisk løsning kan påvirke beregningen af enhedens risikoniveau, som er baseret på de aktive beskeder, der findes på en enhed.
• Hvis en sikkerhedsanalytiker manuelt angiver status for en besked til "I gang" eller "Løst", overskriver funktionen til automatisk løsning ikke den.

Tillad eller bloker fil

Blokering er kun tilgængelig, hvis din organisation opfylder disse krav:

• Bruger Microsoft Defender Antivirus som den aktive antimalwareløsning, og
• Den skybaserede beskyttelsesfunktion er aktiveret

Denne funktion giver dig mulighed for at blokere potentielt skadelige filer på netværket. Blokering af en fil forhindrer den i at blive læst, skrevet eller udført på enheder i din organisation.

Sådan slår du Tillad eller bloker filer til:

1. På Microsoft Defender-portalen skal du i navigationsruden vælge Indstillinger>Slutpunkter>Generelle>avancerede funktioner>Tillad eller bloker fil.

2. Slå indstillingen til ogfra.

   

3. Vælg Gem indstillinger nederst på siden.

Når du har aktiveret denne funktion, kan du blokere filer via fanen Tilføj indikator på en fils profilside.

Skjul potentielle duplikerede enhedsposter

Ved at aktivere denne funktion kan du sikre, at du får vist de mest nøjagtige oplysninger om dine enheder ved at skjule potentielle duplikerede enhedsposter. Der kan være forskellige årsager til, at der kan forekomme dublerede enhedsposter, f.eks. kan enhedens registreringsfunktion i Microsoft Defender for Endpoint scanne dit netværk og finde en enhed, der allerede er onboardet eller for nylig er blevet offboardet.

Denne funktion identificerer potentielle duplikerede enheder baseret på deres værtsnavn og tidspunkt for seneste gang, de ses. De duplikerede enheder skjules fra flere oplevelser på portalen, f.eks. enhedsoversigten, siderne Administration af sårbarheder i Microsoft Defender og offentlige API'er til computerdata, så den mest nøjagtige enhedspost er synlig. Dubleterne vil dog stadig være synlige i global søgning, avanceret jagt, beskeder og hændelsessider.

Denne indstilling er som standard slået til og anvendes i hele lejeren. Hvis du ikke vil skjule potentielle duplikerede enhedsposter, skal du slå funktionen fra manuelt.

Brugerdefinerede netværksindikatorer

Når du aktiverer denne funktion, kan du oprette indikatorer for IP-adresser, domæner eller URL-adresser, der bestemmer, om de er tilladt eller blokeret, baseret på din brugerdefinerede indikatorliste.

Hvis du vil bruge denne funktion, skal enheder køre Windows 10 version 1709 eller nyere eller Windows 11. De skal også have netværksbeskyttelse i bloktilstand og version 4.18.1906.3 eller nyere af antimalwareplatformen, se KB 4052623.

Du kan få flere oplysninger under Administrer indikatorer.

Bemærk!

Netværksbeskyttelse udnytter omdømmetjenester, der behandler anmodninger på placeringer, der kan være uden for den placering, du har valgt til dine Defender for Endpoint-data.

Ændringsbeskyttelse

Under nogle former for cyberangreb forsøger dårlige aktører at deaktivere sikkerhedsfunktioner, f.eks. antivirusbeskyttelse, på dine maskiner. Dårlige aktører kan lide at deaktivere dine sikkerhedsfunktioner for at få lettere adgang til dine data, installere malware eller på anden måde udnytte dine data, identitet og enheder. Manipulationsbeskyttelse låser i bund og grund Microsoft Defender Antivirus og forhindrer, at dine sikkerhedsindstillinger ændres via apps og metoder.

Du kan få flere oplysninger, herunder hvordan du konfigurerer beskyttelse mod ændring, under Beskyt sikkerhedsindstillinger med manipulationsbeskyttelse.

Vis brugeroplysninger

Slå denne funktion til, så du kan se brugeroplysninger, der er gemt i Microsoft Entra ID. Oplysningerne omfatter oplysninger om en brugers billede, navn, titel og afdeling, når der undersøges brugerkontoobjekter. Du kan finde brugerkontooplysninger i følgende visninger:

• Beskedkø
• Side med enhedsdetaljer

Du kan få flere oplysninger under Undersøg en brugerkonto.

Skype for Business-integration

Aktivering af Skype for Business-integration giver dig mulighed for at kommunikere med brugere ved hjælp af Skype for Business, mail eller telefon. Denne aktivering kan være praktisk, når du har brug for at kommunikere med brugeren og afhjælpe risici.

Bemærk!

Når en enhed isoleres fra netværket, er der et pop op-vindue, hvor du kan vælge at aktivere Outlook- og Skype-kommunikation, som tillader kommunikation til brugeren, mens brugeren ikke har forbindelse til netværket. Denne indstilling gælder for Skype- og Outlook-kommunikation, når enheder er i isolationstilstand.

Microsoft Defender for Cloud Apps

Hvis du aktiverer denne indstilling, videresendes Defender for Endpoint-signaler til Microsoft Defender for Cloud Apps for at give en bedre indsigt i brugen af cloudprogrammer. Videresendte data gemmes og behandles på samme placering som dine Defender for Cloud Apps-data.

Bemærk!

Denne funktion vil være tilgængelig med en E5-licens til Enterprise Mobility + Security på enheder, der kører Windows 10, version 1709 (OS Build 16299.1085 med KB4493441), Windows 10, version 1803 (OS Build 17134.704 med KB4493464), Windows 10, version 1809 (OS Build 17763.379 med KB4489899), nyere Windows 10-versioner eller Windows 11.

