זיהוי נקודת קצה ותגובה במצב חסימה
חל על:
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
- האנטי-וירוס של Microsoft Defender
פלטפורמות
- Windows
רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
מאמר זה מתאר את EDR במצב חסימה, המסייע בהגנה על מכשירים שבהם פועל פתרון אנטי-וירוס שאינו של Microsoft (עם האנטי-וירוס של Microsoft Defender במצב פאסיבי).
מהו EDR במצב חסימה?
זיהוי נקודות קצה ותגובה (EDR) במצב חסימה מספק הגנה נוספת מפני פריטים זדוניים כאשר האנטי-וירוס של Microsoft Defender אינו מוצר האנטי-וירוס הראשי והוא פועל במצב פאסיבי. EDR במצב חסימה זמין ב- Defender for Endpoint Plan 2.
חשוב
EDR במצב חסימה אינו יכול לספק את כל ההגנה הזמינה כאשר הגנה בזמן אמת של האנטי-וירוס של Microsoft Defender נמצאת במצב פאסיבי. יכולות מסוימות התלויות באנטי-וירוס של Microsoft Defender כפתרון האנטי-וירוס הפעיל לא יפעלו, כגון הדוגמאות הבאות:
- הגנה בזמן אמת, כולל סריקה בגישה וסריקה מתוזמנת אינה זמינה כאשר האנטי-וירוס של Microsoft Defender במצב פאסיבי. לקבלת מידע נוסף על הגדרות מדיניות הגנה בזמן אמת, ראה הפעלה ותצורה של הגנה תמידית של האנטי-וירוס של Microsoft Defender.
- תכונות כגון הגנה על רשת ומחוונים להפחתת פני השטח של ההתקפה (קוד Hash של קובץ, כתובת IP, כתובת URL ואישורים) זמינות רק כאשר האנטי-וירוס של Microsoft Defender פועל במצב פעיל. צפוי שפתרון האנטי-וירוס שלך שאינו של Microsoft כולל יכולות אלה.
EDR במצב חסימה פועל מאחורי הקלעים לתיקון פריטים זדוניים שזוהו על-ידי יכולות EDR. ייתכן שפריטים ממצאים אלה הוחנו על-ידי מוצר האנטי-וירוס הראשי שאינו של Microsoft. EDR במצב חסימה מאפשר לאאנטי-וירוס של Microsoft Defender לבצע פעולות על זיהויי EDR לאחר הפרה וההתפקוד שלהם.
EDR במצב חסימה משולב עם יכולות & ניהול פגיעויות . צוות האבטחה של הארגון שלך מקבל המלצת אבטחה כדי להפעיל את EDR במצב חסימה אם הוא עדיין אינו זמין.
עצה
כדי לקבל את ההגנה הטובה ביותר, הקפד לפרוס את Microsoft Defender עבור תוכניות בסיסיות של נקודות קצה.
צפה בסרטון וידאו זה כדי ללמוד מדוע וכיצד להפעיל זיהוי ותגובה של נקודות קצה (EDR) במצב חסימה, לאפשר חסימה התנהגותית וחסימה בכל שלב, החל מהפרה מראש וכלה לאחר ההפרה.
מה קורה כאשר משהו מזוהה?
כאשר EDR במצב חסימה מופעל ומתגלה חפץ זדוני, Defender for Endpoint מתקנו את החפץ. צוות פעולות האבטחה שלך רואה את מצב הזיהוי כ'חסום' או 'מונע' במרכז הפעולות, המפורט כפעולות שהושלמו. התמונה הבאה מציגה מופע של תוכנה לא רצויה שזוהתה ותווראה באמצעות EDR במצב חסימה:
הפיכת EDR לזמין במצב חסימה
חשוב
- ודא שהדרישות עומדות לפני הפעלת EDR במצב חסימה.
- יש צורך ברשיונות של Defender for Endpoint Plan 2.
- החל מגירסה 4.18.2202.X של פלטפורמה, באפשרותך להגדיר את EDR במצב חסימה כדי לייעד קבוצות מכשירים ספציפיות באמצעות מקב'ה של Intune. באפשרותך להמשיך להגדיר את EDR בכל הדיירים במצב חסימה בפורטל Microsoft Defender.
