Share via


Konfigurer avancerede funktioner i Defender for Endpoint

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Afhængigt af de Microsoft-sikkerhedsprodukter, du bruger, kan nogle avancerede funktioner være tilgængelige, så du kan integrere Defender for Endpoint med.

Aktivér avancerede funktioner

  1. Log på Microsoft Defender XDR ved hjælp af en konto hos sikkerhedsadministratoren eller Global administrator rolle, der er tildelt.

  2. Vælg Indstillinger>Slutpunkter>Avancerede funktioner i navigationsruden.

  3. Vælg den avancerede funktion, du vil konfigurere, og skift mellem Til og Fra.

  4. Vælg Gem indstillinger.

Brug følgende avancerede funktioner til at blive bedre beskyttet mod potentielt skadelige filer og få bedre indsigt under sikkerhedsundersøgelser.

Live-svar

Slå denne funktion til, så brugere med de relevante tilladelser kan starte en live-svarsession på enheder.

Du kan få flere oplysninger om rolletildelinger under Create og administrer roller.

Live-svar til servere

Slå denne funktion til, så brugere med de relevante tilladelser kan starte en live-svarsession på servere.

Du kan få flere oplysninger om rolletildelinger under Create og administrer roller.

Udførelse af direkte svar uden fortegn

Hvis du aktiverer denne funktion, kan du køre usignerede scripts i en live-svarsession.

Begræns korrelation til inden for bestemte enhedsgrupper

Denne konfiguration kan bruges til scenarier, hvor lokale SOC-handlinger kun vil begrænse beskedkorrelationen til enhedsgrupper, som de har adgang til. Ved at aktivere denne indstilling vil en hændelse, der består af beskeder, som grupper på tværs af enheder ikke længere betragtes som en enkelt hændelse. Den lokale SOC kan derefter udføre handlinger på hændelsen, fordi de har adgang til en af de involverede enhedsgrupper. Global SOC kan dog se flere forskellige hændelser efter enhedsgruppe i stedet for én hændelse. Vi anbefaler ikke, at du aktiverer denne indstilling, medmindre det opvejer fordelene ved hændelseskorrelation på tværs af hele organisationen.

Bemærk!

  • Ændring af denne indstilling påvirker kun fremtidige beskeders korrelation.

  • Oprettelse af enhedsgruppe understøttes i Defender for Endpoint Plan 1 og Plan 2.

Aktivér EDR i bloktilstand

EDR (Endpoint Detection and Response) i blokeringstilstand giver beskyttelse mod skadelige artefakter, selv når Microsoft Defender Antivirus kører i passiv tilstand. Når EDR er slået til, blokerer EDR i bloktilstand skadelige artefakter eller funktionsmåder, der registreres på en enhed. EDR i bloktilstand arbejder bag kulisserne for at afhjælpe skadelige artefakter, der registreres efter sikkerhedsbrud.

Automatisk løsningsbeskeder

For lejere, der er oprettet på eller efter Windows 10, version 1809, er den automatiserede undersøgelses- og afhjælpningsfunktion som standard konfigureret til at løse beskeder, hvor den automatiserede resultatstatus for analysen er "Der blev ikke fundet trusler" eller "Afhjælpning". Hvis du ikke vil have beskederne løst automatisk, skal du slå funktionen fra manuelt.

Tip

For lejere, der er oprettet før denne version, skal du slå denne funktion til manuelt fra siden Avancerede funktioner .

Bemærk!

  • Resultatet af handlingen til automatisk løsning kan påvirke beregningen af enhedens risikoniveau, som er baseret på de aktive beskeder, der findes på en enhed.
  • Hvis en sikkerhedsanalytiker manuelt angiver status for en besked til "I gang" eller "Løst", overskriver funktionen til automatisk løsning ikke den.

