Integration von Microsoft Defender für Endpunkt Antivirus und Intune
Gilt für:
- Microsoft Defender XDR
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender für Endpunkt Plan 1
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Plattformen
- Windows
- macOS
- Android
Im Microsoft Defender-Portal können Sie Bedrohungserkennungen mit den folgenden Schritten anzeigen und verwalten:
Besuchen Sie das Microsoft XDR-Portal , und melden Sie sich an.
Auf der Startseite sehen Sie die Karte Geräte mit aktiver Schadsoftware mit den folgenden Informationen:
- Anzeigetext: Gilt für von Intune verwaltete Geräte. Geräte mit mehreren Schadsoftwareerkennungen können mehrmals gezählt werden.
- Datum und Uhrzeit der letzten Aktualisierung.
- Eine Leiste mit den abschnitten Aktiv und Schadsoftware gemäß Ihrer Überprüfung.
Sie können Details anzeigen auswählen, um weitere Informationen zu erhalten.
Nach der Korrektur wird der folgende Text angezeigt:
Schadsoftware, die auf Ihren Geräten gefunden wurde, wurde erfolgreich behoben.
Verwalten von Bedrohungserkennungen in Microsoft Intune
Sie können Bedrohungserkennungen für alle Geräte verwalten, die bei Microsoft Intune registriert sind, indem Sie die folgenden Schritte ausführen:
Wechseln Sie zum Microsoft Intune Admin Center unter intune.microsoft.com , und melden Sie sich an.
Wählen Sie im Navigationsbereich Endpunktsicherheit aus.
Wählen Sie unter Verwalten die Option Antivirus aus. Es werden Registerkarten für Zusammenfassung, fehlerhafte Endpunkte und Aktive Schadsoftware angezeigt.
Überprüfen Sie die Informationen auf den verfügbaren Registerkarten, und ergreifen Sie dann nach Bedarf Maßnahmen.
Wenn Sie beispielsweise ein Gerät auswählen können, das auf der Registerkarte Aktive Schadsoftware aufgeführt ist, können Sie eine Aktion aus der Liste der bereitgestellten Aktionen auswählen:
- Neustart
- Schneller Scan
- Vollständiger Scan
- Synchronisieren
- Aktualisieren von Signaturen
Häufig gestellte Fragen
Warum scheint das letzte Update heute im Microsoft XDR-Portal > Geräte mit aktiver Schadsoftwaregeräte > mit Schadsoftwareerkennungen zu erfolgen?
Um festzustellen, wann die Schadsoftware erkannt wurde, können Sie die folgenden Schritte ausführen:
Da dies eine Integration in Intune ist, besuchen Sie das Intune-Portal , wählen Sie Antivirus und dann die Registerkarte Aktive Schadsoftware aus.
Klicken Sie auf Exportieren.
Navigieren Sie auf Ihrem Gerät zu Downloads, und extrahieren Sie die
Active malware_YYYY_MM_DD_THH_MM_SS.0123Z.csv.zip
Datei.Öffnen Sie die CSV-Datei, und suchen Sie die Spalte LastStateChangeDateTime , um zu sehen, wann Schadsoftware erkannt wurde.
Im Bericht geräte mit Schadsoftwareerkennungen kann ich keine Informationen darüber sehen, welche Schadsoftware auf dem Gerät erkannt wurde.
Um den Namen der Schadsoftware anzuzeigen, besuchen Sie das Intune-Portal , da dies eine Integration in Intune ist, wählen Sie Antivirus und dann die Registerkarte Aktive Schadsoftware aus. Daraufhin wird eine Spalte namens Malwarename angezeigt.
Im Bericht "Geräte mit aktiver Schadsoftware" wird eine andere Anzahl für aktive Schadsoftware angezeigt, im Vergleich zu den Zahlen, die ich mit "Berichte > erkannte Schadsoftware" und "Intune > Antivirus > Active malware" sehe.
Der Bericht Geräte mit aktiver Schadsoftware basiert auf den Geräten, die innerhalb der letzten 1 Tage (24 Stunden) aktiv waren und in den letzten 15 Tagen Schadsoftware erkannt wurden.
Verwenden Sie die folgende Abfrage für die erweiterte Suche:
DeviceInfo
| where Timestamp > startofday(datetime(2024-01-29 00:00:00))
| where OnboardingStatus == "Onboarded"
| where SensorHealthState == "Active"
| distinct DeviceId, DeviceName
| join kind=innerunique (
AlertEvidence
| where Timestamp > ago(15d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus")
on DeviceName
| distinct DeviceName, DeviceId, Title, AlertId, Timestamp
Ich habe den Computernamen in der oberen Suchleiste durchsucht und zwei Geräte mit demselben Namen erhalten. Ich weiß nicht, auf welches dieser beiden Geräte sich der Bericht bezieht?
Verwenden Sie die hier erwähnte Abfrage für die erweiterte Suche, um Details wie die eindeutige DeviceID, Title, AlertID und den Wartungsvorgang zu erhalten. Arbeiten Sie nach der Identifizierung mit dem Ihres IT-Administrators zusammen, um sicherzustellen, dass die Geräte eindeutig benannt sind. Wenn ein Gerät außer Betrieb genommen wird, verwenden Sie Tags, um es außer Betrieb zu setzen.
Die Erkennung von Schadsoftware wird in Intune und im Bericht Geräte mit aktiver Schadsoftware angezeigt, aber sie wird nicht in der MDE-Warnungswarteschlange oder in der Incidents-Warteschlange angezeigt.
Es kann sein, dass der Cloudschutz der URL derzeit nicht über Ihre Firewall oder Ihren Proxy zugelassen wird.
Sie müssen sicherstellen, dass die Berichterstellung ok ist, wenn Sie auf Ihrem Gerät ausführen %ProgramFiles%\Windows Defender\MpCmdRun.exe -ValidateMapsConnection
.
Ich sehe ein Gerät, das seit mehr als 180 Tagen inaktiv ist, aber immer noch im Bericht für "Geräte mit aktiver Schadsoftware" angezeigt wird. Das Gerät wird nicht in der "Geräteinventur" angezeigt, kann nicht aktiviert und nicht von Microsoft Defender für Endpunkt offboardet werden.
Das Gerät wurde nicht aus Intune eingestellt .