Lisäominaisuuksien määrittäminen Defender for Endpointissa

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Käyttämistäsi Microsoftin suojaustuotteista riippuen voit integroida Defender for Endpointin joidenkin lisäominaisuuksien avulla.

Kehittyneiden ominaisuuksien ottaminen käyttöön

1. Siirry Microsoft Defender -portaaliin ja kirjaudu sisään.

2. Valitse siirtymisruudussa Asetukset>PäätepisteetLisäominaisuudet>.

3. Valitse lisäominaisuus, jonka haluat määrittää, ja vaihda asetuksen tilaksi Käytössä ja Ei käytössä.

4. Valitse Tallenna asetukset.

Seuraavien kehittyneiden ominaisuuksien avulla voit suojautua paremmin mahdollisesti haitallisilta tiedostoilta ja saada entistä parempia tietoja suojaustutkimusten aikana.

Rajoita korrelaatio vaikutusalueen sisältämään laiteryhmään

Tätä määritystä voidaan käyttää tilanteissa, joissa paikalliset SOC-toiminnot haluavat rajoittaa ilmoitusten korrelaatiot vain laiteryhmiin, joita he voivat käyttää. Ottamalla tämän asetuksen käyttöön tapaus, joka koostuu ilmoituksista, jotka ovat laitteidenvälisille ryhmille, ei enää pidetä yksittäisenä tapauksena. Paikallinen SOC voi sitten ryhtyä toimiin tapahtuman johdosta, koska heillä on pääsy johonkin mukana olleista laiteryhmistä. Maailmanlaajuinen SOC näkee kuitenkin useita eri tapauksia laiteryhmän mukaan yhden tapauksen sijaan. Emme suosittele tämän asetuksen käyttöönotusta, ellei se ole suurempi kuin tapausten korrelaation edut koko organisaatiossa.

Huomautus

• Tämän asetuksen muuttaminen vaikuttaa vain tuleviin ilmoitusten korrelaatioihin.

• Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.

Ota EDR käyttöön lohkotilassa

Päätepisteen tunnistaminen ja vastaus (EDR) estotilassa suojaa haitallisilta artefakteilta, vaikka Microsoft Defenderin virustentorjunta suoritettiin passiivitilassa. Kun EDR on käytössä lohkotilassa, se estää haitallisia artefakteja tai toimintoja, jotka tunnistetaan laitteessa. Estotilassa oleva EDR toimii taustalla, jotta voidaan korjata haitallisia artefakteja, jotka havaitaan murron jälkeen.

Ratkaise hälytykset automaattisesti

Ota tämä asetus käyttöön, jos haluat ratkaista automaattisesti hälytykset, joissa ei löytynyt uhkia tai joissa havaitut uhat on korjattu. Jos et halua, että ilmoitukset ratkaistaan automaattisesti, sinun on poistettava ominaisuus käytöstä manuaalisesti.

Huomautus

• Automaattisen ratkaisutoiminnon tulos voi vaikuttaa Laitteen riskitason laskentaan, joka perustuu laitteesta löyty oleviin aktiivisiin hälytyksiin.
• Jos suojaustoimintojen analyytikko määrittää manuaalisesti hälytyksen tilaksi "Keskeneräinen" tai "Ratkaistu", automaattisen ratkaisun toiminto ei korvaa sitä.

Salli tai estä tiedosto

Estäminen on käytettävissä vain, jos organisaatiosi täyttää seuraavat vaatimukset:

• Käyttää Microsoft Defenderin virustentorjuntaa aktiivisena haittaohjelmien torjuntaratkaisuna, ja
• Pilvipohjainen suojausominaisuus on käytössä

Tämän ominaisuuden avulla voit estää mahdollisesti haitallisia tiedostoja verkossasi. Tiedoston estäminen estää sen lukemisen, kirjoittamisen tai suorittamisen organisaation laitteissa.

Salli tai estä tiedostot -asetuksen ottaminen käyttöön:

1. Valitse Microsoft Defender -portaalin siirtymisruudussa Asetukset>PäätepisteetYleiset>lisäominaisuudet>>Salli tai estä tiedosto.

2. Vaihda asetuksen tilaksi Käytössä ja Ei käytössä.

   

3. Valitse sivun alareunasta Tallenna asetukset .

Kun tämä ominaisuus on otettu käyttöön, voit estää tiedostot tiedoston profiilisivun Lisää ilmaisin -välilehdessä.

