Konfigurieren erweiterter Features in Defender für Endpunkt
Gilt für:
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Abhängig von den von Ihnen verwendeten Microsoft-Sicherheitsprodukten stehen Ihnen möglicherweise einige erweiterte Features zur Integration von Defender für Endpunkt zur Verfügung.
Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.
Wählen Sie im Navigationsbereich Einstellungen>Endpunkte>Erweiterte Features aus.
Wählen Sie das erweiterte Feature aus, das Sie konfigurieren möchten, und schalten Sie die Einstellung zwischen Ein und Aus um.
Wählen Sie Voreinstellungen speichern aus.
Verwenden Sie die folgenden erweiterten Features, um besser vor potenziell schädlichen Dateien zu schützen und bei Sicherheitsuntersuchungen bessere Einblicke zu erhalten.
Diese Konfiguration kann für Szenarien verwendet werden, in denen lokale SOC-Vorgänge Warnungskorrelationen nur auf Gerätegruppen beschränken möchten, auf die sie zugreifen können. Durch Aktivieren dieser Einstellung wird ein Incident, der aus Warnungen besteht, dass geräteübergreifende Gruppen nicht mehr als einzelner Incident betrachtet werden. Der lokale SOC kann dann Maßnahmen für den Vorfall ergreifen, da er Zugriff auf eine der beteiligten Gerätegruppen hat. Im globalen SOC werden jedoch mehrere unterschiedliche Incidents nach Gerätegruppe anstelle eines Incidents angezeigt. Es wird nicht empfohlen, diese Einstellung zu aktivieren, es sei denn, dies überwiegt die Vorteile der Incidentkorrelation in der gesamten organization.
Hinweis
Das Ändern dieser Einstellung wirkt sich nur auf zukünftige Warnungskorrelationen aus.
Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.
Endpoint Detection and Response (EDR) im Blockmodus bietet Schutz vor schädlichen Artefakten, auch wenn Microsoft Defender Antivirus im passiven Modus ausgeführt wird. Wenn diese Option aktiviert ist, blockiert EDR im Blockmodus schädliche Artefakte oder Verhaltensweisen, die auf einem Gerät erkannt werden. EDR im Blockmodus arbeitet im Hintergrund, um böswillige Artefakte zu beheben, die nach einer Sicherheitsverletzung erkannt werden.
Aktivieren Sie diese Einstellung, um Warnungen automatisch aufzulösen, bei denen keine Bedrohungen gefunden wurden oder bei denen erkannte Bedrohungen behoben wurden. Wenn Warnungen nicht automatisch aufgelöst werden sollen, müssen Sie das Feature manuell deaktivieren.
Hinweis
- Das Ergebnis der Aktion zum automatischen Auflösen kann die Berechnung der Geräterisikostufe beeinflussen, die auf den aktiven Warnungen basiert, die auf einem Gerät gefunden werden.
- Wenn ein Security Operations Analyst den status einer Warnung manuell auf "In Bearbeitung" oder "Gelöst" festlegt, überschreibt die Funktion für die automatische Auflösung diese nicht.
Die Blockierung ist nur verfügbar, wenn Ihr organization die folgenden Anforderungen erfüllt:
- Verwendet Microsoft Defender Antivirus als aktive Antischadsoftwarelösung und
- Das Feature für den cloudbasierten Schutz ist aktiviert.
Mit diesem Feature können Sie potenziell schädliche Dateien in Ihrem Netzwerk blockieren. Das Blockieren einer Datei verhindert, dass sie auf Geräten in Ihrem organization gelesen, geschrieben oder ausgeführt wird.
So aktivieren Sie Dateien zulassen oder blockieren :
Wählen Sie im Microsoft Defender-Portal im Navigationsbereich Einstellungen>Endpunkte>Allgemein>Erweiterte Features>Zulassen oder Blockieren von Dateien aus.
Schalten Sie die Einstellung zwischen Ein und Aus um.
Wählen Sie unten auf der Seite Einstellungen speichern aus.
Nachdem Sie dieses Feature aktiviert haben, können Sie Dateien über die Registerkarte Indikator hinzufügen auf der Profilseite einer Datei blockieren.
Indem Sie dieses Feature aktivieren, können Sie sicherstellen, dass Die genauesten Informationen zu Ihren Geräten angezeigt werden, indem Sie potenzielle doppelte Gerätedatensätze ausblenden. Es gibt verschiedene Gründe, warum doppelte Gerätedatensätze auftreten können, z. B. die Geräteermittlungsfunktion in Microsoft Defender for Endpoint kann Ihr Netzwerk scannen und ein Gerät ermitteln, das bereits integriert oder kürzlich offboardet wurde.
Dieses Feature identifiziert potenzielle doppelte Geräte basierend auf ihrem Hostnamen und der Zuletzt gesehenen Zeit. Die doppelten Geräte werden in mehreren Funktionen im Portal ausgeblendet, z. B. dem Gerätebestand, Microsoft Defender Vulnerability Management Seiten und öffentlichen APIs für Computerdaten, sodass der genaueste Gerätedatensatz angezeigt wird. Die Duplikate sind jedoch weiterhin auf den Seiten globale Suche, erweiterte Suche, Warnungen und Incidents sichtbar.
Diese Einstellung ist standardmäßig aktiviert und wird mandantenweit angewendet. Wenn Sie potenzielle doppelte Gerätedatensätze nicht ausblenden möchten, müssen Sie das Feature manuell deaktivieren.
Wenn Sie dieses Feature aktivieren, können Sie Indikatoren für IP-Adressen, Domänen oder URLs erstellen, die basierend auf Ihrer benutzerdefinierten Indikatorliste bestimmen, ob sie zugelassen oder blockiert werden.
Um dieses Feature verwenden zu können, müssen Geräte Windows 10 Version 1709 oder höher oder Windows 11 ausgeführt werden. Sie sollten auch über Netzwerkschutz im Blockmodus und Version 4.18.1906.3 oder höher der Antischadsoftwareplattform verfügen, siehe KB-4052623.
Weitere Informationen finden Sie unter Übersicht über Indikatoren.
Hinweis
Netzwerkschutz nutzt Reputationsdienste, die Anforderungen an Speicherorten verarbeiten, die sich außerhalb des Speicherorts befinden, den Sie für Ihre Defender für Endpunkt-Daten ausgewählt haben.
Bei einigen Arten von Cyberangriffen versuchen bösartig handelnde Akteure, Sicherheitsfeatures wie den Antivirenschutz auf Ihren Computern zu deaktivieren. Bösgläubige Akteure möchten Ihre Sicherheitsfeatures deaktivieren, um leichteren Zugriff auf Ihre Daten zu erhalten, Schadsoftware zu installieren oder Ihre Daten, Identitäten und Geräte anderweitig auszunutzen. Der Manipulationsschutz sperrt im Wesentlichen Microsoft Defender Antivirus und verhindert, dass Ihre Sicherheitseinstellungen über Apps und Methoden geändert werden.
Weitere Informationen, einschließlich der Konfiguration des Manipulationsschutzes, finden Sie unter Schützen von Sicherheitseinstellungen mit Manipulationsschutz.
Aktivieren Sie dieses Feature, damit Sie in Microsoft Entra ID gespeicherte Benutzerdetails sehen können. Details umfassen das Bild, den Namen, den Titel und die Abteilungsinformationen eines Benutzers bei der Untersuchung von Benutzerkontoentitäten. Informationen zu Benutzerkonten finden Sie in den folgenden Ansichten:
- Warnungswarteschlange
- Seite "Gerätedetails"
Weitere Informationen finden Sie unter Untersuchen eines Benutzerkontos.