Tillad eller bloker fil

Blokering er kun tilgængelig, hvis din organisation opfylder disse krav:

  • Bruger Microsoft Defender Antivirus som den aktive antimalwareløsning, og
  • Den skybaserede beskyttelsesfunktion er aktiveret

Denne funktion giver dig mulighed for at blokere potentielt skadelige filer på netværket. Blokering af en fil forhindrer den i at blive læst, skrevet eller udført på enheder i din organisation.

Sådan slår du Tillad eller bloker filer til:

  1. I navigationsruden skal du vælge Indstillinger>Slutpunkter>Generelle>avancerede funktioner>Tillad eller bloker fil.

  2. Slå indstillingen til ogfra.

    Skærmbilledet Slutpunkter

  3. Vælg Gem indstillinger nederst på siden.

Når du har aktiveret denne funktion, kan du blokere filer via fanen Tilføj indikator på en fils profilside.

Skjul potentielle duplikerede enhedsposter

Ved at aktivere denne funktion kan du sikre, at du får vist de mest nøjagtige oplysninger om dine enheder ved at skjule potentielle duplikerede enhedsposter. Der kan være forskellige årsager til, at der kan forekomme dublerede enhedsposter, f.eks. enhedens registreringsfunktion i Microsoft Defender for Endpoint kan scanne dit netværk og finde en enhed, der allerede er onboardet eller for nylig er blevet offboardet.

Denne funktion identificerer potentielle duplikerede enheder baseret på deres værtsnavn og tidspunkt for seneste gang, de ses. De duplikerede enheder skjules fra flere oplevelser på portalen, f.eks. enhedsoversigten, Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender sider og offentlige API'er til computerdata, så den mest nøjagtige enhedspost er synlig. Dubleterne vil dog stadig være synlige på siderne global søgning, avanceret jagt, beskeder og hændelser.

Denne indstilling er som standard slået til og anvendes i hele lejeren. Hvis du ikke vil skjule potentielle duplikerede enhedsposter, skal du slå funktionen fra manuelt.

Brugerdefinerede netværksindikatorer

Når du aktiverer denne funktion, kan du oprette indikatorer for IP-adresser, domæner eller URL-adresser, der bestemmer, om de er tilladt eller blokeret, baseret på din brugerdefinerede indikatorliste.

Hvis du vil bruge denne funktion, skal enheder køre Windows 10 version 1709 eller nyere eller Windows 11. De skal også have netværksbeskyttelse i bloktilstand og version 4.18.1906.3 eller nyere af antimalwareplatformen, se KB 4052623.

Du kan få flere oplysninger under Administrer indikatorer.

Bemærk!

Netværksbeskyttelse udnytter omdømmetjenester, der behandler anmodninger på placeringer, der kan være uden for den placering, du har valgt til dine Defender for Endpoint-data.

Ændringsbeskyttelse

Under nogle former for cyberangreb forsøger dårlige aktører at deaktivere sikkerhedsfunktioner, f.eks. antivirusbeskyttelse, på dine maskiner. Dårlige aktører kan lide at deaktivere dine sikkerhedsfunktioner for at få lettere adgang til dine data, installere malware eller på anden måde udnytte dine data, identitet og enheder. Ændringsbeskyttelse låser i bund og grund Microsoft Defender Antivirus og forhindrer, at dine sikkerhedsindstillinger ændres via apps og metoder.

Du kan få flere oplysninger, herunder hvordan du konfigurerer beskyttelse mod ændring, under Beskyt sikkerhedsindstillinger med manipulationsbeskyttelse.

Vis brugeroplysninger

Slå denne funktion til, så du kan se brugeroplysninger, der er gemt i Microsoft Entra ID. Oplysningerne omfatter oplysninger om en brugers billede, navn, titel og afdeling, når der undersøges brugerkontoobjekter. Du kan finde brugerkontooplysninger i følgende visninger:

  • Beskedkø
  • Side med enhedsdetaljer

Du kan få flere oplysninger under Undersøg en brugerkonto.

Skype for Business integration

Aktivering af Skype for Business integration giver dig mulighed for at kommunikere med brugere ved hjælp af Skype for Business, mail eller telefon. Denne aktivering kan være praktisk, når du har brug for at kommunikere med brugeren og afhjælpe risici.