Piilota mahdolliset laitetietueiden kaksoiskappaleet

Ottamalla tämän ominaisuuden käyttöön voit varmistaa, että näet laitteistasi tarkimmat tiedot piilottamalla mahdolliset laitetietueiden kaksoiskappaleet. Laitetietueiden kaksoiskappaleita voi ilmetä eri syistä. Esimerkiksi Laitteen etsintätoiminto Microsoft Defender for Endpointissa saattaa skannata verkkosi ja löytää laitteen, joka on jo otettu käyttöön tai joka on äskettäin poistettu käytöstä.

Tämä ominaisuus tunnistaa mahdolliset päällekkäiset laitteet niiden isäntänimen ja viimeisimmän tarkasteluajan perusteella. Päällekkäiset laitteet piilotetaan useista portaalin käyttökokemuksista, kuten laitevarastosta, Microsoft Defenderin haavoittuvuuden hallintasivuista ja konetietojen julkisista ohjelmointirajapinnoista, jolloin tarkin laitetietue jää näkyviin. Kaksoiskappaleet näkyvät kuitenkin edelleen maailmanlaajuisella etsinnällä, kehittyneellä metsästyksellä, hälytyksillä ja välikohtaussivuilla.

Tämä asetus on oletusarvoisesti käytössä, ja sitä käytetään koko vuokraajassa. Jos et halua piilottaa mahdollisia tietueiden kaksoiskappaleita, sinun on poistettava ominaisuus käytöstä manuaalisesti.

Mukautetut verkkoilmaisimet

Kun otat tämän ominaisuuden käyttöön, voit luoda IP-osoitteille, toimialueille tai URL-osoitteille ilmaisimia, jotka määrittävät, sallitaanko ne vai estetäänkö ne mukautetun ilmaisinluettelon perusteella.

Tämän ominaisuuden käyttäminen edellyttää, että laitteissa on käytössä Windows 10:n versio 1709 tai uudempi versio tai Windows 11. Heillä tulisi myös olla verkkosuojaus estotilassa ja haittaohjelmien torjuntaympäristön versio 4.18.1906.3 tai uudempi versio katso KB 4052623.

Lisätietoja on kohdassa Ilmaisimien hallinta.

Huomautus

Verkon suojaus hyödyntää mainepalveluita, jotka käsittelevät pyyntöjä sijainneissa, jotka saattavat olla Defender for Endpoint -tiedoille valitsemasi sijainnin ulkopuolella.

Peukaloinnin suojaus

Jonkinlaisen kyberhyökkäyksen aikana huonot toimijat yrittävät poistaa suojausominaisuuksia, kuten virustentorjuntaa, käytöstä koneissasi. Huonot toimijat haluavat poistaa suojausominaisuudet käytöstä, jotta tietojasi voidaan käyttää helpommin, haittaohjelmia voidaan asentaa tai tietoja, käyttäjätietoja ja laitteita voidaan muuten hyödyntää. Peukaloinnin suojaus lukitsee Microsoft Defenderin virustentorjunnan ja estää suojausasetusten muuttamisen sovellusten ja menetelmien avulla.

Lisätietoja, kuten peukaloinnin suojauksen määrittäminen, on artikkelissa Suojausasetusten suojaaminen peukaloinnin suojauksella.

Näytä käyttäjätiedot

Ota tämä ominaisuus käyttöön, jotta näet Microsoft Entra -tunnukseen tallennetut käyttäjätiedot. Tiedot sisältävät käyttäjän kuvan, nimen, otsikon ja osaston tiedot, kun tutkitaan käyttäjätilin entiteettejä. Käyttäjätilin tiedot ovat seuraavissa näkymissä:

• Ilmoitusjono
• Laitteen tietosivu

Lisätietoja on artikkelissa Käyttäjätilin tutkiminen.

Skype for Business -integrointi

Kun otat Skype for Business -integroinnin käyttöön, voit viestiä käyttäjien kanssa Skype for Businessin, sähköpostin tai puhelimen avulla. Tämä aktivointi voi olla kätevä, kun sinun on viestittävä käyttäjän kanssa ja vähennettävä riskejä.