- EDR במצב חסימה מומלץ בעיקר עבור מכשירים שבהם פועל האנטי-וירוס של Microsoft Defender במצב פאסיבי (פתרון אנטי-וירוס שאינו של Microsoft מותקן ופעיל במכשיר).
פורטל Microsoft Defender
עבור אל פורטל Microsoft Defender (https://security.microsoft.com/) והיכנס.
בחר הגדרות>נקודות קצה תכונות>מתקדמות>כלליות.
גלול מטה ולאחר מכן הפעל את הפוך את EDR לזמין במצב חסימה.
Intune
כדי ליצור מדיניות מותאמת אישית ב- Intune, ראה פריסת OMA-URIs כדי לייעד CSP באמצעות Intune, והשוואה לסביבה מקומית.
לקבלת מידע נוסף על ה- CSP של Defender המשמש עבור EDR במצב חסימה, ראה "Configuration/PassiveRemediation" תחת Defender CSP.
דרישות עבור EDR במצב חסימה
הטבלה הבאה מפרטת את הדרישות עבור EDR במצב חסימה:
דרישה | פרטים |
---|---|
הרשאות | תפקיד מנהל המערכת הכללי או מנהל האבטחה חייב להיות מוקצה במזהה Microsoft Entra. לקבלת מידע נוסף, ראה הרשאות בסיסיות. |
מערכת הפעלה | במכשירים חייבת לפעול אחת מהגרסאות הבאות של Windows: - Windows 11 - Windows 10 (כל המהדורות) - Windows Server 2019 ואילך - Windows Server, גרסה 1803 ואילך - Windows Server 2016 ו- Windows Server 2012 R2 (עם פתרון הלקוח המאוחד החדש) |
Microsoft Defender עבור תוכנית 2 של נקודת קצה | המכשירים חייבים להיות מחוברים ל- Defender for Endpoint. עיין במאמרים הבאים: - דרישות מינימליות עבור Microsoft Defender עבור נקודת קצה - קלוט מכשירים והגדר את התצורה של Microsoft Defender עבור יכולות של נקודות קצה - צירוף שרתי Windows לשירות נקודות הקצה של Defender for - פונקציונליות חדשה של Windows Server 2012 R2 ו- 2016 בפתרון המאוחד המודרני (ראה האם EDR במצב חסימה נתמך ב- Windows Server 2016 וב- Windows Server 2012 R2?) |
האנטי-וירוס של Microsoft Defender | במכשירים צריכה להיות מותקנת והפעלה של האנטי-וירוס של Microsoft Defender במצב פעיל או במצב פאסיבי. ודא שהאנטי-וירוס של Microsoft Defender נמצא במצב פעיל או פאסיבי. |
הגנה מבוססת ענן | יש לקבוע את התצורה של האנטי-וירוס של Microsoft Defender כך שהגנת הענן תהיה זמינה. |
פלטפורמת האנטי-וירוס של Microsoft Defender | המכשירים חייבים להיות מעודכנים. כדי לאשר, באמצעות PowerShell, הפעל את ה- cmdlet Get-MpComputerStatus כמנהל מערכת. בשורה AMProductVersion , אתה אמור לראות את 4.18.2001.10 ואילך. לקבלת מידע נוסף, ראה עדכוני ניהול אנטי-וירוס של Microsoft Defender והחלת תוכניות בסיסיות. |
מנגנון האנטי-וירוס של Microsoft Defender | המכשירים חייבים להיות מעודכנים. כדי לאשר, באמצעות PowerShell, הפעל את ה- cmdlet Get-MpComputerStatus כמנהל מערכת. בשורה AMEngineVersion , אתה אמור לראות את 1.1.16700.2 ואילך. לקבלת מידע נוסף, ראה עדכוני ניהול אנטי-וירוס של Microsoft Defender והחלת תוכניות בסיסיות. |
חשוב
כדי לקבל את ערך ההגנה הטוב ביותר, ודא שפתרון האנטי-וירוס שלך מוגדר לקבל עדכונים קבועים ותכונות חיוניות ושהפריטים שאינם נכללים מוגדרים. EDR במצב חסימה מכבד אי-הכללות המוגדרות עבור האנטי-וירוס של Microsoft Defender, אך לא מחוונים המוגדרים עבור Microsoft Defender עבור נקודת קצה.
Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.