נקיטת פעולות תגובה במכשיר
חל על:
חשוב
חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.
השב במהירות למתקפות שזוהו על-ידי מבודד מכשירים או איסוף חבילת חקירה. לאחר ביצוע פעולה במכשירים, באפשרותך לבדוק את פרטי הפעילות במרכז הפעולות.
פעולות תגובה פועלות לאורך החלק העליון של דף מכשיר ספציפי וכוללות:
- ניהול תגיות
- הפעלת חקירה אוטומטית
- הפעל הפעלת תגובה חיה
- אסוף חבילת חקירה
- הפעל סריקת אנטי-וירוס
- הגבל ביצוע אפליקציה
- בודד מכשיר
- כלול מכשיר
- התייעץ עם מומחה לאיומים
- מרכז הפעולות
חשוב
Defender for Endpoint Plan 1 כולל רק את פעולות התגובה הידני הבאות:
- הפעל סריקת אנטי-וירוס
- בודד מכשיר
- עצירה והסגר של קובץ
- הוסף מחוון כדי לחסום או לאפשר קובץ.
Microsoft Defender for Business אינה כוללת כעת את הפעולה "עצור והסגר קובץ".
המנוי שלך חייב לכלול את Defender for Endpoint Plan 2 כדי שכל פעולות התגובה המתוארות במאמר זה יהיו מתוארות.
באפשרותך למצוא דפי מכשיר מכל אחת מהתצוגות הבאות:
- תור התראות - בחר את שם המכשיר לצד סמל המכשיר מתור ההתראות.
- רשימת מכשירים - בחר את הכותרת של שם המכשיר מרשימת המכשירים.
- תיבת חיפוש - בחר התקן מהתפריט הנפתח והזן את שם המכשיר.
חשוב
לקבלת מידע על זמינות ותמיכה עבור כל פעולת תגובה, עיין בדרישות מערכת ההפעלה הנתמכות/המינימליות שנמצאות תחת כל תכונה.
ניהול תגיות
הוסף או נהל תגיות כדי ליצור השתייכות לקבוצה לוגית. תגיות מכשיר תומכות במיפוי נכון של הרשת, ומאפשרות לך לצרף תגיות שונות כדי ללכוד הקשר ולאפשר יצירת רשימה דינאמית כחלק מתקרית.
לקבלת מידע נוסף אודות תיוג מכשירים, ראה יצירה וניהול של תגיות מכשיר.
הפעלת חקירה אוטומטית
באפשרותך להתחיל חקירה אוטומטית חדשה של מטרה כללית במכשיר במידת הצורך. בזמן שחקירה פועלת, כל התראה אחרת שנוצרת מהמכשיר תתווסף לחקירה אוטומטית מתמשכת עד להשלמת חקירה זו. בנוסף, אם אותו איום מוצג במכשירים אחרים, מכשירים אלה נוספים לחקירה.
לקבלת מידע נוסף אודות חקירות אוטומטיות, ראה מבט כולל על חקירות אוטומטיות.
הפעל הפעלת תגובה חיה
תגובה חיה היא יכולת שמספקת לך גישה מיידית למכשיר באמצעות חיבור מעטפת מרוחק. כך תוכל לבצע עבודת חקירה מעמיקה ולבצע פעולות תגובה מיידיות כדי להכיל מיד איומים שזוהו בזמן אמת.
תגובה חיה מיועדת לשפר את החקירות על-ידי כך שהיא מאפשרת לך לאסוף נתונים משפטיים, להפעיל קבצי Script, לשלוח ישויות חשודות לניתוח, לתיקון איומים ולצוד באופן יזום אחר איומים מתפתחים.
לקבלת מידע נוסף על תגובה חיה, ראה חקירת ישויות במכשירים המשתמשים בתגובה חיה.
איסוף חבילת חקירה ממכשירים
כחלק מתהליך החקירה או התגובה, באפשרותך לאסוף חבילת חקירה ממכשיר. על-ידי איסוף חבילת החקירה, באפשרותך לזהות את המצב הנוכחי של המכשיר ולהבין עוד יותר את הכלים והטכניקות שבהם משתמש התוקף.
כדי להוריד את החבילה (קובץ Zip) ולחקור את האירועים שהתרחשו במכשיר:
בחר אסוף חבילת חקירה משורת פעולות התגובה בחלק העליון של דף המכשיר.