Huomautus

Kun laite eristetään verkosta, näkyviin tulee ponnahdusikkuna, jossa voit ottaa käyttöön Outlookin ja Skypen viestinnän, joka mahdollistaa yhteyden käyttäjälle, kun yhteys verkkoon on katkaistu. Tämä asetus koskee Skype- ja Outlook-tietoliikennettä, kun laitteet ovat eristystilassa.

Microsoft Defender for Cloud Apps

Kun tämä asetus otetaan käyttöön, Defender for Endpoint -signaalit lähetetään Microsoft Defender for Cloud Appsiin, jotta pilvisovellusten käyttöön saadaan syvempi näkyvyys. Edelleenlävitetyt tiedot tallennetaan ja käsitellään samassa sijainnissa kuin Defender for Cloud Apps -tiedot.

Huomautus

Tämä ominaisuus on saatavilla E5-käyttöoikeudella Enterprise Mobility + Security -laitteissa, joissa on Windows 10, versio 1709 (käyttöjärjestelmän koontiversio 16299.1085 ja KB4493441), Windows 10, versio 1803 (käyttöjärjestelmän koontiversio 17134.704 ja KB4493464), Windows 10, versio 1809 (os build 17763.379 ja KB4489899), uudemmat Windows 10 -versiot tai Windows 11.

Verkkosisällön suodatus

Estä ei-toivottua sisältöä sisältävien sivustojen käyttö ja seuraa kaikkien toimialueiden verkkotoimintaa. Jos haluat määrittää verkkosisältöluokat, jotka haluat estää, luo verkkosisällön suodatuskäytäntö. Varmista, että verkkosi on estetty-tilassa, kun otat käyttöön Microsoft Defender for Endpoint -suojauksen perusaikataulun.

Yhdistetty valvontaloki

Microsoft Purview -haun avulla tietoturva- ja yhteensopivuustiimisi voi tarkastella kriittisiä valvontalokin tapahtumatietoja saadakseen merkityksellisiä tietoja ja tutkiakseen käyttäjien toimia. Aina, kun käyttäjä tai järjestelmänvalvoja suorittaa valvotun toiminnon, valvontatietue luodaan ja tallennetaan organisaatiosi Microsoft 365 -valvontalokiin. Lisätietoja on valvontalokin hakeminen -kohdassa.

Laitteiden etsintä

Auttaa löytämään hallitsemattomia laitteita, jotka on yhdistetty yrityksen verkkoon ilman ylimääräisiä laitteita tai hankalia prosessimuutoksia. Käyttämällä perehdyttämättömiä laitteita löydät verkostasi hallitsemattomia laitteita ja voit arvioida haavoittuvuuksia ja riskejä. Lisätietoja on kohdassa Laitteiden etsiminen.

Huomautus

Voit aina käyttää suodattimia jättääksesi hallitsemattomat laitteet pois laitteen varastoluettelosta. Voit myös käyttää API-kyselyiden perehdyttämisen tilasaraketta hallitsemattomien laitteiden suodattamiseen pois.

Lataa karanteeniin asetettuja tiedostoja

Varmuuskopioi karanteeniin asetetut tiedostot turvalliseen ja yhteensopivaan sijaintiin, jotta ne voidaan ladata suoraan karanteenista. Lataa tiedosto -painike on aina käytettävissä tiedostosivulla. Tämä asetus on oletusarvoisesti käytössä. Lisätietoja vaatimuksista

Oletusarvoisesti virtaviivaistettu yhteys, kun laitteita asennetaan Defender-portaalissa

Tämä asetus määrittää oletuskäyttöpakettiin virtaviivaistetun liitettävyyden soveltuville käyttöjärjestelmille. Voit edelleen käyttää tavallista perehdytyspakettia perehdytyssivulla, mutta sinun on valittava se erityisesti avattavasta valikosta.

Reaaliaikainen vastaus

Ota tämä ominaisuus käyttöön, jotta käyttäjät, joilla on tarvittavat käyttöoikeudet, voivat aloittaa reaaliaikaisen vastausistunnon laitteissa.

Saat lisätietoja roolimäärityksiä koskevista ohjeartikkelista Roolien luominen ja hallinta.