Filtrering af webindhold

Bloker adgang til websteder, der indeholder uønsket indhold, og spor webaktivitet på tværs af alle domæner. Hvis du vil angive de webindholdskategorier, du vil blokere, skal du oprette en politik for filtrering af webindhold. Sørg for, at du har netværksbeskyttelse i blokeringstilstand, når du installerer Microsoft Defender for Endpoint Security Baseline.

Samlet overvågningslog

Søg i Microsoft Purview gør det muligt for dit sikkerheds- og overholdelsesteam at få vist vigtige hændelsesdata i overvågningsloggen for at få indsigt og undersøge brugeraktiviteter. Når en overvåget aktivitet udføres af en bruger eller en administrator, genereres og gemmes der en overvågningspost i Microsoft 365-overvågningsloggen for din organisation. Du kan finde flere oplysninger i Søg i overvågningsloggen.

Enhedssøgning

Hjælper dig med at finde ikke-administrerede enheder, der er tilsluttet virksomhedens netværk, uden at der er behov for ekstra apparater eller besværlige procesændringer. Ved hjælp af onboardede enheder kan du finde ikke-administrerede enheder i dit netværk og vurdere sikkerhedsrisici og risici. Du kan finde flere oplysninger under Enhedsregistrering.

Bemærk!

Du kan altid anvende filtre for at udelade ikke-administrerede enheder fra enhedslagerlisten. Du kan også bruge kolonnen med onboardingstatus i API-forespørgsler til at filtrere ikke-administrerede enheder fra.

Download filer, der er sat i karantæne

Sikkerhedskopiér filer, der er sat i karantæne, på en sikker og kompatibel placering, så de kan downloades direkte fra karantæne. Knappen Download fil vil altid være tilgængelig på filsiden. Denne indstilling er som standard slået til. Få mere at vide om krav

Standard til strømlinet forbindelse ved onboarding af enheder på Defender-portalen

Denne indstilling angiver standard onboardingpakken til strømlinet forbindelse for relevante operativsystemer. Du har stadig mulighed for at bruge standard onboardingpakken på onboardingsiden, men du skal specifikt vælge den på rullelisten.

Live-svar

Slå denne funktion til, så brugere med de relevante tilladelser kan starte en live-svarsession på enheder.

Du kan få flere oplysninger om rolletildelinger under Opret og administrer roller.

Live-svar til servere

Slå denne funktion til, så brugere med de relevante tilladelser kan starte en live-svarsession på servere.

Du kan få flere oplysninger om rolletildelinger under Opret og administrer roller.

Udførelse af direkte svar uden fortegn

Hvis du aktiverer denne funktion, kan du køre usignerede scripts i en live-svarsession.

Bedrag

Bedrag gør det muligt for dit sikkerhedsteam at administrere og udrulle lokker og lokkestreger for at fange hackere i dit miljø. Når du har slået dette til, skal du gå til Regler > bedragsregler for at køre bedragskampagner. Se Administrer bedragsfunktionen i Microsoft Defender XDR.

Del slutpunktbeskeder med Microsoft Compliance Center

Videresender sikkerhedsbeskeder for slutpunkter og deres triagestatus til Microsoft Purview-overholdelsesportalen, så du kan forbedre politikker for styring af insiderrisiko med beskeder og afhjælpe interne risici, før de forårsager skade. Videresendte data behandles og gemmes på samme placering som dine Office 365-data.

Når du har konfigureret indikatorerne for overtrædelse af sikkerhedspolitik i indstillingerne for styring af insiderrisiko, deles Defender for Endpoint-beskeder med styring af insiderrisiko for relevante brugere.

Microsoft Intune-forbindelse

Defender for Endpoint kan integreres med Microsoft Intune for at aktivere enhedsrisikobaseret betinget adgang. Når du aktiverer denne funktion, kan du dele oplysninger om Defender for Endpoint-enheder med Intune, hvilket forbedrer håndhævelsen af politikken.

Vigtigt!

Du skal aktivere integrationen på både Intune og Defender for Endpoint for at bruge denne funktion. Du kan finde flere oplysninger om bestemte trin under Konfigurer betinget adgang i Defender for Endpoint.

Denne funktion er kun tilgængelig, hvis du har følgende forudsætninger:

• En licenseret lejer til Enterprise Mobility + Security E3 og Windows E5 (eller Microsoft 365 Enterprise E5)
• Et aktivt Microsoft Intune-miljø med Intune-administrerede Windows-enheder, som Microsoft Entra er tilmeldt.

Godkendt telemetri

Du kan slå godkendt telemetri til for at forhindre spoofing af telemetri i dit dashboard.

Visningsfunktioner

Få mere at vide om nye funktioner i prøveversionen af Defender for Endpoint.

Prøv kommende funktioner ved at aktivere prøveversionsoplevelsen. Du har adgang til kommende funktioner, som du kan give feedback på for at hjælpe med at forbedre den overordnede oplevelse, før funktioner bliver offentligt tilgængelige.

Hvis du allerede har aktiveret prøveversionsfunktioner, kan du administrere dine indstillinger fra de primære Defender XDR-indstillinger.

Du kan få flere oplysninger under Prøveversionsfunktioner til Microsoft Defender XDR

Meddelelser om slutpunktsangreb

Meddelelser om slutpunktsangreb gør det muligt for Microsoft aktivt at jage efter kritiske trusler, der skal prioriteres baseret på vigtighed og indvirkning på dine slutpunktdata.

Få mere at vide om Microsoft Defender Experts for proaktiv jagt på tværs af det fulde omfang af Microsoft Defender XDR, herunder trusler, der strækker sig over mail, samarbejde, identitet, cloudprogrammer og slutpunkter.

Relaterede emner

• Opdater indstillinger for dataopbevaring
• Konfigurer beskedmeddelelser

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.