ציין בתיבת הטקסט מדוע ברצונך לבצע פעולה זו. בחר אשר.
קובץ ה- zip מוריד.
שלבים חלופיים:
בחר אסוף חבילת חקירה במקטע פעולות התגובה של דף המכשיר.
הוסף הערות ובחר אשר.
בחר מרכז הפעולות ממקטע פעולות התגובה בדף המכשיר.
לחץ על חבילת אוסף החבילות הזמינה כדי להוריד את חבילת האוסף.
עבור מכשירי Windows, החבילה מכילה את התיקיות הבאות:
תיקיה תיאור הפעלות אוטומטיות מכיל ערכת קבצים שכל אחד מהם מייצג את התוכן של הרישום של נקודת כניסה ידועה של התחלה אוטומטית (ASEP) כדי לעזור לזהות עקביות של התוקף במכשיר. הערה: אם מפתח הרישום לא נמצא, הקובץ יכיל את ההודעה הבאה: "שגיאה: למערכת לא היתה אפשרות למצוא את מפתח הרישום או הערך שצוינו."תוכניות מותקנות קובץ .CSV מכיל את רשימת התוכניות המותקנות, שעשויות לעזור לזהות מה מותקן כעת במכשיר. לקבלת מידע נוסף, ראה Win32_Product שלך. חיבורי רשת תיקיה זו מכילה ערכה של נקודות נתונים הקשורות למידע הקישוריות, שעשוי לסייע בזיהוי קישוריות לכתובות URL חשודות, לפקודה ולשליטה של התוקף (C&C), לתנועה רוחבית או לחיבורים מרוחקים. - ActiveNetConnections.txt: הצגת סטטיסטיקת פרוטוקולים וחיבורי רשת TCP/IP נוכחיים. מספק את היכולת לחפש קישוריות חשודה שנוצרה על-ידי תהליך.
- Arp.txt: הצגת טבלאות המטמון הנוכחיות של פרוטוקול זיהוי כתובות (ARP) עבור כל הממשקים. מטמון ARP יכול לחשוף מארחים אחרים ברשת שנחשפו או מערכות חשודות ברשת שייתכן ששימשו להפעלת מתקפה פנימית.
- DnsCache.txt: הצגת התוכן של מטמון פותרן לקוח ה- DNS, הכולל את שני הערכים שנטענו מראש מקובץ Hosts המקומי וכל רשומת משאבים שהושגה לאחרונה עבור שאילתות שם שנפתרו על-ידי המחשב. הדבר יכול לסייע בזיהוי חיבורים חשודים.
- IpConfig.txt: הצגת תצורת TCP/IP המלאה עבור כל המתאם. מתאמים יכולים לייצג ממשקים פיזיים, כגון מתאמי רשת מותקנים או ממשקים לוגיים, כגון חיבורי חיוג.
- FirewallExecutionLog.txt ו- pfirewall.log
הערה: קובץ pfirewall.log חייב להיות קיים ב- %windir%\system32\logfiles\firewall\pfirewall.log, כך שהוא ייכלל בחבילה החקירה. לקבלת מידע נוסף אודות יצירת קובץ יומן הרישום של חומת האש, ראה קביעת תצורה של חומת האש של Windows Defender עם יומן אבטחה מתקדםהזנה מראש של קבצים קבצי Windows Prefetch מיועדים לזרז את תהליך ההפעלה של היישום. ניתן להשתמש בו כדי לעקוב אחר כל הקבצים שהיו בשימוש לאחרונה במערכת ולאתר מעקבים עבור יישומים שייתכן שנמחקו, אך עדיין ניתן למצוא אותם ברשימת הקבצים של ההפצה מראש. - התיקיה Prefetch: מכילה עותק של קבצי ההפצה מראש מ-
%SystemRoot%\Prefetch
. הערה: מומלץ להוריד מציג קבצים של התאמה מראש כדי להציג את קבצי ההפצה מראש. - PrefetchFilesList.txt: מכיל את הרשימה של כל הקבצים שהועתקו שניתן להשתמש בהם כדי לעקוב אם היו כשלים כלשהם בהעתקה אל התיקיה prefetch.
