Jaa

Microsoft Defender for Endpoint virustentorjunta ja Intune integrointi

  • Koskee seuraavia:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Ennakkovaatimukset

Tuetut käyttöjärjestelmät

  • Windows
  • macOS
  • Androidi

Microsoft Defender portaalissa voit tarkastella ja hallita uhkien tunnistuksia seuraavien vaiheiden avulla:

  1. Siirry Microsoft Defender portaaliin osoitteessa https://security.microsoft.com ja kirjaudu sisään.

    Aloitussivulla näet laitteet, joissa on aktiivinen haittaohjelmakortti , jossa on seuraavat tiedot:

    • Näyttöteksti: Koskee Intune hallittuja laitteita. Laitteet, joissa on useita haittaohjelmien tunnistuksia, voidaan laskea useammin kuin kerran.
    • Viimeksi päivitetty päivämäärä ja kellonaika.
    • Palkki, jossa on aktiivisten ja haittaohjelmien korjaamia osia skannauksen mukaan.

    Saat lisätietoja valitsemalla Näytä tiedot .

  2. Kun korjaus on luotu, näkyviin tulee seuraava teksti:

    Laitteistasi löydetty haittaohjelma on korjattu onnistuneesti.

Uhkien tunnistamisen hallinta Microsoft Intune

Voit hallita uhkien tunnistuksia kaikissa laitteissa, jotka on rekisteröity Microsoft Intune seuraavien vaiheiden avulla:

  1. Siirry Microsoft Intune hallintakeskukseen osoitteessa intune.microsoft.com ja kirjaudu sisään.

  2. Valitse siirtymisruudussa Päätepisteen suojaus.

  3. Valitse Hallinta-kohdastaVirustentorjunta. Välilehdet ovat Yhteenveto, Epäterveelliset päätepisteet ja Aktiivinen haittaohjelma.

  4. Tarkista käytettävissä olevien välilehtien tiedot ja toimi sitten tarvittaessa.

    Jos esimerkiksi voit valita laitteen, joka on lueteltu Aktiiviset haittaohjelmat -välilehdellä, voit valita yhden toiminnon annettujen toimintojen luettelosta:

    • Käynnistä uudelleen
    • Pikatarkistus
    • Täysi tarkistus
    • Synkronointi
    • Päivitä allekirjoitukset

Usein kysytyt kysymykset

Microsoft Defender portaalissa > Aktiiviset haittaohjelmalaitteet>, joissa on haittaohjelmien tunnistusraportti, miksi viimeisin päivitys näyttää esiintyvän tänään?

Voit tarkistaa haittaohjelman havaitsemisen seuraavasti:

  1. Koska tämä on integrointi Intune kanssa, siirry Intune portaaliin ja valitse Virustentorjunta ja valitse sitten Aktiivinen haittaohjelma -välilehti.

  2. Valitse Vie.

  3. Siirry laitteessasi kohtaan Lataukset ja pura Active malware_YYYY_MM_DD_THH_MM_SS.0123Z.csv.zip tiedosto.

  4. Avaa CSV ja etsi LastStateChangeDateTime-sarake , jotta näet, milloin haittaohjelmia havaittiin.

Laitteissa, joissa on haittaohjelmien tunnistusraportti, miksi en näe mitään tietoja siitä, mikä haittaohjelma on havaittu laitteessa.

Jos haluat nähdä haittaohjelman nimen, siirry Intune portaaliin, koska kyseessä on integrointi Intune kanssa, valitse Virustentorjunta ja valitse Aktiiviset haittaohjelmat -välilehti ja näet sarakkeen nimeltä Haittaohjelmanimi.

Näen aktiiviselle haittaohjelmalle eri määrän laitteissa, joissa on aktiivinen haittaohjelmaraportti, verrattuna lukuihin, joiden näen käyttävän Raportteja > havaittu haittaohjelma ja Intune > Virustentorjunta-aktiivista > haittaohjelmistoa.

Laitteet, joissa on aktiivinen haittaohjelmaraportti, perustuvat laitteisiin, jotka olivat aktiivisia viimeisen 1 päivän aikana (24 tuntia) ja joissa on havaittu haittaohjelmia viimeisten 15 päivän aikana.

Käytä seuraavaa kehittyneen metsästyksen kyselyä:

DeviceInfo
| where Timestamp > startofday(datetime(2024-01-29 00:00:00))
| where OnboardingStatus == "Onboarded"
| where SensorHealthState == "Active"
| distinct DeviceId, DeviceName
| join kind=innerunique (
AlertEvidence
| where Timestamp > ago(15d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus")
on DeviceName
| distinct DeviceName, DeviceId, Title, AlertId, Timestamp

Etsin tietokoneen nimen yläreunan hakupalkista ja sain kaksi samannimista laitetta. En tiedä, mihin noihin kahteen laitteeseen raportissa viitataan?

Käytä tässä mainittua kehittynyttä metsästyskyselyä, jos haluat lisätietoja, kuten yksilöllinen DeviceID, Otsikko, Hälytystunnus ja korjausprosessi. Kun olet tunnistanut kohteen, varmista IT-järjestelmänvalvojallasi, että laitteet on nimetty yksilöllisesti. Jos laite poistetaan käytöstä, poista se käytöstä tunnisteiden avulla.

Näen haittaohjelmien tunnistuksen Intune ja laitteissa, joissa on aktiivinen haittaohjelmaraportti, mutta en näe sitä MDE Ilmoitusten jonossa tai Vaaratilanteet-jonossa.

URL-osoitteen pilvisuojausta ei ehkä tällä hetkellä sallita palomuurin tai välityspalvelimen kautta.

Sinun on varmistettava, että kun suoritat %ProgramFiles%\Windows Defender\MpCmdRun.exe -ValidateMapsConnection laitteessasi, raportointi on ok.

Näen laitteen, joka on ollut passiivinen yli 180 päivää, mutta joka näkyy edelleen raportissa "Laitteet, joilla on aktiivinen haittaohjelma". Laitetta ei näytetä laitevarastossa. Sitä ei voi kytkeä käyttöön, eikä sitä voi poistaa käytöstä Microsoft Defender for Endpoint.

Laitetta ei ole poistettu käytöstä Intune.

  • Last updated on