Bemærk!

Når en enhed isoleres fra netværket, er der et pop op-vindue, hvor du kan vælge at aktivere Outlook- og Skype-kommunikation, som tillader kommunikation til brugeren, mens brugeren ikke har forbindelse til netværket. Denne indstilling gælder for Skype- og Outlook-kommunikation, når enheder er i isolationstilstand.

Office 365 Threat Intelligence-forbindelse

Vigtigt!

Denne indstilling blev brugt, da Microsoft Defender for Office 365 og Microsoft Defender for Endpoint tidligere var på forskellige portaler. Efter konvergensen af sikkerhedsoplevelserne til en samlet portal, der nu kaldes Microsoft Defender XDR, er disse indstillinger irrelevante og har ikke nogen funktioner knyttet til dem. Du kan trygt ignorere kontrolelementets status, indtil det fjernes fra portalen.

Denne funktion er kun tilgængelig, hvis du har et aktivt abonnement på Office 365 E5 eller tilføjelsesprogrammet Threat Intelligence. Du kan få flere oplysninger på siden Office 365 E5 produkt.

Denne funktion giver dig mulighed for at inkorporere data fra Microsoft Defender for Office 365 i Microsoft Defender XDR for at udføre en omfattende sikkerhedsundersøgelse på tværs af Office 365 postkasser og Windows-enheder.

Bemærk!

Du skal have den relevante licens for at aktivere denne funktion.

Hvis du vil modtage kontekstafhængig enhedsintegration i Office 365 Threat Intelligence, skal du aktivere indstillingerne for Defender for Endpoint på dashboardet Sikkerhed & Overholdelse. Du kan få flere oplysninger under Trusselsundersøgelse og -svar.

Meddelelser om slutpunktsangreb

Meddelelser om slutpunktsangreb gør det muligt for Microsoft aktivt at jage efter kritiske trusler, der skal prioriteres baseret på vigtighed og indvirkning på dine slutpunktdata.

mere at vide om Microsoft Defender eksperter for proaktiv jagt på tværs af det fulde omfang af Microsoft Defender XDR, herunder trusler, der strækker sig over mail, samarbejde, identitet, cloudprogrammer og slutpunkter.

Microsoft Defender for Cloud Apps

Hvis du aktiverer denne indstilling, videresendes Defender for Endpoint-signaler for at Microsoft Defender for Cloud Apps for at give en bedre indsigt i brugen af cloudprogrammer. Videresendte data gemmes og behandles på samme placering som dine Defender for Cloud Apps-data.

Bemærk!

Denne funktion er tilgængelig med en E5-licens til Enterprise Mobility + Security på enheder, der kører Windows 10, version 1709 (OS Build 16299.1085 med KB4493441), Windows 10, version 1803 (OS Build 17134.704 med KB4493464), Windows 10, version 1809 (OS Build 17763.379 med KB4489899), nyere Windows 10 versioner eller Windows 11.

Aktivér integration af Microsoft Defender for Endpoint fra Microsoft Defender for Identity-portalen

Hvis du vil modtage kontekstafhængig enhedsintegration i Microsoft Defender for Identity, skal du også aktivere funktionen på Microsoft Defender for Identity-portalen.

  1. Log på Microsoft Defender for Identity-portalen med rollen Global administrator eller Sikkerhedsadministrator.

  2. Vælg Create din forekomst.

  3. Slå indstillingen Integration til Til , og vælg Gem.

Når du har fuldført integrationstrinnene på begge portaler, kan du se relevante beskeder på siden med enhedsoplysninger eller brugeroplysninger.

Filtrering af webindhold

Bloker adgang til websteder, der indeholder uønsket indhold, og spor webaktivitet på tværs af alle domæner. Hvis du vil angive de webindholdskategorier, du vil blokere, skal du oprette en politik for filtrering af webindhold. Sørg for, at du har netværksbeskyttelse i blokeringstilstand, når du installerer Microsoft Defender for Endpoint grundlæggende sikkerhedsindstilling.