תהליכים מכיל קובץ .CSV המציין את התהליכים הפועלים ומספק את היכולת לזהות תהליכים נוכחיים הפועלים במכשיר. פעולה זו יכולה להיות שימושית בעת זיהוי תהליך חשוד והמצב שלו. פעילויות מתוזמנות מכילה .CSV רישום של המשימות המתוזמנות, שניתן להשתמש בו לזיהוי שגרות שבוצעו באופן אוטומטי במכשיר שנבחר כדי לחפש קוד חשוד שהוגדר לפעול באופן אוטומטי. יומן אירועי אבטחה מכיל את יומן אירועי האבטחה, המכיל רשומות של פעילות הכניסה או ההתחברות, או אירועים אחרים הקשורים לאבטחה שצוינו על-ידי מדיניות הביקורת של המערכת. הערה: פתח את קובץ יומן האירועים באמצעות מציג האירועים.שירותים מכיל קובץ .CSV המפרט את השירותים ואת המצבים שלהם. הפעלות בלוק הודעות של Windows Server (SMB) רשימות גישה משותפת לקבצים, מדפסות ויציאות טוריות ותקשורת בין צמתים ברשת. פעולה זו יכולה לסייע בזיהוי סינון נתונים או תנועה רוחבית. מכיל קבצים עבור SMBInboundSessions ו- SMBOutboundSession.
הערה: אם לא נמצאו הפעלות (נכנסות או יוצאות), תקבל קובץ טקסט שמציין שלא נמצאו הפעלות SMB.מידע מערכת מכיל קובץ SystemInformation.txt המפרט מידע מערכת כגון גירסת מערכת ההפעלה וכרטיסי רשת. ספריות זמניות מכיל ערכה של קבצי טקסט המפרטים את הקבצים הממוקמים ב- %Temp% עבור כל משתמש במערכת. פעולה זו יכולה לסייע במעקב אחר קבצים חשודים שתוקף שחרר במערכת.
הערה: אם הקובץ מכיל את ההודעה הבאה: "למערכת אין אפשרות למצוא את הנתיב שצוין", פירוש הדבר שאין ספריה זמנית עבור משתמש זה, וייתכן שהסיבה לכך היא שהמשתמש לא נכנס למערכת.משתמשים קבוצות מספק רשימה של קבצים שכל אחד מהם מייצג קבוצה וחבריה. WdSupportLogs מספק את MpCmdRunLog.txt ואת MPSupportFiles.cab הערה: תיקיה זו תיווצר רק בגירסה Windows 10 1709 ואילך עם אוסף עדכונים של פברואר 2020 או בהתקנה עדכנית יותר:CollectionSummaryReport.xls קובץ זה הוא סיכום של אוסף חבילת החקירה, הוא מכיל את רשימת נקודות הנתונים, הפקודה המשמשת לחילוץ הנתונים, מצב הביצוע וקוד השגיאה אם מתרחש כשל. באפשרותך להשתמש בדוח זה כדי לעקוב אם החבילה כוללת את כל הנתונים הצפויים ולזהות אם אירעה שגיאות. חבילות האוסף עבור מכשירי macOS ו- Linux מכילות את הרכיבים הבאים:
חפץ macOS לינוקס (Linux) יישומים רשימה של כל היישומים המותקנים לא ישים אמצעי אחסון של דיסק - כמות השטח הפנוי
- רשימה של כל אמצעי האחסון של הדיסק הטעינה
- רשימה של כל המחיצות
- כמות השטח הפנוי
- רשימה של כל אמצעי האחסון של הדיסק הטעינה
- רשימה של כל המחיצות
קובץ רשימה של כל הקבצים הפתוחים עם התהליכים המתאימים המשתמשים בקבצים אלה רשימה של כל הקבצים הפתוחים עם התהליכים המתאימים המשתמשים בקבצים אלה היסטוריה היסטוריית מעטפת לא ישים מודולי ליבה כל המודולים שנטענו לא ישים חיבורי רשת - חיבורים פעילים
- חיבורי האזנה פעילים
- טבלת ARP
- כללי חומת אש
- תצורת ממשק
- הגדרות Proxy
- הגדרות VPN
- חיבורים פעילים
- חיבורי האזנה פעילים
- טבלת ARP
- כללי חומת אש
- רשימת IP
- הגדרות Proxy
תהליכים רשימה של כל התהליכים הפועלים רשימה של כל התהליכים הפועלים שירותים ומשימות מתוזמנות - אישורים
- פרופילי תצורה
- מידע אודות חומרה
- פרטי CPU
- מידע אודות חומרה
- מידע על מערכת ההפעלה
מידע אבטחת מערכת - מידע על תקינות ממשק קושחה מורחב (EFI)
- מצב חומת אש
- מידע על הכלי להסרת תוכנות זדוניות (MRT)
- מצב הגנת תקינות מערכת (SIP)
לא ישים משתמשים וקבוצות - היסטוריית כניסה
- סוקרים
- היסטוריית כניסה
- סוקרים
הפעל את Microsoft Defender אנטי-וירוס במכשירים
כחלק מתהליך החקירה או התגובה, באפשרותך ליזום מרחוק סריקת אנטי-וירוס כדי לסייע בזיהוי ובתיקון של תוכנות זדוניות שעשויות להיחשף למכשיר שנחשף לסכנה.
