Ret usunde sensorer i Microsoft Defender for Endpoint
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Enheder kan kategoriseres som forkert konfigurerede, eller inaktive er markeret af forskellige årsager. Denne artikel indeholder oplysninger om, hvorfor en enhed kan være kategoriseret som inaktiv eller forkert konfigureret.
Inaktive enheder
En inaktiv enhed er ikke nødvendigvis markeret på grund af et problem. Følgende handlinger, der udføres på en enhed, kan medføre, at en enhed kategoriseres som inaktiv:
- Enheden er ikke i brug
- Enheden blev geninstalleret eller omdøbt
- Enheden var uden for om bord
- Enheden sender ikke signaler
Enheden er ikke i brug
Alle enheder, der ikke er i brug i mere end syv dage, bevarer statussen 'Inactive' på portalen.
Enheden blev geninstalleret eller omdøbt
Der genereres et nyt enhed i Microsoft Defender XDR til geninstallerede eller omdøbte enheder. Den forrige enhed forbliver med statussen 'Inactive' på portalen. Hvis du har geninstalleret en enhed og installeret Defender for Endpoint-pakken, skal du søge efter navnet på den nye enhed for at kontrollere, at enheden rapporterer normalt.
Enheden var uden for om bord
Hvis enheden ikke er om bord, vises den stadig på listen over enheder. Efter syv dage skal enhedens tilstandstilstand ændres til inaktiv.
Enheden sender ikke signaler
Hvis enheden af en eller anden grund ikke sender nogen signaler til nogen Microsoft Defender for Endpoint kanaler i mere end syv dage, kan en enhed betragtes som inaktiv. Forkert konfigurerede enheder kan også betragtes som inaktive.
Forkert konfigurerede enheder
Forkert konfigurerede enheder kan klassificeres yderligere til:
- Nedsat kommunikation
- Ingen sensordata
Nedsat kommunikation
Denne status angiver, at der er begrænset kommunikation mellem enheden og tjenesten.
Følgende foreslåede handlinger kan hjælpe med at løse problemer, der er relateret til en forkert konfigureret enhed med nedsat kommunikation:
Kontrollér, at enheden har forbindelse til internettet. Den Microsoft Defender for Endpoint sensor kræver Microsoft Windows HTTP (WinHTTP) for at rapportere sensordata og kommunikere med Microsoft Defender for Endpoint-tjenesten.
Kontrollér klientforbindelsen til Microsoft Defender for Endpoint tjeneste-URL-adresser. Kontrollér, at proxykonfigurationen er fuldført, at WinHTTP kan finde og kommunikere via proxyserveren i dit miljø, og at proxyserveren tillader trafik til URL-adresserne til Microsoft Defender for Endpoint-tjenesten.
Hvis du har gennemført korrigerende handlinger, og enhedsstatussen stadig er konfigureret forkert, skal du åbne en supportanmodning.
Ingen sensordata
En forkert konfigureret enhed med statussen 'Ingen sensordata' har kommunikation med tjenesten, men kan kun rapportere delvise sensordata.
Følg disse handlinger for at rette kendte problemer, der er relateret til en forkert konfigureret enhed med statussen 'Ingen sensordata':
Kontrollér, at enheden har forbindelse til internettet. Den Microsoft Defender for Endpoint sensor kræver Microsoft Windows HTTP (WinHTTP) for at rapportere sensordata og kommunikere med Microsoft Defender for Endpoint-tjenesten.
Kontrollér klientforbindelsen til Microsoft Defender for Endpoint tjeneste-URL-adresser. Kontrollér, at proxykonfigurationen er fuldført, at WinHTTP kan finde og kommunikere via proxyserveren i dit miljø, og at proxyserveren tillader trafik til URL-adresserne til Microsoft Defender for Endpoint-tjenesten.
Kontrollér, at diagnosticeringsdatatjenesten er aktiveret. Hvis enhederne ikke rapporterer korrekt, skal du kontrollere, at Windows-diagnosticeringsdatatjenesten er indstillet til at starte automatisk. Kontrollér også, at Windows-diagnosticeringsdatatjenesten kører på slutpunktet.
Sørg for, at Microsoft Defender Antivirus ikke er deaktiveret af en politik. Hvis dine enheder kører en tredjeparts antimalwareklient, kræver Defender for Endpoint Agent, at driveren til antimalware (ELAM) Microsoft Defender Antivirus Early Launch er aktiveret.
For macOS-enheder, der slumrer i mere end ca. 48 timer (en weekend), sender Microsoft Defender for Endpoint på macOS stadig kommando- og kontrolkanaldata (CnC), men sender ikke nogen cyberkanaldata. Når enhederne er slået til og bruges den første arbejdsdag, vises enhederne som aktive.
Hvis du har gennemført korrigerende handlinger, og enhedsstatussen stadig er konfigureret forkert, skal du åbne en supportanmodning.
Se også
- Kontrollér sensortilstand i Microsoft Defender for Endpoint
- Oversigt over klientanalyse
- Download og kør klientanalysen
- Kør klientanalysen på Windows
- Kør klientanalysen på macOS eller Linux
- Dataindsamling til avanceret fejlfinding på Windows
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om