Jaa


Microsoft Defender for Endpointin virustentorjunta ja Intunen integrointi

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Käyttöympäristöt

  • Windows
  • macOS
  • Android

Microsoft Defender -portaalissa voit tarkastella ja hallita uhkien tunnistuksia seuraavien vaiheiden avulla:

  1. Siirry Microsoft XDR -portaaliin ja kirjaudu sisään.

    Aloitussivulla näet laitteet, joissa on aktiivinen haittaohjelmakortti , jossa on seuraavat tiedot:

    • Näyttöteksti: Koskee Intune-hallittuja laitteita. Laitteet, joissa on useita haittaohjelmien tunnistuksia, voidaan laskea useammin kuin kerran.
    • Viimeksi päivitetty päivämäärä ja kellonaika.
    • Palkki, jossa on aktiivisten ja haittaohjelmien korjaamia osia skannauksen mukaan.

    Saat lisätietoja valitsemalla Näytä tiedot .

  2. Kun korjaus on luotu, näkyviin tulee seuraava teksti:

    Laitteistasi löydetty haittaohjelma on korjattu onnistuneesti.

Uhkien tunnistamisen hallinta Microsoft Intunessa

Voit hallita uhkien tunnistuksia kaikissa laitteissa, jotka on rekisteröity Microsoft Intuneen , seuraavien vaiheiden avulla:

  1. Siirry Microsoft Intune -hallintakeskukseen osoitteessa intune.microsoft.com ja kirjaudu sisään.

  2. Valitse siirtymisruudussa Päätepisteen suojaus.

  3. Valitse Hallinta-kohdastaVirustentorjunta. Välilehdet ovat Yhteenveto, Epäterveelliset päätepisteet ja Aktiivinen haittaohjelma.

  4. Tarkista käytettävissä olevien välilehtien tiedot ja toimi sitten tarvittaessa.

    Jos esimerkiksi voit valita laitteen, joka on lueteltu Aktiiviset haittaohjelmat -välilehdellä, voit valita yhden toiminnon annettujen toimintojen luettelosta:

    • Käynnistä uudelleen
    • Pikatarkistus
    • Täysi tarkistus
    • Synkronointi
    • Päivitä allekirjoitukset

Usein kysytyt kysymykset

Miksi viimeisin päivitys näyttää esiintyvän tänään Microsoft XDR -portaalin > laitteissa, joissa on aktiivisia haittaohjelmalaitteita > , joissa on haittaohjelmien tunnistusraportti?

Voit tarkistaa haittaohjelman havaitsemisen seuraavasti:

  1. Koska tämä on intune-integrointi, siirry Intune-portaaliin ja valitse Virustentorjunta ja valitse sitten Aktiiviset haittaohjelmat -välilehti.

  2. Valitse Vie.

  3. Siirry laitteessasi kohtaan Lataukset ja pura Active malware_YYYY_MM_DD_THH_MM_SS.0123Z.csv.zip tiedosto.

  4. Avaa CSV ja etsi LastStateChangeDateTime-sarake , jotta näet, milloin haittaohjelmia havaittiin.

Laitteissa, joissa on haittaohjelmien tunnistusraportti, miksi en näe mitään tietoja siitä, mikä haittaohjelma on havaittu laitteessa.

Jos haluat nähdä haittaohjelman nimen, siirry Intune-portaaliin , koska kyseessä on intune-integrointi, valitse Virustentorjunta, valitse Aktiivinen haittaohjelma -välilehti ja näet sarakkeen nimeltä Haittaohjelmien nimi.

Näen aktiiviselle haittaohjelmalle eri määrän Laitteissa, joissa on aktiivinen haittaohjelmaraportti, verrattuna lukuihin, joiden näen käyttävän Raportteja > havaittu haittaohjelma ja Intunen > virustentorjunta-aktiivista > haittaohjelmistoa.

Laitteet, joissa on aktiivinen haittaohjelmaraportti, perustuvat laitteisiin, jotka olivat aktiivisia viimeisen 1 päivän aikana (24 tuntia) ja joissa on havaittu haittaohjelmia viimeisten 15 päivän aikana.

Käytä seuraavaa kehittyneen metsästyksen kyselyä:

DeviceInfo
| where Timestamp > startofday(datetime(2024-01-29 00:00:00))
| where OnboardingStatus == "Onboarded"
| where SensorHealthState == "Active"
| distinct DeviceId, DeviceName
| join kind=innerunique (
AlertEvidence
| where Timestamp > ago(15d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus")
on DeviceName
| distinct DeviceName, DeviceId, Title, AlertId, Timestamp

Etsin tietokoneen nimen yläreunan hakupalkista ja sain kaksi samannimista laitetta. En tiedä, mihin noihin kahteen laitteeseen raportissa viitataan?

Käytä tässä mainittua kehittynyttä metsästyskyselyä, jos haluat lisätietoja, kuten yksilöllinen DeviceID, Otsikko, Hälytystunnus ja korjausprosessi. Kun olet tunnistanut kohteen, varmista IT-järjestelmänvalvojallasi, että laitteet on nimetty yksilöllisesti. Jos laite poistetaan käytöstä, poista se käytöstä tunnisteiden avulla.

Näen haittaohjelmien tunnistuksen Intunessa ja laitteissa, joissa on aktiivinen haittaohjelmaraportti, mutta en näe sitä MDE-ilmoitusten jonossa tai Vaaratilanteet-jonossa.

URL-osoitteen pilvisuojausta ei ehkä tällä hetkellä sallita palomuurin tai välityspalvelimen kautta.

Sinun on varmistettava, että kun suoritat %ProgramFiles%\Windows Defender\MpCmdRun.exe -ValidateMapsConnection laitteessasi, raportointi on ok.

Näen laitteen, joka on ollut passiivinen yli 180 päivää, mutta joka näkyy edelleen raportissa "Laitteet, joilla on aktiivinen haittaohjelma". Laitetta ei näytetä "Laitevarastossa", eikä sitä voi kytkeä pois käytöstä Microsoft Defender for Endpointista.

Laitetta ei ole poistettu Intunesta.