חשוב
- פעולה זו נתמכת עבור macOS ו- Linux עבור גירסת לקוח 101.98.84 ואילך. באפשרותך גם להשתמש בתגובה חיה כדי להפעיל את הפעולה. לקבלת מידע נוסף על תגובה חיה, ראה חקירת ישויות במכשירים המשתמשים בתגובה חיה
- סריקת Microsoft Defender אנטי-וירוס יכולה לפעול לצד פתרונות אנטי-וירוס אחרים, בין אם אנטי Microsoft Defender אנטי-וירוס הוא פתרון האנטי-וירוס הפעיל או לא. Microsoft Defender האנטי-וירוס יכול להיות במצב פאסיבי. לקבלת מידע נוסף, ראה Microsoft Defender אנטי-וירוס.
לאחר שבחרת באפשרות הפעל סריקת אנטי-וירוס, בחר את סוג הסריקה שברצונך להפעיל (מהיר או מלא) והוסף הערה לפני אישור הסריקה.
מרכז הפעולות יציג את מידע הסריקה וציר הזמן של המכשיר יכלול אירוע חדש, המציין שפעולה סריקה נשלחה במכשיר. Microsoft Defender אנטי-וירוס ישקפו את כל הזיהויים שהופעלו במהלך הסריקה.
הערה
בעת הפעלת סריקה באמצעות פעולת התגובה של Defender for Endpoint, Microsoft Defender האנטי-וירוס 'ScanAvgCPULoadFactor' עדיין חל ומגביל את השפעת ה- CPU של הסריקה. אם התצורה של ScanAvgCPULoadFactor לא נקבעה, ערך ברירת המחדל הוא מגבלה של 50% טעינת CPU מרבית במהלך סריקה. לקבלת מידע נוסף, ראה configure-advanced-scan-types-microsoft-defender-antivirus.
הגבל ביצוע אפליקציה
בנוסף להתקפה על-ידי הפסקת תהליכים זדוניים, באפשרותך גם לנעול מכשיר ולמנוע את הניסיונות הבאים של תוכניות שעשויות להיות זדוניות לפעול.
חשוב
- פעולה זו זמינה עבור מכשירים בגירסה Windows 10, בגירסה 1709 ואילך, ב- Windows 11 וב- Windows Server 2019 ואילך.
- תכונה זו זמינה אם הארגון שלך משתמש ב- Microsoft Defender אנטי-וירוס.
- פעולה זו צריכה לעמוד בתבניות מדיניות תקינות הקוד ודרישות החתימה של בקרת האפליקציות של Windows Defender. לקבלת מידע נוסף, ראה תבניות וחתימה של מדיניות תקינות קוד).
כדי להגביל את הפעלת היישום, חלה מדיניות תקינות קוד המאפשרת לקבצים לפעול רק אם הם חתומים על-ידי אישור שהונפק על-ידי Microsoft. שיטה זו של הגבלה יכולה למנוע מתוקף לשלוט במכשירים שנחשף לסכנה ולבצע פעילויות זדוניות נוספות.
הערה
תוכל לבטל את הגבלת היכולת של אפליקציות לפעול בכל עת. הלחצן בדף המכשיר ישתנה כדי לומר הסר הגבלות של אפליקציות ולאחר מכן בצע את אותם שלבים כמו הגבלת ביצוע האפליקציה.
