Päätepisteen tunnistaminen ja vastaus lohkotilassa
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Tässä artikkelissa kuvataan EDR estotilassa, mikä auttaa suojaamaan laitteita, joissa on käytössä jokin muu kuin Microsoftin virustentorjuntaratkaisu (Microsoft Defender virustentorjunta passiivitilassa).
Mikä on EDR lohkotilassa?
Päätepisteen tunnistaminen ja vastaus (EDR) estotilassa tarjoaa lisäsuojan haitallisilta artefaktilta, kun Microsoft Defender virustentorjunta ei ole ensisijainen virustentorjuntatuote ja suoritetaan passiivitilassa. Estotilassa EDR on käytettävissä Defender for Endpoint -palvelupaketti 2:ssa.
Tärkeää
Estotilassa oleva EDR ei voi tarjota kaikkea käytettävissä olevaa suojausta, kun Microsoft Defender virustentorjuntaohjelman reaaliaikainen suojaus on passiivitilassa. Jotkin ominaisuudet, jotka riippuvat siitä, Microsoft Defender virustentorjuntaohjelma aktiiviseksi virustentorjuntaratkaisuksi, eivät toimi, kuten seuraavat esimerkit:
- Reaaliaikainen suojaus, mukaan lukien käytössä oleva tarkistus ja ajoitettu tarkistus, ei ole käytettävissä, kun Microsoft Defender virustentorjunta on passiivitilassa. Lisätietoja reaaliaikaisten suojauskäytäntöasetusten käytöstä on artikkelissa Microsoft Defender aina käytössä olevan suojauksen ottaminen käyttöön ja määrittäminen.
- Ominaisuudet, kuten verkkosuojaus ja hyökkäysalueen vähentämissäännöt ja ilmaisimet (tiedoston hajautusarvo, ip-osoite, URL-osoite ja varmenteet), ovat käytettävissä vain, kun Microsoft Defender virustentorjunta on käynnissä aktiivisessa tilassa. Näiden ominaisuuksien odotetaan sisältävän muun kuin Microsoftin virustentorjuntaratkaisun.
Estotilassa EDR toimii taustalla EDR-ominaisuuksien havaitsemien haitallisten artefaktien korjaamiseksi. Ensisijainen virustentorjuntatuote, joka ei ole Microsoftin virustentorjuntaohjelma, on saattanut jättää tällaiset artefaktit väliin. Estotilassa EDR sallii Microsoft Defender virustentorjunnan ryhtyä toimiin murron jälkeisissä, käyttäytymisen EDR-tunnisnnoissa.
Estotilassa EDR on integroitu uhkien & haavoittuvuuksien hallintaominaisuuksiin . Organisaatiosi suojaustiimi saa suojaussuosituksen , joka ottaa EDR:n käyttöön estotilassa, jos se ei ole vielä käytössä.
Vihje
Jotta saat parhaan suojauksen, varmista, että otat käyttöön Microsoft Defender for Endpoint perusaikataulut.
Katso tästä videosta lisätietoja siitä, miksi ja miten voit ottaa käyttöön päätepisteen tunnistuksen ja vastauksen (EDR) estotilassa, ottaa käyttöön toiminnan estämisen ja eristämisen jokaisessa vaiheessa murtoa edeltävästä murron jälkeiseen tilaan.
Mitä tapahtuu, kun jotain havaitaan?
Kun EDR lohkotilassa on käytössä ja haitallisia artefakteja havaitaan, Defender for Endpoint korjaa kyseisen artefaktin. Suojaustoimintojen tiimi näkee tunnistuksen tilan estettynä tai estettynätoimintokeskuksessa valmiina toimintoina. Seuraavassa kuvassa näkyy ei-toivottujen ohjelmistojen esiintymä, joka havaittiin ja korjattiin EDR:n avulla estotilassa:
Ota EDR käyttöön lohkotilassa
Tärkeää
- Varmista, että vaatimukset täyttyvät, ennen kuin otat EDR:n käyttöön lohkotilassa.
- Defender for Endpoint Plan 2 -käyttöoikeudet vaaditaan.
- Alustaversiosta 4.18.2202.X alkaen voit määrittää ESTO-tilan kohdistamaan tietyt laiteryhmät Intune CSP:iden avulla. Voit jatkaa EDR-asetuksen määrittämistä koko vuokraajan lohkotilassa Microsoft Defender portaalissa.
- Estotilassa EDR:n käyttöä suositellaan ensisijaisesti laitteille, joissa on käynnissä Microsoft Defender virustentorjunta passiivitilassa (laitteessa on asennettuna muu kuin Microsoftin virustentorjuntaratkaisu, joka on aktiivinen).
Microsoft Defender -portaali
Siirry Microsoft Defender portaaliin (https://security.microsoft.com/) ja kirjaudu sisään.
Valitse Asetukset>PäätepisteetYleiset>lisäominaisuudet>.
Vieritä alaspäin ja ota sitten EDR käyttöön lohkotilassa.
Intune
Jos haluat luoda mukautetun käytännön Intune, katso OMA-URIs käyttöönotto CSP:lle kohdistamiseksi Intune kautta ja vertailu paikalliseen.
Lisätietoja Defenderin CSP:stä, jota käytetään EDR:ssä lohkotilassa, on Defender CSP:n kohdassa Configuration/PassiveRemediation.
EDR:n vaatimukset lohkotilassa
Seuraavassa taulukossa on lueteltu EDR:n vaatimukset lohkotilassa:
| Vaatimus | Tiedot |
|---|---|
| Käyttöoikeudet | Sinulla on oltava joko yleinen järjestelmänvalvoja- tai suojauksen järjestelmänvalvoja -rooli määritettynä Microsoft Entra ID. Lisätietoja on artikkelissa Peruskäyttöoikeudet. |
| Käyttöjärjestelmä | Laitteissa on oltava käytössä jokin seuraavista Windows-versioista: - Windows 11 – Windows 10 (kaikki julkaisut) - Windows Server 2019 tai uudempi versio - Windows Server, versio 1803 tai uudempi – Windows Server 2016 ja Windows Server 2012 R2 ( uuden yhdistetyn asiakasratkaisun kanssa) |
| Microsoft Defender for Endpoint Plan 2 | Laitteet on otettava käyttöön Defender for Endpointissa. Tutustu seuraaviin artikkeleihin: - Microsoft Defender for Endpoint vähimmäisvaatimukset - Laitteissa ja Microsoft Defender for Endpoint ominaisuuksien määrittämisessä - Windows-palvelimien käyttöönotto Defender for Endpoint -palveluun - Uudet Windows Server 2012 R2- ja 2016-toiminnot nykyaikaisessa yhdistetyssä ratkaisussa ( Katso Tuetaanko EDR:ää lohkotilassa Windows Server 2016:ssa ja Windows Server 2012 R2:ssa?) |
| Microsoft Defenderin virustentorjunta | Laitteissa on oltava Microsoft Defender virustentorjunta asennettuna ja käynnissä joko aktiivisessa tilassa tai passiivitilassa. Vahvista, Microsoft Defender virustentorjunta on aktiivisessa tai passiivisessa tilassa. |
| Pilvipalveluun toimitettu suojaus | Microsoft Defender virustentorjunta on määritettävä siten, että pilvipalveluun toimitettu suojaus on käytössä. |
| Microsoft Defender virustentorjuntaympäristö | Laitteiden on oltava ajan tasalla. Vahvista suorittamalla PowerShellin avulla järjestelmänvalvojana Get-MpComputerStatus cmdlet. AMProductVersion-rivillä pitäisi näkyä 4.18.2001.10 tai uudempi. Lisätietoja on artikkelissa Microsoft Defenderin virustentorjunnan päivitysten ja perusaikataulujen hallinta. |
| Microsoft Defender virustentorjuntaohjelma | Laitteiden on oltava ajan tasalla. Vahvista suorittamalla PowerShellin avulla järjestelmänvalvojana Get-MpComputerStatus cmdlet. AMEngineVersion-rivillä pitäisi näkyä 1.1.16700.2 tai uudempi. Lisätietoja on artikkelissa Microsoft Defenderin virustentorjunnan päivitysten ja perusaikataulujen hallinta. |
Tärkeää
Jotta saat parhaan suojausarvon, varmista, että virustentorjuntaratkaisusi on määritetty vastaanottamaan säännöllisiä päivityksiä ja olennaisia ominaisuuksia ja että poikkeukset on määritetty. Estotilassa EDR noudattaa poissulkemisia, jotka on määritetty Microsoft Defender virustentorjuntaa varten, mutta ei Microsoft Defender for Endpoint määritettyjä ilmaisimia.
Tutustu myös seuraaviin ohjeartikkeleihin:
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle