Lisäominaisuuksien määrittäminen Defender for Endpointissa

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Käyttämistäsi Microsoftin suojaustuotteista riippuen voit integroida Defender for Endpointin joidenkin lisäominaisuuksien avulla.

Kehittyneiden ominaisuuksien ottaminen käyttöön

  1. Kirjaudu sisään Microsoft Defender XDR käyttämällä tiliä, jolle on määritetty suojauksen järjestelmänvalvojan tai yleinen järjestelmänvalvoja rooli.

  2. Valitse siirtymisruudussa Asetukset>PäätepisteetLisäominaisuudet>.

  3. Valitse lisäominaisuus, jonka haluat määrittää, ja vaihda asetuksen tilaksi Käytössä ja Ei käytössä.

  4. Valitse Tallenna asetukset.

Seuraavien kehittyneiden ominaisuuksien avulla voit suojautua paremmin mahdollisesti haitallisilta tiedostoilta ja saada entistä parempia tietoja suojaustutkimusten aikana.

Reaaliaikainen vastaus

Ota tämä ominaisuus käyttöön, jotta käyttäjät, joilla on tarvittavat käyttöoikeudet, voivat aloittaa reaaliaikaisen vastausistunnon laitteissa.

Jos haluat lisätietoja roolien määrittämisestä, katso Create ja roolien hallinta.

Reaaliaikainen vastaus palvelimille

Ota tämä ominaisuus käyttöön, jotta käyttäjät, joilla on tarvittavat käyttöoikeudet, voivat aloittaa reaaliaikaisen vastausistunnon palvelimilla.

Jos haluat lisätietoja roolien määrittämisestä, katso Create ja roolien hallinta.

Reaaliaikaisen vastauksen allekirjoittamaton komentosarjan suorittaminen

Kun otat tämän ominaisuuden käyttöön, voit suorittaa allekirjoittamattomia komentosarjoja reaaliaikaisessa vastausistunnossa.

Rajoita korrelaatio vaikutusalueen sisältämään laiteryhmään

Tätä määritystä voidaan käyttää tilanteissa, joissa paikalliset SOC-toiminnot haluavat rajoittaa ilmoitusten korrelaatiot vain laiteryhmiin, joita he voivat käyttää. Ottamalla tämän asetuksen käyttöön tapaus, joka koostuu ilmoituksista, jotka ovat laitteidenvälisille ryhmille, ei enää pidetä yksittäisenä tapauksena. Paikallinen SOC voi sitten ryhtyä toimiin tapahtuman johdosta, koska heillä on pääsy johonkin mukana olleista laiteryhmistä. Maailmanlaajuinen SOC näkee kuitenkin useita eri tapauksia laiteryhmän mukaan yhden tapauksen sijaan. Emme suosittele tämän asetuksen käyttöönotusta, ellei se ole suurempi kuin tapausten korrelaation edut koko organisaatiossa.

Huomautus

  • Tämän asetuksen muuttaminen vaikuttaa vain tuleviin ilmoitusten korrelaatioihin.

  • Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.

Ota EDR käyttöön lohkotilassa

Päätepisteen tunnistaminen ja vastaus (EDR) estotilassa suojaa haitallisilta artefakteilta, vaikka Microsoft Defender virustentorjunta suoritetaan passiivitilassa. Kun EDR on käytössä lohkotilassa, se estää haitallisia artefakteja tai toimintoja, jotka tunnistetaan laitteessa. Estotilassa oleva EDR toimii taustalla, jotta voidaan korjata haitallisia artefakteja, jotka havaitaan murron jälkeen.

Autoresolve korjatut hälytykset

vuokraajat, jotka on luotu Windows 10, versio 1809 tai sen jälkeen, automatisoitu tutkimus- ja korjausominaisuus on oletusarvoisesti määritetty ratkaisemaan hälytyksiä, joissa automaattisen analyysin tulostila on "Uhkia ei löytynyt" tai "Korjaa". Jos et halua, että ilmoitukset ratkaistaan automaattisesti, sinun on poistettava ominaisuus käytöstä manuaalisesti.

Vihje

Ennen kyseistä versiota luoduissa vuokraajissa tämä ominaisuus on otettava käyttöön manuaalisesti Lisäominaisuudet-sivulla .

Huomautus

  • Automaattisen ratkaisutoiminnon tulos voi vaikuttaa Laitteen riskitason laskentaan, joka perustuu laitteesta löyty oleviin aktiivisiin hälytyksiin.
  • Jos suojaustoimintojen analyytikko määrittää manuaalisesti hälytyksen tilaksi "Keskeneräinen" tai "Ratkaistu", automaattisen ratkaisun toiminto ei korvaa sitä.