לאחר שבחרת הגבל ביצוע אפליקציה בדף המכשיר, הקלד הערה ובחר אשר. מרכז הפעולות יציג את פרטי הסריקה וציר הזמן של המכשיר יכלול אירוע חדש.
הודעה על משתמש במכשיר
כאשר אפליקציה מוגבלת, מוצגת ההודעה הבאה כדי ליידע את המשתמש כי אפליקציה מסוימת מוגבלת מההפעלה:
הערה
ההודעה אינה זמינה ב- Windows Server 2016 וב- Windows Server 2012 R2.
בודד מכשירים מהרשת
בהתאם לחומרת התקיפה ולרגישות המכשיר, ייתכן שתרצה לבודד את ההתקן מהרשת. פעולה זו יכולה לעזור למנוע מהתוקף לשלוט במכשיר שנחשף לסכנה ולבצע פעילויות נוספות כגון הסרת נתונים ותנועה רוחבית.
חשוב
- אבטחת מכשירים מהרשת נתמכת עבור macOS עבור גירסת לקוח 101.98.84 ואילך. באפשרותך גם להשתמש בתגובה חיה כדי להפעיל את הפעולה. לקבלת מידע נוסף על תגובה חיה, ראה חקירת ישויות במכשירים המשתמשים בתגובה חיה
- בידוד מלא זמין עבור מכשירים שבהם פועל Windows 11, Windows 10, גירסה 1703 ואילך, Windows Server 2022, Windows Server 2019, Windows Server 2016 ו- Windows Server 2012 R2.
- באפשרותך להשתמש ביכולת בידוד המכשיר בכל הדרישות Microsoft Defender עבור נקודת קצה ב- Linux המפורטות בדרישות המערכת. ודא שהדרישות המוקדמות הבאות זמינות: טבלאות iptable, טבלאות ip6 והליבה של Linux עם CONFIG_NETFILTER, CONFID_IP_NF_IPTABLES ו- CONFIG_IP_NF_MATCH_OWNER.
- בידוד סלקטיבי זמין עבור מכשירים שבהם פועלת Windows 10, גירסה 1709 ואילך, והתקנים Windows 11.
- בעת מבודד מכשיר, מותרים רק תהליכים ויעדים מסוימים. לכן, מכשירים מאחורי מנהרת VPN מלאה לא יוכלו להגיע לשירות הענן Microsoft Defender עבור נקודת קצה לאחר שהמכשיר מבודד. אנו ממליצים להשתמש ב- VPN לפתרון מנהרה מפוצלת עבור Microsoft Defender עבור נקודת קצה ותעבורה מבוססת ענן של אנטי-וירוס Microsoft Defender אנטי-וירוס.
- התכונה תומכת בחיבור VPN.
- דרושות לך לפחות אחת מהרשאות התפקיד הבאות: 'פעולות תיקון פעילות'. לקבלת מידע נוסף, ראה יצירה וניהול של תפקידים.
- דרושה לך גישה למכשיר בהתבסס על ההגדרות של קבוצת המכשירים. לקבלת מידע נוסף, ראה יצירה וניהול של קבוצות מכשירים.
- אי הכללה הן עבור בידוד macOS והן עבור בידוד Linux אינה נתמכת.
- התקן מבודד מוסר מהבידוד כאשר מנהל מערכת משנה או מוסיף כלל iptable חדש למכשיר המבודד.
- מבודד שרת הפועל ב- Microsoft Hyper-V חוסם תעבורת רשת לכל המחשבים הווירטואליים הצאצאים של השרת.
תכונת בידוד מכשיר זו מנתקת את המכשיר שנחשף לסכנה מהרשת ושומרת על הקישוריות לשירות Defender for Endpoint, אשר ממשיך לנטר את המכשיר.
ב Windows 10, גירסה 1709 ואילך, תהיה לך שליטה גבוהה יותר על רמת בידוד הרשת. באפשרותך גם לבחור להפוך את Outlook, Microsoft Teams וקישוריות Skype for Business (נוסחה גם 'בידוד סלקטיבי').
הערה
תוכל לחבר מחדש את המכשיר לרשת בכל עת. הלחצן בדף המכשיר ישתנה כדי ללחוץ על שחרר מהבידוד , ולאחר מכן בצע את אותם השלבים של בידוד המכשיר.
