קביעת תצורה של תכונות מתקדמות ב- Defender for Endpoint

חל על:

• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

בהתאם למוצרי האבטחה של Microsoft שבהם אתה משתמש, ייתכן שחלק מהתכונות המתקדמות יהיו זמינות עבורך לשילוב עם Defender for Endpoint.

הפוך תכונות מתקדמות לזמינות

1. היכנס כדי Microsoft Defender XDR באמצעות חשבון שהוקצה לו מנהל האבטחה או מנהל מערכת כללי האבטחה.

2. בחלונית הניווט, בחר הגדרות>נקודות קצה תכונות>מתקדמות.

3. בחר את התכונה המתקדמות שברצונך לקבוע את תצורתה והחלף את ההגדרה בין מופעל למצבכבוי.

4. בחר שמור העדפות.

השתמש בתכונות המתקדמות הבאות כדי לקבל הגנה טובה יותר מפני קבצים שעלולים להיות זדוניים ולקבל תובנות טובות יותר במהלך חקירות אבטחה.

תגובה חיה

הפעל תכונה זו כדי שמשתמשים בעלי ההרשאות המתאימות יוכלו להתחיל הפעלת תגובה חיה במכשירים.

לקבלת מידע נוסף אודות הקצאות תפקידים, ראה Create ולנהל תפקידים.

תגובה חיה לשרתים

הפעל תכונה זו כדי שמשתמשים בעלי ההרשאות המתאימות יוכלו להתחיל הפעלת תגובה חיה בשרתים.

לקבלת מידע נוסף אודות הקצאות תפקידים, ראה Create ולנהל תפקידים.

הפעלה בזמן חי של קובץ Script לא רשום

הפיכת תכונה זו לזמינים מאפשרת לך להפעיל קבצי Script לא כוללים בהפעלת תגובה חיה.

הגבלת המתאם לקבוצות מכשירים בטווח

ניתן להשתמש בתצורה זו עבור תרחישים שבהם פעולות SOC מקומיות מבקשות להגביל את מיתאם ההתראות רק לקבוצות מכשירים שאליהן הן יכולות לגשת. על-ידי הפעלת הגדרה זו, מקרה המורכב מהתראות שקבוצות חוצות מכשירים לא ייחשבו עוד לתקריות בודדות. לאחר מכן, ה- SOC המקומי יוכל לפעול בהתאם לתקרית מכיוון שיש לו גישה לאחת מקבוצות המכשירים המעורבות. עם זאת, הפונקציה SOC הכללית תראה כמה מקרים שונים לפי קבוצת מכשירים במקום מקרה אחד. איננו ממליצים להפעיל הגדרה זו, אלא אם כן פעולה זו עולה על היתרונות של התאמה בין מקרים ברחבי הארגון כולו.

הערה

• שינוי הגדרה זו משפיע רק על מיתאם התראות עתידיות.

• יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.

הפיכת EDR לזמין במצב חסימה

זיהוי נקודות קצה ותגובה (EDR) במצב חסימה מספקים הגנה מפני פריטים זדוניים, גם Microsoft Defender האנטי-וירוס פועל במצב פאסיבי. כאשר תכונה זו מופעלת, הפונקציה EDR במצב חסימה חוסמת פריטים זדוניים או אופני פעולה שזוהו במכשיר. EDR במצב חסימה פועל מאחורי הקלעים לתיקון פריטים זדוניים שזוהו לאחר הפרה.

התראות המתוקנות של 'תיקון' ב'כלים אוטומטיים'

עבור דיירים שנוצרו ב- Windows 10, גירסה 1809 או לאחר מכן, החקירה האוטומטית ויכולת התיקון מוגדרת כברירת מחדל לפתרון התראות שבהן מצב תוצאת הניתוח האוטומטי הוא "לא נמצאו איומים" או "מותאם". אם אינך מעוניין שהתראות ייפתרו באופן אוטומטי, יהיה עליך לבטל את התכונה באופן ידני.

עצה

עבור דיירים שנוצרו לפני גירסה זו, יהיה עליך להפעיל תכונה זו באופן ידני מהדף 'תכונות מתקדמות '.

הערה

• התוצאה של פעולת התיקון האוטומטי עשויה להשפיע על החישוב ברמת סיכון המכשיר, המבוסס על ההתראות הפעילות שנמצאות במכשיר.
• אם אנליסט של פעולות אבטחה מגדיר באופן ידני את מצב ההתראה ל"מתבצע" או "נפתר" יכולת פתרון אוטומטי לא תחליף אותה.