Reaaliaikainen vastaus palvelimille

Ota tämä ominaisuus käyttöön, jotta käyttäjät, joilla on tarvittavat käyttöoikeudet, voivat aloittaa reaaliaikaisen vastausistunnon palvelimilla.

Saat lisätietoja roolimäärityksiä koskevista ohjeartikkelista Roolien luominen ja hallinta.

Reaaliaikaisen vastauksen allekirjoittamaton komentosarjan suorittaminen

Kun otat tämän ominaisuuden käyttöön, voit suorittaa allekirjoittamattomia komentosarjoja reaaliaikaisessa vastausistunnossa.

Petos

Petoksen avulla tietoturvatiimisi voi hallita ja ottaa käyttöön vieheitä ja decoy-koodeja, jotta hyökkääjät saadaan kiinni ympäristössäsi. Kun otat tämän käyttöön, suorita petoskampanjat sääntöjen > petossäännöissä. Katso Microsoft Defender XDR:n petosominaisuuden hallinta.

Jaa päätepisteilmoitukset Microsoftin yhteensopivuuskeskuksen avulla

Välittää päätepisteiden suojausilmoitukset ja niiden triage-tilan Microsoft Purview -yhteensopivuusportaaliin, jolloin voit parantaa insider-riskinhallintakäytäntöjä hälytyksillä ja korjata sisäisiä riskejä ennen niiden aiheuttamaa haittaa. Välitetyt tiedot käsitellään ja tallennetaan samaan sijaintiin kuin Office 365 -tietosi.

Kun suojauskäytännön virheilmaisimet on määritetty Insider-riskinhallinta-asetuksissa, Defender for Endpoint -hälytykset jaetaan insider-riskinhallintaan soveltuville käyttäjille.

Microsoft Intune -yhteys

Defender for Endpoint voidaan integroida Microsoft Intuneen, jotta laitteen riskipohjainen ehdollinen käyttöoikeus voidaan ottaa käyttöön. Kun otat tämän ominaisuuden käyttöön, voit jakaa Defender for Endpoint -laitteen tiedot Intunen kanssa, mikä parantaa käytännön täytäntöönpanoa.

Tärkeää

Sinun on otettava integrointi käyttöön sekä Intunessa että Defender for Endpointissa, jotta voit käyttää tätä ominaisuutta. Lisätietoja tietyistä vaiheista on kohdassa Ehdollisen käyttöoikeuden määrittäminen Defender for Endpointissa.

Tämä ominaisuus on käytettävissä vain, jos sinulla on seuraavat edellytykset:

• Enterprise Mobility + Security E3:n ja Windows E5:n (tai Microsoft 365 Enterprise E5:n) lisensoitu vuokraaja
• Aktiivinen Microsoft Intune -ympäristö, johon on liitetty Intunen hallitsemista Windows-laitteista Microsoft Entra.

Todennettu telemetria

Voit ottaa käyttöön todennetut telemetriatiedot, jos haluat estää telemetriatietojen tekemisen koontinäyttöösi.

Esikatseluominaisuudet

Lue lisätietoja Defender for Endpointin esikatseluversion uusista ominaisuuksista.

Kokeile tulevia ominaisuuksia ottamalla käyttöön esikatselukokemus. Voit käyttää tulevia ominaisuuksia, joista voit antaa palautetta yleisen käyttökokemuksen parantamiseksi, ennen kuin ominaisuudet ovat yleisesti saatavilla.

Jos esikatselutoiminnot ovat jo käytössä, voit hallita asetuksia Defenderin XDR-pääasetuksista.

Lisätietoja on artikkelissa Microsoft Defenderin XDR-esikatselutoiminnot

Päätepisteen hyökkäysilmoitukset

Päätepisteiden hyökkäysilmoitusten avulla Microsoft voi aktiivisesti etsiä kriittisiä uhkia, jotka priorisoidaan kiireellisyyden ja päätepistetietoihin kohdistuvan vaikutuksen perusteella.

Saat lisätietoja Microsoft Defender -asiantuntijoista ennakoivasta metsästyksestä koko Microsoft Defender XDR-alueella, mukaan lukien uhat, jotka kattavat sähköpostin, yhteistyön, käyttäjätiedot, pilvisovellukset ja päätepisteet.

Aiheeseen liittyvät artikkelit

• Päivitä tietojen säilytysasetukset
• Hälytysilmoitusten määrittäminen

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.