לאחר שתבחר באפשרות בודד מכשיר בדף המכשיר, הקלד הערה ובחר אשר. מרכז הפעולות יציג את פרטי הסריקה וציר הזמן של המכשיר יכלול אירוע חדש.
הערה
המכשיר יישאר מחובר לשירות נקודות הקצה של Defender for גם אם הוא מבודד מהרשת. אם בחרת להפוך את Outlook Skype for Business לזמין, תוכל לקיים תקשורת עם המשתמש בזמן שהמכשיר מבודד. בידוד סלקטיבי פועל רק בגירסאות הקלאסיות של Outlook ו- Microsoft Teams.
שחרור התקן בכוח מבידוד
תכונת בידוד המכשיר היא כלי לשמירה על מכשירים מפני איומים חיצוניים. עם זאת, קיימים מופעים שבהם מכשירים מבודדים מפסיקים להגיב.
ישנו קובץ Script להורדה עבור מופעים אלה שניתן להפעיל כדי לשחרר מכשירים בכוח מהבידוד. קובץ ה- Script זמין באמצעות קישור בממשק המשתמש.
הערה
- מנהלי מערכת ומנהלים הגדרות אבטחה בהרשאות מרכז האבטחה יכולים לשחרר מכשירים בכוח מהבידוד.
- קובץ ה- Script חוקי עבור המכשיר הספציפי בלבד.
- תוקפו של קובץ ה- Script יפוג בעוד שלושה ימים.
כדי לשחרר התקן בכוח מבידוד:
- בדף המכשיר, בחר הורד קובץ Script כדי לכפות שחרור מכשיר מבידוד מתפריט הפעולות.
- באשף בצד שמאל, בחר הורד קובץ Script.
דרישות מינימליות
הדרישות המינימליות עבור התכונה 'התקן שחרור כפוי מהבידוד' הן:
- Windows בלבד. הגירסאות הבאות נתמכות:
- Windows 10 21H2 ו- 22H2 עם KB KB5023773.
- Windows 11 21H2, כל המהדורות עם KB5023774.
- Windows 11 22H2, כל המהדורות עם KB5023778.
הודעה על משתמש במכשיר
כאשר מכשיר מבודד, מוצגת ההודעה הבאה כדי ליידע את המשתמש שהמכשיר מבודד מהרשת:
הערה
ההודעה אינה זמינה בפלטפורמות שאינן של Windows.
כלול מכשירים מהרשת
לאחר שזיהית מכשיר לא מנוהל שנחשף לסכנה או שנחשף לסכנה, ייתכן שתרצה להכיל מכשיר זה מהרשת כדי למנוע מהמתקפה הפוטנציאלית לנוע לרוחב הרשת. כאשר אתה מכיל מכשיר, כל Microsoft Defender עבור נקודת קצה מחובר תחסום תקשורת נכנסת ויוצאת עם מכשיר זה. פעולה זו יכולה לסייע במניעת סכנה של מכשירים שכנים בזמן שמנתח פעולות האבטחה מאתר, מזהה ומתקנת את האיום במכשיר שנחשף לסכנה.
הערה
חסימת תקשורת נכנסת ותקשורת יוצאת עם מכשיר 'כלול' נתמכת בהתקנים Microsoft Defender עבור נקודת קצה Windows 10 ו- Windows Server 2019+ .
לאחר ההכלה של המכשירים, מומלץ לחקור ולעדכן את האיום במכשירים הכלולים בהקדם האפשרי. לאחר התיקון, עליך להסיר את המכשירים מההישור.
כיצד להכיל מכשיר
עבור אל הדף מלאי מכשירים ובחר את המכשיר שברצונך להכיל.
בחר באפשרות כלול מכשיר מתפריט הפעולות בתפריט הנשלף של המכשיר.
בחלון המוקפץ מכיל מכשיר, הקלד הערה ובחר אשר.
חשוב
מכיל מספר רב של מכשירים עלול לגרום לבעיות ביצועים ב- Defender עבור מכשירים המחוברים באמצעות נקודת קצה. כדי למנוע בעיות, Microsoft ממליצה לכלול עד 100 מכשירים בכל זמן נתון.
