זיהוי נקודת קצה ותגובה במצב חסימה
חל על:
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
- האנטי-וירוס של Microsoft Defender
פלטפורמות
- Windows
רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
מאמר זה מתאר את ה- EDR במצב חסימה, המסייע בהגנה על מכשירים שבהם פועל פתרון אנטי-וירוס שאינו של Microsoft (עם Microsoft Defender אנטי-וירוס במצב פאסיבי).
מהו EDR במצב חסימה?
זיהוי נקודות קצה ותגובה (EDR) במצב חסימה מספק הגנה נוספת מפני פריטים זדוניים כאשר האנטי-וירוס של Microsoft Defender אינו מוצר האנטי-וירוס הראשי והוא פועל במצב פאסיבי. EDR במצב חסימה זמין ב- Defender for Endpoint Plan 2.
חשוב
EDR במצב חסימה אינו יכול לספק את כל ההגנה הזמינה כאשר Microsoft Defender אנטי-וירוס בזמן אמת נמצאת במצב פאסיבי. חלק מהיכולות התלויות Microsoft Defender האנטי-וירוס הפעיל לא יפעלו, כגון הדוגמאות הבאות:
- הגנה בזמן אמת, כולל סריקה בגישה וסריקה מתוזמנת אינה זמינה Microsoft Defender האנטי-וירוס במצב פאסיבי. לקבלת מידע נוסף על הגדרות מדיניות הגנה בזמן אמת, ראה הפעלה ותצורה של Microsoft Defender אנטי-וירוס תמידית.
- תכונות כגון הגנה ברשת ומחוונים להפחתת פני שטח של תקיפה (קוד Hash של קובץ, כתובת IP, כתובת URL ואישורים) זמינות רק Microsoft Defender האנטי-וירוס פועל במצב פעיל. צפוי שפתרון האנטי-וירוס שלך שאינו של Microsoft כולל יכולות אלה.
EDR במצב חסימה פועל מאחורי הקלעים לתיקון פריטים זדוניים שזוהו על-ידי יכולות EDR. ייתכן שפריטים ממצאים אלה הוחנו על-ידי מוצר האנטי-וירוס הראשי שאינו של Microsoft. EDR במצב חסימה מאפשר Microsoft Defender האנטי-וירוס לבצע פעולות על זיהויי EDR לאחר הפרה, התנהגותיים.
EDR במצב חסימה משולב עם יכולות & ניהול פגיעויות . צוות האבטחה של הארגון שלך מקבל המלצת אבטחה כדי להפעיל את EDR במצב חסימה אם הוא עדיין אינו זמין.
עצה
כדי לקבל את ההגנה הטובה ביותר, הקפד לפרוס Microsoft Defender עבור נקודת קצה בסיסיות.
צפה בסרטון וידאו זה כדי ללמוד מדוע וכיצד להפעיל זיהוי ותגובה של נקודות קצה (EDR) במצב חסימה, לאפשר חסימה התנהגותית וחסימה בכל שלב, החל מהפרה מראש וכלה לאחר ההפרה.
מה קורה כאשר משהו מזוהה?
כאשר EDR במצב חסימה מופעל ומתגלה חפץ זדוני, Defender for Endpoint מתקנו את החפץ. צוות פעולות האבטחה שלך רואה את מצב הזיהוי כ'חסום' או 'מונע' במרכז הפעולות, המפורט כפעולות שהושלמו. התמונה הבאה מציגה מופע של תוכנה לא רצויה שזוהתה ותווראה באמצעות EDR במצב חסימה:
הפיכת EDR לזמין במצב חסימה
חשוב
- ודא שהדרישות עומדות לפני הפעלת EDR במצב חסימה.
- יש צורך ברשיונות של Defender for Endpoint Plan 2.
- החל מגירסה 4.18.2202.X של פלטפורמה, באפשרותך להגדיר את EDR במצב חסימה כדי לייעד קבוצות מכשירים ספציפיות באמצעות Intune CSP. באפשרותך להמשיך להגדיר EDR בכל הדיירים במצב חסימה בפורטל Microsoft Defender שלך.
- EDR במצב חסימה מומלץ בעיקר עבור מכשירים שבהם פועל האנטי-וירוס של Microsoft Defender במצב פאסיבי (פתרון אנטי-וירוס שאינו של Microsoft מותקן ופעיל במכשיר).
פורטל Microsoft Defender
עבור אל Microsoft Defender (https://security.microsoft.com/) והיכנס.
בחר הגדרות>נקודות קצה תכונות>מתקדמות>כלליות.
גלול מטה ולאחר מכן הפעל את הפוך את EDR לזמין במצב חסימה.
Intune
כדי ליצור מדיניות מותאמת אישית ב- Intune, ראה פריסת OMA-URIs כדי לייעד CSP באמצעות Intune, והשוואה לסביבה המקומית.
לקבלת מידע נוסף על ה- CSP של Defender המשמש עבור EDR במצב חסימה, ראה "Configuration/PassiveRemediation" תחת Defender CSP.
דרישות עבור EDR במצב חסימה
הטבלה הבאה מפרטת את הדרישות עבור EDR במצב חסימה:
| דרישה | פרטים |
|---|---|
| הרשאות | תפקיד מנהל המערכת הכללי או מנהל האבטחה חייב להיות מוקצה Microsoft Entra מזהה. לקבלת מידע נוסף, ראה הרשאות בסיסיות. |
| מערכת הפעלה | במכשירים חייבת לפעול אחת מהגרסאות הבאות של Windows: זה לא Windows 11 - Windows 10 (כל המהדורות) - Windows Server 2019 ואילך - Windows Server, גרסה 1803 ואילך - Windows Server 2016 ו- Windows Server 2012 R2 (עם פתרון הלקוח המאוחד החדש) |
| Microsoft Defender עבור תוכנית 2 של נקודת קצה | המכשירים חייבים להיות מחוברים ל- Defender for Endpoint. עיין במאמרים הבאים: - דרישות מינימליות עבור Microsoft Defender עבור נקודת קצה - קליטת מכשירים והגדרת Microsoft Defender עבור נקודת קצה הבאות - צירוף שרתי Windows לשירות נקודות הקצה של Defender for - פונקציונליות חדשה של Windows Server 2012 R2 ו- 2016 בפתרון המאוחד המודרני (ראה האם EDR במצב חסימה נתמך ב- Windows Server 2016 וב- Windows Server 2012 R2?) |
| האנטי-וירוס של Microsoft Defender | במכשירים חייב להיות Microsoft Defender אנטי-וירוס מותקן ותפעל במצב פעיל או במצב פאסיבי. ודא Microsoft Defender האנטי-וירוס נמצא במצב פעיל או פאסיבי. |
| הגנה מבוססת ענן | Microsoft Defender יש לקבוע את תצורת האנטי-וירוס כך שהגנת הענן תהיה זמינה. |
| Microsoft Defender אנטי-וירוס | המכשירים חייבים להיות מעודכנים. כדי לאשר, באמצעות PowerShell, הפעל את ה- cmdlet Get-MpComputerStatus כמנהל מערכת. בשורה AMProductVersion , אתה אמור לראות את 4.18.2001.10 ואילך. לקבלת מידע נוסף, ראה עדכוני ניהול אנטי-וירוס של Microsoft Defender והחלת תוכניות בסיסיות. |
| Microsoft Defender אנטי-וירוס | המכשירים חייבים להיות מעודכנים. כדי לאשר, באמצעות PowerShell, הפעל את ה- cmdlet Get-MpComputerStatus כמנהל מערכת. בשורה AMEngineVersion , אתה אמור לראות את 1.1.16700.2 ואילך. לקבלת מידע נוסף, ראה עדכוני ניהול אנטי-וירוס של Microsoft Defender והחלת תוכניות בסיסיות. |
חשוב
כדי לקבל את ערך ההגנה הטוב ביותר, ודא שפתרון האנטי-וירוס שלך מוגדר לקבל עדכונים קבועים ותכונות חיוניות ושהפריטים שאינם נכללים מוגדרים. EDR במצב חסימה מכבד אי-הכללות שהוגדרו עבור אנטי Microsoft Defender אנטי-וירוס, אך לא מחוונים המוגדרים עבור Microsoft Defender עבור נקודת קצה.
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור