Päätepisteen tunnistaminen ja vastaus lohkotilassa
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Tässä artikkelissa kuvataan EDR lohkotilassa, mikä auttaa suojaamaan laitteita, joissa on käytössä muu kuin Microsoftin virustentorjuntaratkaisu (kun Microsoft Defenderin virustentorjunta on passiivitilassa).
Mikä on EDR lohkotilassa?
Päätepisteen tunnistaminen ja vastaus (EDR) estotilassa tarjoaa lisäsuojan haitallisilta artefaktilta, kun Microsoft Defenderin virustentorjunta ei ole ensisijainen virustentorjuntatuote ja se suoritetaan passiivitilassa. Estotilassa EDR on käytettävissä Defender for Endpoint -palvelupaketti 2:ssa.
Tärkeää
Estotilassa oleva EDR ei voi tarjota kaikkea käytettävissä olevaa suojausta, kun Microsoft Defenderin virustentorjunnan reaaliaikainen suojaus on passiivitilassa. Jotkin ominaisuudet, jotka edellyttävät, että Microsoft Defenderin virustentorjunta on aktiivinen virustentorjuntaratkaisu, eivät toimi, kuten seuraavat esimerkit:
- Reaaliaikainen suojaus, mukaan lukien käytössä oleva tarkistus ja ajoitettu tarkistus, eivät ole käytettävissä, kun Microsoft Defenderin virustentorjunta on passiivitilassa. Lisätietoja reaaliaikaisten suojauskäytäntöjen asetuksista on artikkelissa Microsoft Defenderin virustentorjunnan käyttöönotto ja määrittäminen aina käytössä.
- Ominaisuudet, kuten verkkosuojaus ja hyökkäysalueen vähentämissäännöt ja ilmaisimet (tiedoston hajautusarvo, ip-osoite, URL-osoite ja varmenteet), ovat käytettävissä vain, kun Microsoft Defenderin virustentorjunta on käynnissä aktiivisessa tilassa. Näiden ominaisuuksien odotetaan sisältävän muun kuin Microsoftin virustentorjuntaratkaisun.
Estotilassa EDR toimii taustalla EDR-ominaisuuksien havaitsemien haitallisten artefaktien korjaamiseksi. Ensisijainen virustentorjuntatuote, joka ei ole Microsoftin virustentorjuntaohjelma, on saattanut jättää tällaiset artefaktit väliin. Estotilassa EDR sallii Microsoft Defenderin virustentorjunnan ryhtyä toimiin murron jälkeisissä, käyttäytymisen EDR-tunnistamisessa.
Estotilassa EDR on integroitu uhkien & haavoittuvuuksien hallintaominaisuuksiin . Organisaatiosi suojaustiimi saa suojaussuosituksen , joka ottaa EDR:n käyttöön estotilassa, jos se ei ole vielä käytössä.
Vihje
Jotta saat parhaan suojauksen, varmista, että otat käyttöön Microsoft Defender for Endpoint -perusaikataulut.
Katso tästä videosta lisätietoja siitä, miksi ja miten voit ottaa käyttöön päätepisteen tunnistuksen ja vastauksen (EDR) estotilassa, ottaa käyttöön toiminnan estämisen ja eristämisen jokaisessa vaiheessa murtoa edeltävästä murron jälkeiseen tilaan.
Mitä tapahtuu, kun jotain havaitaan?
Kun EDR lohkotilassa on käytössä ja haitallisia artefakteja havaitaan, Defender for Endpoint korjaa kyseisen artefaktin. Suojaustoimintojen tiimi näkee tunnistuksen tilan estettynä tai estettynätoimintokeskuksessa valmiina toimintoina. Seuraavassa kuvassa näkyy ei-toivottujen ohjelmistojen esiintymä, joka havaittiin ja korjattiin EDR:n avulla estotilassa:
Ota EDR käyttöön lohkotilassa
Tärkeää
- Varmista, että vaatimukset täyttyvät, ennen kuin otat EDR:n käyttöön lohkotilassa.
- Defender for Endpoint Plan 2 -käyttöoikeudet vaaditaan.
- Alustaversiosta 4.18.2202.X alkaen voit määrittää EDR:n lohkotilassa kohdistamaan tietyt laiteryhmät Intunen CSP:iden avulla. Voit jatkaa EDR-asetuksen määrittämistä koko vuokraajan lohkotilassa Microsoft Defender -portaalissa.