מכילים מכשיר דף המכשיר
ניתן גם לכלול מכשיר מסוים בדף המכשיר על-ידי בחירה באפשרות כלול מכשיר משורת הפעולות:
הערה
ייתכן שידרשו עד 5 דקות עד שהפרטים על מכשיר חדש הכלול בו יגיעו Microsoft Defender עבור נקודת קצה מחוברים.
חשוב
- אם מכשיר כלול משנה את כתובת ה- IP שלו, Microsoft Defender עבור נקודת קצה המכשירים הכלולים בו יזהו זאת ויתחילו לחסום את התקשורת עם כתובת ה- IP החדשה. כתובת ה- IP המקורית לא תיחסם עוד (ייתכן שיחלפו עד 5 דקות כדי לראות שינויים אלה).
- במקרים שבהם ה- IP של המכשיר הכלול נמצא בשימוש על-ידי מכשיר אחר ברשת, תופיע אזהרה בעת הוספת המכשיר, עם קישור לציד מתקדם (עם שאילתה מאוכלסת מראש). פעולה זו תספק ניראות למכשירים האחרים המשתמשים באותה כתובת IP כדי לעזור לך לקבל החלטה מודעת אם ברצונך להמשיך להכיל את המכשיר.
- במקרים שבהם ההתקן הכלול הוא התקן רשת, תופיע אזהרה עם הודעה שעשויה לגרום לבעיות בקישוריות הרשת (לדוגמה, המכיל נתב הפועל כשער ברירת מחדל). בשלב זה, תוכל לבחור אם להכיל את המכשיר או לא.
לאחר שתכיל מכשיר, אם אופן הפעולה אינו כצפוי, ודא ששירות Base Filtering Engine (BFE) זמין במכשירים הכלולים ב- Defender for Endpoint.
הפסקת ההכיל של מכשיר
תוכל להפסיק את ההכיל של מכשיר בכל עת.
בחר את המכשיר מתוך רשימת המלאי של המכשירים או פתח את דף המכשיר.
בחר הפצה מכליל מתפריט הפעולה. פעולה זו תשחזר את החיבור של מכשיר זה לרשת.
מכילים משתמש מהרשת
כאשר זהות ברשת שלך עלולה להיחשף לסכנה, עליך למנוע את הגישה של זהות זו לרשת ול נקודות קצה שונות. Defender for Endpoint יכול "להכיל" זהות, לחסום את הגישה שלה ולסייע במניעת התקפות - במיוחד, תוכנת כופר. כאשר זהות מכילה, כל התקן רשום נתמך של Microsoft Defender עבור נקודת קצה יחסום תעבורה נכנסת בפרוטוקולים ספציפיים הקשורים לתקיפות (כניסות רשת, RPC, SMB, RDP), לסיים הפעלות מרוחקות מתמשכת ולבצע יציאות של חיבורי RDP קיימים (סיום ההפעלה עצמה, כולל כל התהליכים הקשורים לה), תוך הפעלת תעבורה חוקית. פעולה זו יכולה לסייע באופן משמעותי בהפחתת ההשפעה של התקפה. כאשר זהות מכילה, לאנליסטים של פעולות אבטחה יש זמן נוסף לאתר, לזהות ולהתאים את האיום לזהות שנחשף לסכנה.
הערה
חסימת תקשורת נכנסת עם משתמש "כלול" נתמכת במכשירי Microsoft Defender עבור נקודת קצה Windows 10 ו- 11 (Sense גירסה 8740 ואילך), במכשירי Windows Server 2019+ וב- Windows Servers 2012R2 ו- 2016 עם הסוכן המודרני.
חשוב
לאחר שפעולה של Contain user נאכפת בבקר תחום, היא מפעילה עדכון GPO במדיניות ברירת המחדל של בקר התחום. שינוי של GPO מפעיל סינכרון בין בקרי התחום בסביבה שלך. זהו אופן פעולה צפוי, ואם תנטר את הסביבה שלך לגבי שינויים ב- GPO של AD, ייתכן שתקבל הודעה על שינויים אלה. ביטול הפעולה 'כלול משתמש' יחזיר את שינויי ה- GPO למצבו הקודם, ולאחר מכן יתחיל סינכרון GPO אחר של AD בסביבה שלך. קבל מידע נוסף על מיזוג מדיניות אבטחה בבקרי תחום.