Del slutpunktbeskeder med Microsoft Purview-compliance-portal

Videresender sikkerhedsbeskeder for slutpunkter og deres triagestatus til Microsoft Purview-compliance-portal, så du kan forbedre politikker for styring af insiderrisiko med beskeder og afhjælpe interne risici, før de forårsager skade. Videresendte data behandles og gemmes på samme placering som dine Office 365 data.

Når du har konfigureret indikatorerne for overtrædelse af sikkerhedspolitik i indstillingerne for styring af insiderrisiko, deles Defender for Endpoint-beskeder med styring af insiderrisiko for relevante brugere.

Godkendt telemetri

Du kan slå godkendt telemetri til for at forhindre spoofing af telemetri i dit dashboard.

Microsoft Intune forbindelse

Defender for Endpoint kan integreres med Microsoft Intune for at aktivere enhedsrisikobaseret betinget adgang. Når du aktiverer denne funktion, kan du dele Defender for Endpoint-enhedsoplysninger med Intune, hvilket forbedrer håndhævelsen af politikker.

Vigtigt!

Du skal aktivere integrationen på både Intune og Defender for Endpoint for at bruge denne funktion. Du kan finde flere oplysninger om bestemte trin under Konfigurer betinget adgang i Defender for Endpoint.

Denne funktion er kun tilgængelig, hvis du har følgende forudsætninger:

  • En licenseret lejer til Enterprise Mobility + Security E3 og Windows E5 (eller Microsoft 365 Enterprise E5)
  • Et aktivt Microsoft Intune miljø, hvor Intune administrerede Windows-enheder Microsoft Entra tilmeldt.

Politik for betinget adgang

Når du aktiverer Intune integration, opretter Intune automatisk en klassisk ca-politik (Conditional Access). Denne klassiske nøglecenterpolitik er en forudsætning for at konfigurere statusrapporter til Intune. Den bør ikke slettes.

Bemærk!

Den klassiske nøglecenterpolitik, der oprettes af Intune, adskiller sig fra moderne politikker for betinget adgang, som bruges til at konfigurere slutpunkter.

Enhedssøgning

Hjælper dig med at finde ikke-administrerede enheder, der er tilsluttet virksomhedens netværk, uden at der er behov for ekstra apparater eller besværlige procesændringer. Ved hjælp af onboardede enheder kan du finde ikke-administrerede enheder i dit netværk og vurdere sikkerhedsrisici og risici. Du kan finde flere oplysninger under Enhedsregistrering.

Bemærk!

Du kan altid anvende filtre for at udelade ikke-administrerede enheder fra enhedslagerlisten. Du kan også bruge kolonnen med onboardingstatus i API-forespørgsler til at filtrere ikke-administrerede enheder fra.

Visningsfunktioner

Få mere at vide om nye funktioner i prøveversionen af Defender for Endpoint.

Prøv kommende funktioner ved at aktivere prøveversionsoplevelsen. Du har adgang til kommende funktioner, som du kan give feedback på for at hjælpe med at forbedre den overordnede oplevelse, før funktioner bliver offentligt tilgængelige.

Hvis du allerede har aktiveret prøveversionsfunktioner, kan du administrere dine indstillinger fra de primære Defender XDR indstillinger.

Du kan få flere oplysninger under Microsoft Defender XDR prøveversionsfunktioner

Download filer, der er sat i karantæne

Sikkerhedskopiér filer, der er sat i karantæne, på en sikker og kompatibel placering, så de kan downloades direkte fra karantæne. Knappen Download fil vil altid være tilgængelig på filsiden. Denne indstilling er som standard slået til. Få mere at vide om krav

Strømlinet forbindelse under enheds onboarding (prøveversion)

Denne indstilling angiver standard onboardingpakken til "strømlinet" for relevante operativsystemer.

Du vil stadig have mulighed for at bruge standard onboardingpakken på onboardingsiden, men du skal specifikt vælge den på rullelisten.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.