אפשר או חסום קובץ

חסימה זמינה רק אם הארגון שלך ממלא את הדרישות הבאות:

• משתמש Microsoft Defender אנטי-וירוס כפתרון הפעיל למניעת תוכנות זדוניות,
• תכונת ההגנה מבוססת הענן זמינה

תכונה זו מאפשרת לך לחסום קבצים שעלולים להיות זדוניים ברשת שלך. חסימת קובץ תמנע ממנו לקרוא, לכתוב או לבצע אותו במכשירים בארגון שלך.

כדי להפעיל את אפשר או לחסום קבצים:

1. בחלונית הניווט, בחר הגדרות נקודות קצה>תכונות>מתקדמות>כלליות אפשר או>חסום קובץ.

2. החלף את ההגדרה בין מופעלל'כבוי'.

   

3. בחר שמור העדפות בחלק התחתון של הדף.

לאחר הפעלת תכונה זו, באפשרותך לחסום קבצים באמצעות הכרטיסיה ' הוספת מחוון ' בדף פרופיל של קובץ.

הסתרת רשומות מכשיר כפולות פוטנציאליות

על-ידי הפעלת תכונה זו, באפשרותך להבטיח שאתה רואה את המידע המדויק ביותר אודות המכשירים שלך על-ידי הסתרת רשומות מכשיר כפולות פוטנציאליות. קיימות סיבות שונות לכך שרשומות כפולות של מכשירים עשויות להתרחש, לדוגמה, יכולת גילוי המכשיר ב- Microsoft Defender עבור נקודת קצה עשויה לסרוק את הרשת ולגלות מכשיר שכבר צרף או שהוורד לאחרונה.

תכונה זו תזהה מכשירים כפולים פוטנציאליים בהתבסס על שם המחשב המארח שלהם ושעה שנראתה לאחרונה. המכשירים הכפולים יוסתרו מחוויות מרובות בפורטל, כגון 'מלאי מכשירים', דפי ניהול פגיעויות של Microsoft Defender וממשקי API ציבוריים עבור נתוני מחשב, כך שהמכשיר המדויק ביותר יישאר גלוי. עם זאת, הכפילויות עדיין יהיו גלויות בדפים חיפוש כללי, ציד מתקדם, התראות ותקריות.

הגדרה זו מופעלת כברירת מחדל והיא מוחלת לכלל הדיירים. אם אינך מעוניין להסתיר רשומות מכשיר כפולות פוטנציאליות, יהיה עליך לבטל את התכונה באופן ידני.

מחווני רשת מותאמים אישית

הפעלת תכונה זו מאפשרת לך ליצור מחוונים עבור כתובות IP, תחומים או כתובות URL, אשר קובעים אם הם יורשו או ייחסמו בהתבסס על רשימת המחוונים המותאמת אישית שלך.

כדי להשתמש בתכונה זו, המכשירים חייבים לפעול Windows 10 גירסה 1709 ואילך, או Windows 11. עליהם גם להגן על הרשת במצב חסימה ובגירסה 4.18.1906.3 ואילך של הפלטפורמה למניעת תוכנות זדוניות , ראה KB 4052623.

לקבלת מידע נוסף, ראה ניהול מחוונים.

הערה

הגנת רשת ממנפת שירותי מוניטין שמעבדים בקשות במיקומים שעשויים להיות מחוץ למיקום שבחרת עבור נתוני נקודות הקצה של Defender for.

הגנה מפני טיפול שלא כדין

במהלך סוגים מסוימים של התקפות סייבר, שחקנים רעים מנסים להשבית תכונות אבטחה, כגון הגנת אנטי-וירוס, במחשבים שלך. שחקנים רעים אוהבים להפוך את תכונות האבטחה שלך ללא זמינות כדי לקבל גישה קלה יותר לנתונים שלך, להתקין תוכנות זדוניות או לנצל באופן אחר את הנתונים, הזהות והמכשירים שלך. הגנה מפני טיפול שלא כדין נועלת Microsoft Defender אנטי-וירוס ומונעת את שינוי הגדרות האבטחה שלך באמצעות אפליקציות ושיטות.

לקבלת מידע נוסף, כולל אופן קביעת התצורה של הגנה מפני טיפול שלא כדין, ראה הגנה על הגדרות אבטחה באמצעות הגנה מפני טיפול שלא כדין.

הצג פרטי משתמש

הפעל תכונה זו כדי שתוכל לראות את פרטי המשתמש המאוחסנים Microsoft Entra מזהה. הפרטים כוללים תמונה, שם, תפקיד ופרטי מחלקה של משתמש בעת חקירה של ישויות של חשבון משתמש. באפשרותך למצוא פרטי חשבון משתמש בתצוגות הבאות:

• תור התראה
• דף פרטי המכשיר

לקבלת מידע נוסף, ראה חקירת חשבון משתמש.

