Megosztás a következőn keresztül:

Speciális funkciók konfigurálása a Végponthoz készült Defenderben

  • Cikk

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

A Microsoft által használt biztonsági termékektől függően előfordulhat, hogy a Végponthoz készült Defender integrálható néhány speciális funkcióval.

Speciális funkciók engedélyezése

  1. Nyissa meg a Microsoft Defender portált , és jelentkezzen be.

  2. A navigációs panelen válassza a Beállítások>Végpontok>Speciális szolgáltatások lehetőséget.

  3. Válassza ki a konfigurálni kívánt speciális szolgáltatást, és állítsa be éski a beállítást.

  4. Válassza a Beállítások mentése lehetőséget.

Az alábbi speciális funkciókkal jobban védheti a potenciálisan rosszindulatú fájlokat, és jobb betekintést nyerhet a biztonsági vizsgálatok során.

Korreláció korlátozása hatókörön belüli eszközcsoportokon belül

Ez a konfiguráció olyan forgatókönyvekhez használható, ahol a helyi SOC-műveletek csak azokra az eszközcsoportokra szeretnék korlátozni a riasztási korrelációkat, amelyekhez hozzáférnek. Ha bekapcsolja ezt a beállítást, az eszközcsoportok közötti riasztásokból álló incidensek többé nem minősülnek egyetlen incidensnek. A helyi SOC ezután lépéseket tehet az incidenssel kapcsolatban, mert hozzáféréssel rendelkezik az érintett eszközcsoportok egyikéhez. A globális SOC azonban eszközcsoportonként több különböző incidenst lát egyetlen incidens helyett. Nem javasoljuk, hogy kapcsolja be ezt a beállítást, kivéve, ha ez meghaladja az incidensek korrelációjának előnyeit a teljes szervezetben.

Megjegyzés:

  • A beállítás módosítása csak a jövőbeli riasztási korrelációkat érinti.

  • Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.

Az EDR engedélyezése blokk módban

A végpontészlelés és -válasz (EDR) blokkmódban akkor is védelmet nyújt a rosszindulatú összetevők ellen, ha a Microsoft Defender víruskereső passzív módban fut. Ha be van kapcsolva, az EDR letiltja az eszközön észlelt kártékony összetevőket vagy viselkedéseket. Az EDR blokk módban a színfalak mögött működik a biztonsági incidensek után észlelt kártékony összetevők elhárításához.

Riasztások automatikus feloldása

Kapcsolja be ezt a beállítást az olyan riasztások automatikus feloldásához, ahol nem találhatók fenyegetések, vagy ahol az észlelt fenyegetéseket kijavították. Ha nem szeretné, hogy a riasztások automatikusan feloldódjanak, manuálisan kell kikapcsolnia a funkciót.

Megjegyzés:

  • Az automatikus feloldási művelet eredménye befolyásolhatja az eszköz kockázati szintjének kiszámítását, amely az eszközön található aktív riasztásokon alapul.
  • Ha egy biztonsági műveleti elemző manuálisan "Folyamatban" vagy "Feloldva" állapotra állítja a riasztás állapotát, az automatikus feloldási képesség nem írja felül azt.

Fájl engedélyezése vagy letiltása

A blokkolás csak akkor érhető el, ha a szervezet teljesíti ezeket a követelményeket:

  • A Microsoft Defender víruskeresőt használja aktív kártevőirtó megoldásként, és
  • A felhőalapú védelmi funkció engedélyezve van

Ez a funkció lehetővé teszi a potenciálisan rosszindulatú fájlok blokkolását a hálózaton. A fájlok blokkolásával megakadályozhatja, hogy a fájlokat a szervezet eszközein olvassák, írják vagy hajtsák végre.

A Fájlok engedélyezése vagy letiltása funkció bekapcsolása:

  1. A Microsoft Defender portál navigációs ablakában válassza a Beállítások>Végpontok>Általános>speciális funkciók>Fájl engedélyezése vagy letiltása lehetőséget.