כיצד להכיל משתמש
בשלב זה, התכונה המכילה משתמשים זמינה באופן אוטומטי רק באמצעות הפרעה אוטומטית בתקיפה. כאשר Microsoft מזהה משתמש כחשוף לסכנה, מדיניות "מכיל משתמש" מוגדרת באופן אוטומטי.
הצג את הפעולות המכילות משתמשים
לאחר שהמשתמש כלול, באפשרותך להציג את הפעולה בתצוגת היסטוריה זו של מרכז הפעולות. כאן, תוכל לראות מתי התרחשה הפעולה, אילו משתמשים בארגון שלך הכלולים:
יתר על כן, לאחר שזהות נחשבת ל"כלול", משתמש זה ייחסם על-ידי Defender for Endpoint ולא יוכל לבצע כל תנועה צדדית זדונית או הצפנה מרוחקת בכל מכשיר נתמך של Defender עבור נקודת קצה רשום. בלוקים אלה יופיעו כהתראות כדי לעזור לך לראות במהירות את המכשירים שהמשתמש שנחשף לסכנה ניסה לגשת וטכניקות תקיפה פוטנציאליות:
בטל מכיל פעולות משתמש
באפשרותך לשחרר את הבלוקים והה כלולה על משתמש בכל עת:
- בחר את הפעולה כלול משתמש במרכז הפעולות. בחלונית הצדדית, בחר בטל
- בחר את המשתמש מתוך רשימת מלאי המשתמשים, החלונית הצדדית של דף האירוע או החלונית הצדדית של ההתראה ובחר בטל
פעולה זו תשחזר את החיבור של משתמש זה לרשת.
יכולות חקירה עם 'כלול משתמש'
לאחר שהמשתמש כלול, באפשרותך לחקור את האיום הפוטנציאלי על-ידי הצגת הפעולות החסומים על-ידי המשתמש שנחשף לסכנה. בתצוגת ציר הזמן של המכשיר, באפשרותך לראות מידע אודות אירועים ספציפיים, כולל פרוטוקול וצפיפות ממשק, ואת טכניקת MITRE הרלוונטית המשויכת אליה.
בנוסף, באפשרותך להרחיב את החקירה באמצעות ציד מתקדם. חפש כל "סוג פעולה" החל מ- "Contain" בטבלה "DeviceEvents". לאחר מכן, תוכל להציג את כל אירועי החסימה המיוחדים השונים ביחס לכלול משתמש בדייר שלך, להעמיק את ההקשר של כל בלוק ולחלץ את הישויות והטכניקות השונות המשויכות לאירועים אלה.
התייעץ עם מומחה לאיומים
באפשרותך להתייעץ עם מומחה איומים של Microsoft לקבלת תובנות נוספות בנוגע למכשיר שעלול להיחשף לסכנה או שכבר נחשף לסכנה. מומחי איומים של Microsoft להיות מעורב ישירות מתוך Microsoft Defender XDR לתגובה בזמן ומדויק. מומחים מספקים תובנות לא רק בנוגע למכשיר שעלול להיות בסכנה, אלא גם כדי להבין טוב יותר איומים מורכבים, הודעות תקיפה ממוקדות שאתה מקבל, או אם אתה זקוק למידע נוסף אודות ההתראות, או הקשר בינת איומים שאתה רואה בלוח המחוונים של הפורטל.
ראה קביעת תצורה וניהול של הודעות תקיפה של נקודות קצה לקבלת פרטים.
בדוק את פרטי הפעילות במרכז הפעולות
מרכז הפעולות מספק מידע אודות פעולות שבוצעו במכשיר או בקובץ. תוכל להציג את הפרטים הבאים:
- אוסף חבילות חקירה
- סריקת אנטי-וירוס
- הגבלת אפליקציה
- בידוד מכשיר
כל הפרטים הקשורים האחרים מוצגים גם, לדוגמה, תאריך/שעה לשליחה, שליחת משתמש, ואם הפעולה הצליחה או נכשלה.
למידע נוסף
- נקוט בפעולות תגובה בקובץ
- פעולות תגובה ידניות Microsoft Defender עבור נקודת קצה תוכנית 1
- דווח על אי-דיוק
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.