Skype for Business שילוב

הפעלת השילוב Skype for Business מאפשרת לך לקיים תקשורת עם משתמשים באמצעות Skype for Business, דואר אלקטרוני או טלפון. הפעלה זו יכולה להיות שימושית כאשר עליך לקיים תקשורת עם המשתמש ולצמצם סיכונים.

הערה

כאשר מכשיר מבודד מהרשת, יש חלון מוקפץ שבו באפשרותך לבחור להפוך את התקשורת של Outlook ו- Skype לזמינה, המאפשרת תקשורת עם המשתמש בזמן שהוא מנותק מהרשת. הגדרה זו חלה על תקשורת Skype ו- Outlook כאשר המכשירים נמצאים במצב בידוד.

Office 365 בינה של איומים

חשוב

הגדרה זו היתה בשימוש כאשר Microsoft Defender עבור Office 365 ו- Microsoft Defender עבור נקודת קצה היו בפורטלים שונים בעבר. לאחר התכנסות חוויות האבטחה בפורטל מאוחד המכונה כעת Microsoft Defender XDR, הגדרות אלה אינן רלוונטיות ולא משויכת אליהן פונקציונליות כלשהי. באפשרותך להתעלם בבטחה ממצב הפקד עד שהוא יוסר מהפורטל.

תכונה זו זמינה רק אם יש לך מנוי פעיל עבור Office 365 E5 או ההרחבה Threat Intelligence. לקבלת מידע נוסף, עיין Office 365 E5 המוצר החדש.

תכונה זו מאפשרת לך לשלב נתונים מ- Microsoft Defender עבור Office 365 לתוך Microsoft Defender XDR כדי לנהל חקירת אבטחה מקיפה בכל Office 365 הדואר והמכשירים של Windows.

הערה

יהיה עליך לקבל את הרשיון המתאים כדי להפוך תכונה זו לזמינה.

כדי לקבל שילוב של מכשירים הקשריים ב- Office 365 Threat Intelligence, יהיה עליך להפוך את הגדרות Defender for Endpoint לזמינות בלוח המחוונים של Security & Compliance. לקבלת מידע נוסף, ראה חקירת איום ותגובה.

הודעות על תקיפת נקודת קצה

הודעות תקיפה של נקודות קצה מאפשרות ל- Microsoft לחפש באופן פעיל אחר איומים קריטיים לפי סדר עדיפויות בהתבסס על דחיפות והשפעה על נתוני נקודת הקצה שלך.

עבור ציד יזום בטווח המלא של Microsoft Defender XDR, כולל איומים המשתרעים על פני דואר אלקטרוני, שיתוף פעולה, זהות, אפליקציות ענן ו נקודות קצה, קבל מידע נוסף על Microsoft Defender מומחים.

Microsoft Defender עבור יישומי ענן

הפיכת הגדרה זו לזמינה מעבירה את אותות Defender for Endpoint יישומי ענן של Microsoft Defender לספק ניראות עמוקה יותר של השימוש ביישום ענן. נתונים שהועברו מאוחסנים ומעובדים באותו מיקום שבו מאוחסנים נתוני האפליקציות שלך ב- Defender for Cloud.

הערה

תכונה זו תהיה זמינה עם רשיון E5 עבור Enterprise Mobility + Security במכשירים שבהם פועל Windows 10, גירסה 1709 (גירסת Build 16299.1085 של מערכת ההפעלה עם KB4493441), Windows 10, גירסה 1803 (גירסת Build 17134.704 של מערכת ההפעלה עם KB4493464), Windows 10, גירסה 1809 (גירסת Build 17763.379 של מערכת ההפעלה עם KB4489899), מאוחר יותר Windows 10, או Windows 11.

הפיכת שילוב Microsoft Defender עבור נקודת קצה לזמין מהפורטל Microsoft Defender עבור זהות שלך

כדי לקבל שילוב מכשירים הקשרי Microsoft Defender עבור זהות, תצטרך גם להפוך את התכונה לזמינה בפורטל Microsoft Defender עבור זהות שלך.

1. היכנס לפורטל Microsoft Defender עבור זהות באמצעות תפקיד מנהל מערכת כללי או מנהל אבטחה.

2. בחר Create המופע שלך.

3. העבר את ההגדרה שילוב למצב מופעל ובחר שמור.

לאחר השלמת שלבי השילוב בשני הפורטלים, תוכל לראות התראות רלוונטיות בדף פרטי המכשיר או פרטי המשתמש.

סינון תוכן באינטרנט

חסום גישה לאתרי אינטרנט המכילים תוכן לא רצוי ועקוב אחר פעילות אינטרנט בכל התחומים. כדי לציין את קטגוריות תוכן האינטרנט שברצונך לחסום, צור מדיניות סינון תוכן אינטרנט. ודא שיש לך הגנת רשת במצב חסימה בעת פריסת תוכנית הבסיס Microsoft Defender עבור נקודת קצה האבטחה.