Wenn Sie die Skype for Business-Integration aktivieren, haben Sie die Möglichkeit, mit Benutzern über Skype for Business, E-Mail oder Telefon zu kommunizieren. Diese Aktivierung kann praktisch sein, wenn Sie mit dem Benutzer kommunizieren und Risiken minimieren müssen.
Hinweis
Wenn ein Gerät vom Netzwerk isoliert wird, gibt es ein Popupfenster, in dem Sie die Outlook- und Skype-Kommunikation aktivieren können, die die Kommunikation mit dem Benutzer ermöglicht, während er vom Netzwerk getrennt ist. Diese Einstellung gilt für die Skype- und Outlook-Kommunikation, wenn sich Geräte im Isolationsmodus befinden.
Wenn Sie diese Einstellung aktivieren, leitet Defender für Endpunkt Signale an Microsoft Defender for Cloud Apps weiter, um einen tieferen Einblick in die Nutzung von Cloudanwendungen zu erhalten. Weitergeleitete Daten werden am selben Speicherort wie Ihre Defender for Cloud Apps Daten gespeichert und verarbeitet.
Hinweis
Dieses Feature ist mit einer E5-Lizenz für Enterprise Mobility + Security auf Geräten verfügbar, auf denen Windows 10, Version 1709 (BS-Build 16299.1085 mit KB4493441), Windows 10, Version 1803 (BS-Build 17134.704 mit KB4493464), Windows 10, Version 1809 (BS-Build 17763.379 mit KB4489899), höhere Windows 10 Versionen oder Windows 11.
Blockieren Sie den Zugriff auf Websites, die unerwünschte Inhalte enthalten, und verfolgen Sie Webaktivitäten domänenübergreifend nach. Um die Webinhaltskategorien anzugeben, die Sie blockieren möchten, erstellen Sie eine Richtlinie zum Filtern von Webinhalten. Stellen Sie sicher, dass Sie über Netzwerkschutz im Blockmodus verfügen, wenn Sie die Microsoft Defender for Endpoint Sicherheitsbaseline bereitstellen.
Mit der Suche in Microsoft Purview kann Ihr Sicherheits- und Complianceteam wichtige Überwachungsprotokollereignisdaten anzeigen, um Einblicke zu erhalten und Benutzeraktivitäten zu untersuchen. Wenn eine überwachte Aktivität von einem Benutzer oder Administrator ausgeführt wird, wird ein Überwachungsdatensatz generiert und im Microsoft 365-Überwachungsprotokoll für Ihre organization gespeichert. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.
Hilft Ihnen, nicht verwaltete Geräte zu finden, die mit Ihrem Unternehmensnetzwerk verbunden sind, ohne dass zusätzliche Appliances oder umständliche Prozessänderungen erforderlich sind. Mithilfe von integrierten Geräten können Sie nicht verwaltete Geräte in Ihrem Netzwerk finden und Sicherheitsrisiken und Risiken bewerten. Weitere Informationen finden Sie unter Geräteermittlung.
Hinweis
Sie können immer Filter anwenden, um nicht verwaltete Geräte aus der Geräteübersichtsliste auszuschließen. Sie können auch die Spalte "Onboardingstatus" für API-Abfragen verwenden, um nicht verwaltete Geräte herauszufiltern.
Sichern Sie unter Quarantäne gestellte Dateien an einem sicheren und konformen Speicherort, damit sie direkt aus der Quarantäne heruntergeladen werden können. Die Schaltfläche Datei herunterladen ist immer auf der Dateiseite verfügbar. Diese Einstellung ist standardmäßig aktiviert. Weitere Informationen zu Anforderungen
Beim Onboarding von Geräten im Defender-Portal wird standardmäßig eine optimierte Konnektivität verwendet.
Mit dieser Einstellung wird das Standard-Onboardingpaket auf optimierte Konnektivität für anwendbare Betriebssysteme festgelegt. Sie haben weiterhin die Möglichkeit, das Standard-Onboardingpaket auf der Onboardingseite zu verwenden, müssen es jedoch in der Dropdownliste ausdrücklich auswählen.
