Share via


Microsoft Defender for Endpoint Antivirus- und Intune-Integration

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Plattformen

  • Windows
  • macOS
  • Android

Im Microsoft Defender-Portal können Sie Bedrohungserkennungen mit den folgenden Schritten anzeigen und verwalten:

  1. Besuchen Sie das Microsoft XDR-Portal , und melden Sie sich an.

    Auf der Startseite sehen Sie die Karte Geräte mit aktiver Schadsoftware mit den folgenden Informationen:

    • Anzeigetext: Gilt für Intune verwaltete Geräte. Geräte mit mehreren Schadsoftwareerkennungen können mehrmals gezählt werden.
    • Datum und Uhrzeit der letzten Aktualisierung.
    • Eine Leiste mit den abschnitten Aktiv und Schadsoftware gemäß Ihrer Überprüfung.

    Sie können Details anzeigen auswählen, um weitere Informationen zu erhalten.

  2. Nach der Korrektur wird der folgende Text angezeigt:

    Schadsoftware, die auf Ihren Geräten gefunden wurde, wurde erfolgreich behoben.

Verwalten von Bedrohungserkennungen in Microsoft Intune

Sie können Bedrohungserkennungen für geräte verwalten, die bei Microsoft Intune registriert sind, indem Sie die folgenden Schritte ausführen:

  1. Wechseln Sie zum Microsoft Intune Admin Center unter intune.microsoft.com, und melden Sie sich an.

  2. Wählen Sie im Navigationsbereich Endpunktsicherheit aus.

  3. Wählen Sie unter Verwalten die Option Antivirus aus. Es werden Registerkarten für Zusammenfassung, fehlerhafte Endpunkte und Aktive Schadsoftware angezeigt.

  4. Überprüfen Sie die Informationen auf den verfügbaren Registerkarten, und ergreifen Sie dann nach Bedarf Maßnahmen.

    Wenn Sie beispielsweise ein Gerät auswählen können, das auf der Registerkarte Aktive Schadsoftware aufgeführt ist, können Sie eine Aktion aus der Liste der bereitgestellten Aktionen auswählen:

    • Neustart
    • Schneller Scan
    • Vollständiger Scan
    • Synchronisieren
    • Aktualisieren von Signaturen

Häufig gestellte Fragen

Warum scheint das letzte Update heute im Microsoft XDR-Portal > Geräte mit aktiver Schadsoftwaregeräte > mit Schadsoftwareerkennungen zu erfolgen?

Um festzustellen, wann die Schadsoftware erkannt wurde, können Sie wie folgt vorgehen:

  1. Da dies eine Integration mit Intune ist, besuchen Sie Intune Portal, wählen Sie Antivirus und dann die Registerkarte Aktive Schadsoftware aus.
  2. Klicken Sie auf Exportieren.
  3. Navigieren Sie auf Ihrem Gerät zu Downloads, und extrahieren Sie die aktive malware_YYYY_MM_DD_THH_MM_SS.0123Z.csv.zip.
  4. Öffnen Sie die CSV-Datei, und suchen Sie die Spalte LastStateChangeDateTime , um zu sehen, wann Schadsoftware erkannt wurde.

Im Bericht geräte mit Schadsoftwareerkennungen kann ich keine Informationen darüber sehen, welche Schadsoftware auf dem Gerät erkannt wurde.

Um den Namen der Schadsoftware anzuzeigen, besuchen Sie das Intune-Portal, da dies eine Integration mit Intune ist, wählen Sie Antivirus aus, und wählen Sie die Registerkarte Aktive Schadsoftware aus. Daraufhin wird eine Spalte namens Name der Schadsoftware angezeigt.

Ich sehe eine andere Anzahl für aktive Schadsoftware im Bericht Geräte mit aktiver Schadsoftware, im Vergleich zu Zahlen, die ich mit "Berichte > erkannte Schadsoftware" und Intune > Antivirus > Active Malware sehe.

Der Bericht Geräte mit aktiver Schadsoftware basiert auf den Geräten, die innerhalb der letzten 1 Tage (24 Stunden) aktiv waren und in den letzten 15 Tagen Schadsoftware erkannt wurden.

Verwenden Sie die folgende Abfrage für die erweiterte Suche:

DeviceInfo
| where Timestamp > startofday(datetime(2024-01-29 00:00:00))
| where OnboardingStatus == "Onboarded"
| where SensorHealthState == "Active"
| distinct DeviceId, DeviceName
| join kind=innerunique (
AlertEvidence
| where Timestamp > ago(15d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus"
DeviceName
| distinct DeviceName, DeviceId, Title, AlertId, Timestamp

Ich habe den Computernamen in der oberen Suchleiste durchsucht und zwei Geräte mit demselben Namen erhalten. Ich weiß nicht, auf welches dieser beiden Geräte sich der Bericht bezieht?

Verwenden Sie die hier erwähnte Abfrage für die erweiterte Suche, um Details wie die eindeutige DeviceID, Title, AlertID und den Wartungsvorgang zu erhalten. Arbeiten Sie nach der Identifizierung mit dem Ihres IT-Administrators zusammen, um sicherzustellen, dass die Geräte eindeutig benannt sind. Wenn ein Gerät außer Betrieb genommen wird, verwenden Sie Tags, um es außer Betrieb zu setzen.

Ich sehe die Schadsoftwareerkennung in Intune und im Bericht Geräte mit aktiver Schadsoftware, aber ich sehe sie nicht in der MDE Warnungswarteschlange oder in der Incidents-Warteschlange.

Es kann sein, dass der Cloudschutz der URL derzeit nicht über Ihre Firewall oder Ihren Proxy zugelassen wird.

Sie müssen sicherstellen, dass die Berichterstellung ok ist, wenn Sie auf Ihrem Gerät ausführen %ProgramFiles%\Windows Defender\MpCmdRun.exe -ValidateMapsConnection .