שיתוף התראות נקודת קצה באמצעות פורטל התאימות של Microsoft Purview

העברת התראות אבטחה של נקודות קצה ומצב קביעת סדר העדיפויות שלהן ל- פורטל התאימות של Microsoft Purview, ומאפשרת לך לשפר את מדיניות ניהול הסיכונים הפנימיים באמצעות התראות ותיקון סיכונים פנימיים לפני שהם עלולים לגרום נזק. הנתונים שהועברו מעובדים ולאחסן אותם באותו מיקום שבו מאוחסנים Office 365 הנתונים.

לאחר קביעת התצורה של המחוונים להפרת מדיניות אבטחה בהגדרות ניהול הסיכונים של Insider, התראות Defender for Endpoint ישותפו עם ניהול סיכונים פנימיים עבור משתמשים ישימים.

מדידת שימוש מאומתת

באפשרותך להפעיל מדידת שימוש מאומתת כדי למנוע מדידת שימוש של התחזות בלוח המחוונים שלך.

Microsoft Intune קשר

ניתן לשלב את Defender for Endpoint עם Microsoft Intune כדי לאפשרגישה מותנית מבוססת סיכון במכשיר. בעת הפעלת תכונה זו, תוכל לשתף מידע על מכשיר Defender for Endpoint עם Intune, לשיפור אכיפת המדיניות.

חשוב

יהיה עליך להפוך את השילוב לזמין הן ב- Intune Defender for Endpoint כדי להשתמש בתכונה זו. לקבלת מידע נוסף אודות שלבים ספציפיים, ראה קביעת תצורה של גישה מותנית ב- Defender עבור נקודת קצה.

תכונה זו זמינה רק אם יש לך את הדרישות המוקדמות הבאות:

• דייר ברשיון עבור Enterprise Mobility + Security E3, ו- Windows E5 (או Microsoft 365 Enterprise E5)
• סביבת עבודה Microsoft Intune, עם Intune מנוהלי Windows, Microsoft Entra מצורפים.

מדיניות גישה מותנית

בעת הפיכת שילוב Intune לזמין, Intune תיצור באופן אוטומטי מדיניות גישה מותנית (CA) קלאסית. מדיניות קלאסית זו של רשות אישורים היא דרישה מוקדמת להגדרת דוחות מצב כך Intune. אין למחוק אותה.

הערה

מדיניות רשות אישורים (CA) הקלאסית שנוצרה על-ידי Intune שונה ממדיניות גישה מותנית מודרנית, המשמשת לקביעת תצורה של נקודות קצה.

גילוי מכשירים

עוזר לך למצוא מכשירים לא מנוהלים המחוברים לרשת הארגונית שלך ללא צורך במכשירים נוספים או בשינויי תהליך מסורבלים. באמצעות מכשירים מחוברים, תוכל למצוא מכשירים לא מנוהלים ברשת שלך ולהעריך פגיעויות וסיכונים. לקבלת מידע נוסף, ראה גילוי מכשיר.

הערה

תמיד תוכל להחיל מסננים כדי לא לכלול מכשירים לא מנוהלים ברשימת המלאי של המכשירים. באפשרותך גם להשתמש בעמודה מצב צירוף בשאילתות API כדי לסנן התקנים לא מנוהלים.

תכונות תצוגה מקדימה

למד אודות תכונות חדשות בהפצה של התצוגה המקדימה של Defender for Endpoint. נסה תכונות קרובות על-ידי הפעלת חוויית התצוגה המקדימה.

תהיה לך גישה לתכונות קרובות, שתוכל לספק משוב לגביהן כדי לסייע בשיפור החוויה הכוללת לפני שהתכונות יהיו זמינות בדרך כלל.

הורדת קבצים בהסגר

גבה קבצים בהסגר במיקום מאובטח ותואם כדי שניתן יהיה להוריד אותם ישירות מהסגר. לחצן הורד קובץ יהיה תמיד זמין בדף הקובץ. הגדרה זו מופעלת כברירת מחדל. קבל מידע נוסף אודות דרישות

קישוריות יעילה במהלך צירוף מכשיר (תצוגה מקדימה)

הגדרה זו תגדיר את חבילת הצירוף המהווה ברירת מחדל ל'יעילה' עבור מערכות הפעלה ישימות.

עדיין תהיה לך אפשרות להשתמש בחבילה הרגילה של הצירוף בתוך דף הצירוף, אך יהיה עליך לבחור אותה באופן ספציפי ברשימה הנפתחת.

נושאים קשורים

• עדכון הגדרות שמירת נתונים
• קבע תצורה של הודעות התראה

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.