Aktivieren Sie dieses Feature, damit Benutzer mit den entsprechenden Berechtigungen eine Liveantwortsitzung auf Geräten starten können.
Weitere Informationen zu Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Rollen.
Aktivieren Sie dieses Feature, damit Benutzer mit den entsprechenden Berechtigungen eine Liveantwortsitzung auf Servern starten können.
Weitere Informationen zu Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Rollen.
Wenn Sie dieses Feature aktivieren, können Sie nicht signierte Skripts in einer Liveantwortsitzung ausführen.
Täuschung ermöglicht es Ihrem Sicherheitsteam, Köder und Decoys zu verwalten und bereitzustellen, um Angreifer in Ihrer Umgebung zu fangen. Nachdem Sie dies aktiviert haben, wechseln Sie zu Regeln > Täuschungsregeln, um Täuschungskampagnen auszuführen. Weitere Informationen finden Sie unter Verwalten der Täuschungsfunktion in Microsoft Defender XDR.
Leitet Endpunktsicherheitswarnungen und deren status an Microsoft Purview-Complianceportal weiter, sodass Sie Insider-Risikomanagementrichtlinien mit Warnungen verbessern und interne Risiken beseitigen können, bevor sie Schaden verursachen. Weitergeleitete Daten werden am selben Speicherort wie Ihre Office 365 Daten verarbeitet und gespeichert.
Nach dem Konfigurieren der Indikatoren für Sicherheitsrichtlinienverletzungen in den Einstellungen für das Insider-Risikomanagement werden Defender für Endpunkt-Warnungen für das Insider-Risikomanagement für die entsprechenden Benutzer freigegeben.
Defender für Endpunkt kann in Microsoft Intune integriert werden, um den risikobasierten bedingten Zugriff auf Geräte zu ermöglichen. Wenn Sie dieses Feature aktivieren, können Sie Defender für Endpunkt-Geräteinformationen für Intune freigeben und so die Richtlinienerzwingung verbessern.
Wichtig
Sie müssen die Integration sowohl für Intune als auch für Defender für Endpunkt aktivieren, um dieses Feature verwenden zu können. Weitere Informationen zu bestimmten Schritten finden Sie unter Konfigurieren des bedingten Zugriffs in Defender für Endpunkt.
Dieses Feature ist nur verfügbar, wenn die folgenden Voraussetzungen erfüllt sind:
- Ein lizenzierter Mandant für Enterprise Mobility + Security E3 und Windows E5 (oder Microsoft 365 Enterprise E5)
- Eine aktive Microsoft Intune Umgebung, in der Intune verwaltete Windows-Geräte eingebunden Microsoft Entra.
Sie können authentifizierte Telemetrie aktivieren, um zu verhindern, dass Telemetriedaten in Ihre Dashboard spooft werden.
Erfahren Sie mehr über neue Features in der Vorschauversion von Defender für Endpunkt.
Testen Sie bevorstehende Features, indem Sie die Vorschau aktivieren. Sie haben Zugriff auf bevorstehende Features, zu denen Sie Feedback geben können, um die Gesamterfahrung zu verbessern, bevor Features allgemein verfügbar sind.
Wenn Sie bereits Vorschaufeatures aktiviert haben, verwalten Sie Ihre Einstellungen über die Standard Defender XDR Einstellungen.
Weitere Informationen finden Sie unter Microsoft Defender XDR Vorschaufeatures.
Mit Benachrichtigungen über Endpunktangriffe kann Microsoft aktiv nach kritischen Bedrohungen suchen, die basierend auf der Dringlichkeit und den Auswirkungen auf Ihre Endpunktdaten priorisiert werden.
Erfahren Sie mehr über Microsoft Defender Experts für eine proaktive Suche im gesamten Bereich der Microsoft Defender XDR, einschließlich Bedrohungen, die E-Mail, Zusammenarbeit, Identität, Cloudanwendungen und Endpunkte umfassen.
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.