- Estotilassa EDR:n käyttöä suositellaan ensisijaisesti laitteille, joissa on käytössä Microsoft Defenderin virustentorjunta passiivitilassa (laitteeseen on asennettu ja aktiivinen muu kuin Microsoftin virustentorjuntaratkaisu).
Microsoft Defender -portaali
Siirry Microsoft Defender -portaaliin (https://security.microsoft.com/) ja kirjaudu sisään.
Valitse Asetukset>PäätepisteetYleiset>lisäominaisuudet>.
Vieritä alaspäin ja ota sitten EDR käyttöön lohkotilassa.
Intune
Jos haluat luoda mukautetun käytännön Intunessa, katso OMA-URIs käyttöönotto CSP:lle kohdistamiseksi Intunen kautta ja vertailu paikalliseen.
Lisätietoja Defenderin CSP:stä, jota käytetään EDR:ssä lohkotilassa, on Defender CSP:n kohdassa Configuration/PassiveRemediation.
EDR:n vaatimukset lohkotilassa
Seuraavassa taulukossa on lueteltu EDR:n vaatimukset lohkotilassa:
| Vaatimus | Tiedot |
|---|---|
| Käyttöoikeudet | Microsoft Entra -tunnuksella on oltava määritettynä joko yleinen järjestelmänvalvoja- tai suojauksen järjestelmänvalvoja -rooli. Lisätietoja on artikkelissa Peruskäyttöoikeudet. |
| Käyttöjärjestelmä | Laitteissa on oltava käytössä jokin seuraavista Windows-versioista: - Windows 11 - Windows 10 (kaikki julkaisut) - Windows Server 2019 tai uudempi versio - Windows Server, versio 1803 tai uudempi – Windows Server 2016 ja Windows Server 2012 R2 ( uuden yhdistetyn asiakasratkaisun kanssa) |
| Microsoft Defender for Endpoint Plan 2 | Laitteet on otettava käyttöön Defender for Endpointissa. Tutustu seuraaviin artikkeleihin: - Microsoft Defenderin päätepisteen vähimmäisvaatimukset - Käyttöönoton laitteet ja Microsoft Defender for Endpoint -ominaisuuksien määrittäminen - Windows-palvelimien käyttöönotto Defender for Endpoint -palveluun - Uudet Windows Server 2012 R2- ja 2016-toiminnot nykyaikaisessa yhdistetyssä ratkaisussa ( Katso Tuetaanko EDR:ää lohkotilassa Windows Server 2016:ssa ja Windows Server 2012 R2:ssa?) |
| Microsoft Defenderin virustentorjunta | Laitteissa on oltava Asennettuna ja käynnissä oleva Microsoft Defenderin virustentorjunta joko aktiivisessa tilassa tai passiivitilassa. Vahvista, että Microsoft Defenderin virustentorjunta on aktiivisessa tai passiivisessa tilassa. |
| Pilvipalveluun toimitettu suojaus | Microsoft Defenderin virustentorjuntaohjelma on määritettävä siten, että pilvipalveluun toimitettu suojaus on käytössä. |
| Microsoft Defenderin virustentorjuntaympäristö | Laitteiden on oltava ajan tasalla. Vahvista suorittamalla PowerShellin avulla järjestelmänvalvojana Get-MpComputerStatus cmdlet.
AMProductVersion-rivillä pitäisi näkyä 4.18.2001.10 tai uudempi. Lisätietoja on artikkelissa Microsoft Defenderin virustentorjunnan päivitysten ja perusaikataulujen hallinta. |
| Microsoft Defenderin virustentorjuntaohjelma | Laitteiden on oltava ajan tasalla. Vahvista suorittamalla PowerShellin avulla järjestelmänvalvojana Get-MpComputerStatus cmdlet.
AMEngineVersion-rivillä pitäisi näkyä 1.1.16700.2 tai uudempi. Lisätietoja on artikkelissa Microsoft Defenderin virustentorjunnan päivitysten ja perusaikataulujen hallinta. |
Tärkeää
Jotta saat parhaan suojausarvon, varmista, että virustentorjuntaratkaisusi on määritetty vastaanottamaan säännöllisiä päivityksiä ja olennaisia ominaisuuksia ja että poikkeukset on määritetty. Estotilassa EDR noudattaa poissulkemisia, jotka on määritetty Microsoft Defenderin virustentorjuntaa varten, mutta ei ilmaisimia , jotka on määritetty Microsoft Defender for Endpointille.
Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Tutustu myös seuraaviin ohjeartikkeleihin:
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.