Salli tai estä tiedosto

Estäminen on käytettävissä vain, jos organisaatiosi täyttää seuraavat vaatimukset:

  • käyttää Microsoft Defender virustentorjuntaa aktiivisena haittaohjelmien torjuntaratkaisuna ja,
  • Pilvipohjainen suojausominaisuus on käytössä

Tämän ominaisuuden avulla voit estää mahdollisesti haitallisia tiedostoja verkossasi. Tiedoston estäminen estää sen lukemisen, kirjoittamisen tai suorittamisen organisaation laitteissa.

Salli tai estä tiedostot -asetuksen ottaminen käyttöön:

  1. Valitse siirtymisruudussa Asetukset>PäätepisteetYleiset>lisäominaisuudet>>Salli tai estä tiedosto.

  2. Vaihda asetuksen tilaksi Käytössä ja Ei käytössä.

    Päätepisteet-näyttö

  3. Valitse sivun alareunasta Tallenna asetukset .

Kun tämä ominaisuus on otettu käyttöön, voit estää tiedostot tiedoston profiilisivun Lisää ilmaisin -välilehdessä.

Piilota mahdolliset laitetietueiden kaksoiskappaleet

Ottamalla tämän ominaisuuden käyttöön voit varmistaa, että näet laitteistasi tarkimmat tiedot piilottamalla mahdolliset laitetietueiden kaksoiskappaleet. Laitetietueiden kaksoiskappaleita voi esiintyä eri syistä. Esimerkiksi laitteen etsintätoiminto Microsoft Defender for Endpoint voi skannata verkkosi ja löytää laitteen, joka on jo otettu käyttöön tai joka on äskettäin poistettu käytöstä.

Tämä ominaisuus tunnistaa mahdolliset päällekkäiset laitteet niiden isäntänimen ja viimeisimmän tarkasteluajan perusteella. Päällekkäiset laitteet piilotetaan useista portaalin käyttökokemuksista, kuten laiteluettelosta, Microsoft Defenderin haavoittuvuuksien hallinta sivuista ja konetietojen julkisista ohjelmointirajapinnoista, jolloin tarkin laitetietue jää näkyviin. Kaksoiskappaleet näkyvät kuitenkin edelleen yleinen haku, kehittyneellä metsästyksellä, hälytyksillä ja vaaratilanteiden sivuilla.

Tämä asetus on oletusarvoisesti käytössä, ja sitä käytetään koko vuokraajassa. Jos et halua piilottaa mahdollisia tietueiden kaksoiskappaleita, sinun on poistettava ominaisuus käytöstä manuaalisesti.

Mukautetut verkkoilmaisimet

Kun otat tämän ominaisuuden käyttöön, voit luoda IP-osoitteille, toimialueille tai URL-osoitteille ilmaisimia, jotka määrittävät, sallitaanko ne vai estetäänkö ne mukautetun ilmaisinluettelon perusteella.

Tämän ominaisuuden käyttäminen edellyttää, että laitteissa on käytössä Windows 10 versio 1709 tai uudempi versio tai Windows 11. Heillä tulisi myös olla verkkosuojaus estotilassa ja haittaohjelmien torjuntaympäristön versio 4.18.1906.3 tai uudempi versio katso KB 4052623.

Lisätietoja on kohdassa Ilmaisimien hallinta.

Huomautus

Verkon suojaus hyödyntää mainepalveluita, jotka käsittelevät pyyntöjä sijainneissa, jotka saattavat olla Defender for Endpoint -tiedoille valitsemasi sijainnin ulkopuolella.

Peukaloinnin suojaus

Jonkinlaisen kyberhyökkäyksen aikana huonot toimijat yrittävät poistaa suojausominaisuuksia, kuten virustentorjuntaa, käytöstä koneissasi. Huonot toimijat haluavat poistaa suojausominaisuudet käytöstä, jotta tietojasi voidaan käyttää helpommin, haittaohjelmia voidaan asentaa tai tietoja, käyttäjätietoja ja laitteita voidaan muuten hyödyntää. Peukaloinnin suojaus lukitsee Microsoft Defender virustentorjuntaohjelman ja estää suojausasetusten muuttamisen sovelluksilla ja menetelmillä.

Lisätietoja, kuten peukaloinnin suojauksen määrittäminen, on artikkelissa Suojausasetusten suojaaminen peukaloinnin suojauksella.

Näytä käyttäjätiedot

Ota tämä ominaisuus käyttöön, jotta näet Microsoft Entra ID tallennetut käyttäjätiedot. Tiedot sisältävät käyttäjän kuvan, nimen, otsikon ja osaston tiedot, kun tutkitaan käyttäjätilin entiteettejä. Käyttäjätilin tiedot ovat seuraavissa näkymissä:

  • Ilmoitusjono
  • Laitteen tietosivu

Lisätietoja on artikkelissa Käyttäjätilin tutkiminen.

Skype for Business integrointi

kun otat käyttöön Skype for Business integroinnin, voit viestiä käyttäjien kanssa käyttämällä Skype for Business, sähköpostia tai puhelinta. Tämä aktivointi voi olla kätevä, kun sinun on viestittävä käyttäjän kanssa ja vähennettävä riskejä.

Huomautus

Kun laite eristetään verkosta, näkyviin tulee ponnahdusikkuna, jossa voit ottaa käyttöön Outlookin ja Skypen viestinnän, joka mahdollistaa yhteyden käyttäjälle, kun yhteys verkkoon on katkaistu. Tämä asetus koskee Skype- ja Outlook-tietoliikennettä, kun laitteet ovat eristystilassa.

Office 365 Uhkatietoyhteys

Tärkeää

Tätä asetusta käytettiin, kun Microsoft Defender for Office 365 ja Microsoft Defender for Endpoint olivat eri portaaleissa aiemmin. Kun suojauskokemukset on yhdistetty yhdistettyyn portaaliin, jota kutsutaan nyt Microsoft Defender XDR, näillä asetuksilla ei ole merkitystä, eikä niihin liity mitään toimintoja. Voit turvallisesti ohittaa ohjausobjektin tilan, kunnes se poistetaan portaalista.

Tämä ominaisuus on käytettävissä vain, jos sinulla on aktiivinen Office 365 E5- tai uhkatietolisäosa. Lisätietoja on Office 365 E5 tuotesivulla.

Tämän ominaisuuden avulla voit sisällyttää tietoja Microsoft Defender for Office 365 Microsoft Defender XDR kattavan suojaustutkinnan suorittamiseksi Office 365 postilaatikoissa ja Windows-laitteissa.

Huomautus

Sinulla on oltava asianmukainen käyttöoikeus, jotta voit ottaa tämän ominaisuuden käyttöön.

Jos haluat saada tilannekohtaisen laiteintegraation Office 365 Threat Intelligencessa, sinun on otettava Defender for Endpoint -asetukset käyttöön Suojaus & Yhteensopivuus-koontinäytössä. Lisätietoja on artikkelissa Uhkatutkimus ja -vastaus.

Päätepisteen hyökkäysilmoitukset

Päätepisteiden hyökkäysilmoitusten avulla Microsoft voi aktiivisesti etsiä kriittisiä uhkia, jotka priorisoidaan kiireellisyyden ja päätepistetietoihin kohdistuvan vaikutuksen perusteella.

Saat lisätietoja Microsoft Defender Experts -asiantuntijoista, jos haluat ennakoivaa metsästystä koko Microsoft Defender XDR laajuudessa, mukaan lukien uhat, jotka kattavat sähköpostin, yhteistyön, käyttäjätiedot, pilvisovellukset ja päätepisteet.

Microsoft Defender for Cloud Apps

Kun tämä asetus otetaan käyttöön, Defender for Endpoint -signaalit lähetetään edelleen Microsoft Defender for Cloud Apps, jotta pilvisovellusten käyttöön saadaan syvempi näkyvyys. Edelleenlävitetyt tiedot tallennetaan ja käsitellään samassa sijainnissa kuin Defender for Cloud Apps -tiedot.

Huomautus

Tämä ominaisuus on saatavilla E5-käyttöoikeudella Enterprise Mobility + Security laitteissa, joissa on käytössä Windows 10 versio 1709 (käyttöjärjestelmän koontiversio 16299.1085 ja KB4493441), Windows 10, versio 1803 (käyttöjärjestelmän koontiversio 17134.704 ja KB4493464), Windows 10, versio 1809 (Os Build 17763.379 with KB4489899), later Windows 10 version tai Windows 11.

Microsoft Defender for Endpoint integroinnin ottaminen käyttöön Microsoft Defender for Identity-portaalista

Jos haluat saada tilannekohtaisen laiteintegroinnin Microsoft Defender for Identity, sinun on otettava ominaisuus käyttöön myös Microsoft Defender for Identity-portaalissa.

  1. Kirjaudu Microsoft Defender for Identity portaaliin yleisen järjestelmänvalvojan tai suojauksen järjestelmänvalvojan roolilla.

  2. Valitse esiintymän Create.

  3. Vaihda Integrointi-asetukseksi Käytössä ja valitse Tallenna.

Kun olet suorittanut integrointivaiheet molemmissa portaaleissa, näet asianmukaiset ilmoitukset laitteen tiedot- tai käyttäjätietosivulla.

Verkkosisällön suodatus

Estä ei-toivottua sisältöä sisältävien sivustojen käyttö ja seuraa kaikkien toimialueiden verkkotoimintaa. Jos haluat määrittää verkkosisältöluokat, jotka haluat estää, luo verkkosisällön suodatuskäytäntö. Varmista, että verkkosi on estetty-tilassa, kun otat käyttöön Microsoft Defender for Endpoint suojauksen perustasoa.

Jaa päätepisteilmoitukset Microsoft Purview -yhteensopivuusportaali kanssa

Lähettää edelleen päätepisteiden suojausilmoitukset ja niiden triage-tilan Microsoft Purview -yhteensopivuusportaali, jolloin voit parantaa insider-riskinhallintakäytäntöjä hälytyksillä ja korjata sisäisiä riskejä ennen niiden aiheuttamaa haittaa. Välitetyt tiedot käsitellään ja tallennetaan samaan sijaintiin kuin Office 365 tiedot.

Kun suojauskäytännön virheilmaisimet on määritetty Insider-riskinhallinta-asetuksissa, Defender for Endpoint -hälytykset jaetaan insider-riskinhallintaan soveltuville käyttäjille.

Todennettu telemetria

Voit ottaa käyttöön todennetut telemetriatiedot, jos haluat estää telemetriatietojen tekemisen koontinäyttöösi.

Microsoft Intune yhteys

Defender for Endpoint voidaan integroida Microsoft Intune kanssa, jotta laitteen riskipohjainen ehdollinen käyttöoikeus voidaan ottaa käyttöön. Kun otat tämän ominaisuuden käyttöön, voit jakaa Defender for Endpoint -laitteen tietoja Intune kanssa, mikä parantaa käytännön täytäntöönpanoa.

Tärkeää

Sinun on otettava integrointi käyttöön sekä Intune että Defender for Endpointissa, jotta voit käyttää tätä ominaisuutta. Lisätietoja tietyistä vaiheista on kohdassa Ehdollisen käyttöoikeuden määrittäminen Defender for Endpointissa.

Tämä ominaisuus on käytettävissä vain, jos sinulla on seuraavat edellytykset:

  • Enterprise Mobility + Security E3 ja Windows E5:n (tai Microsoft 365 Enterprise E5:n) lisensoitu vuokraaja
  • Aktiivinen Microsoft Intune ympäristö, johon Intune hallittuja Windows-laitteita Microsoft Entra liitetty.

Ehdollinen käyttöoikeuskäytäntö

Kun otat Intune integroinnin käyttöön, Intune luo automaattisesti perinteisen ehdollisen käyttöoikeuden käytännön. Tämä perinteinen varmenteiden myöntäjän käytäntö on edellytys tilaraporttien määrittämiselle Intune. Sitä ei pidä poistaa.

Huomautus

Intune luoma perinteinen varmenteiden myöntäjän käytäntö eroaa nykyaikaisista ehdollisten käyttöoikeuksien käytännöistä, joita käytetään päätepisteiden määrittämiseen.

Laitteiden etsintä

Auttaa löytämään hallitsemattomia laitteita, jotka on yhdistetty yrityksen verkkoon ilman ylimääräisiä laitteita tai hankalia prosessimuutoksia. Käyttämällä perehdyttämättömiä laitteita löydät verkostasi hallitsemattomia laitteita ja voit arvioida haavoittuvuuksia ja riskejä. Lisätietoja on kohdassa Laitteiden etsiminen.

Huomautus

Voit aina käyttää suodattimia jättääksesi hallitsemattomat laitteet pois laitteen varastoluettelosta. Voit myös käyttää API-kyselyiden perehdyttämisen tilasaraketta hallitsemattomien laitteiden suodattamiseen pois.

Esikatseluominaisuudet

Lue lisätietoja Defender for Endpointin esikatseluversion uusista ominaisuuksista. Kokeile tulevia ominaisuuksia ottamalla käyttöön esikatselukokemus.

Voit käyttää tulevia ominaisuuksia, joista voit antaa palautetta yleisen käyttökokemuksen parantamiseksi, ennen kuin ominaisuudet ovat yleisesti saatavilla.

Lataa karanteeniin asetettuja tiedostoja

Varmuuskopioi karanteeniin asetetut tiedostot turvalliseen ja yhteensopivaan sijaintiin, jotta ne voidaan ladata suoraan karanteenista. Lataa tiedosto -painike on aina käytettävissä tiedostosivulla. Tämä asetus on oletusarvoisesti käytössä. Lisätietoja vaatimuksista

Virtaviivaistettu yhteys laitteen käyttöönoton aikana (esikatselu)

Tämä asetus määrittää oletuskäyttöpaketin virtaviivaistettavaksi soveltuvissa käyttöjärjestelmissä.

Voit edelleen käyttää tavallista perehdytyspakettia perehdytyssivulla, mutta sinun on valittava se erityisesti avattavasta valikosta.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.