  2. Állítsa be és kia beállítást.

    A Végpontok képernyő

  3. Válassza a Beállítások mentése lehetőséget a lap alján.

A funkció bekapcsolása után letilthatja a fájlokat a fájl profillapjának Mutató hozzáadása lapján.

Lehetséges duplikált eszközrekordok elrejtése

A funkció engedélyezésével biztosíthatja, hogy a lehető legpontosabb információkat látja az eszközeiről az esetleges duplikált eszközrekordok elrejtésével. Különböző okok miatt fordulhatnak elő ismétlődő eszközrekordok, például a Végponthoz készült Microsoft Defender eszközfelderítési képessége átvizsgálhatja a hálózatot, és felderítheti a már előkészített vagy nemrég kivezetés alatt lévő eszközt.

Ez a funkció azonosítja a lehetséges duplikált eszközöket az állomásnév és az utolsó látható időpont alapján. A duplikált eszközök el lesznek rejtve a portál több felülete elől, például az Eszközleltár, a Microsoft Defender biztonságirés-kezelési oldalai és a gépadatokhoz tartozó nyilvános API-k elől, így a legpontosabb eszközrekord látható marad. Az ismétlődések azonban továbbra is láthatók lesznek a globális keresés, a speciális veszélyforrás-keresés, a riasztások és az incidensek oldalán.

Ez a beállítás alapértelmezés szerint be van kapcsolva, és bérlői szintűre van alkalmazva. Ha nem szeretné elrejteni a lehetséges duplikált eszközrekordokat, manuálisan kell kikapcsolnia a funkciót.

Egyéni hálózati jelzők

Ennek a funkciónak a bekapcsolásával jelzőket hozhat létre az IP-címekhez, tartományokhoz vagy URL-címekhez, amelyek az egyéni mutatólista alapján határozzák meg, hogy engedélyezve vagy letiltva lesznek-e.

A funkció használatához az eszközöknek a Windows 10 1709-es vagy újabb verzióját vagy a Windows 11-et kell futtatniuk. A hálózatvédelemnek blokk módban és a kártevőirtó platform 4.18.1906.3-s vagy újabb verziójában is rendelkeznie kell, lásd: KB 4052623.

További információ: Mutatók kezelése.

Megjegyzés:

A hálózatvédelem olyan hírnévszolgáltatásokat használ, amelyek olyan helyeken dolgozzák fel a kéréseket, amelyek kívül lehetnek a Végponthoz készült Defender adataihoz kiválasztott helyen.

Illetéktelen módosítás elleni védelem

Bizonyos típusú kibertámadások során a rossz szereplők megpróbálják letiltani a biztonsági funkciókat, például a víruskereső védelmet a gépeken. A rossz szereplők szeretnék letiltani a biztonsági funkciókat, hogy könnyebb legyen hozzáférni az adatokhoz, kártevőket telepíthessenek, vagy más módon kihasználhassák az adatait, identitását és eszközeit. Az illetéktelen módosítás elleni védelem lényegében zárolja a Microsoft Defender víruskeresőt, és megakadályozza, hogy a biztonsági beállítások alkalmazásokkal és módszerekkel megváltoztassanak.

További információkért, beleértve az illetéktelen hozzáférés elleni védelem konfigurálását, lásd: Biztonsági beállítások védelme illetéktelen módosítás elleni védelemmel.

Felhasználói adatok megjelenítése

Kapcsolja be ezt a funkciót, hogy láthassa a Microsoft Entra-azonosítóban tárolt felhasználói adatokat. A részletek közé tartozik a felhasználó képe, neve, címe és részlegadatai a felhasználói fiók entitásainak vizsgálatakor. A felhasználói fiók adatait a következő nézetekben találja:

  • Riasztási üzenetsor
  • Eszközadatok lap

További információ: Felhasználói fiók vizsgálata.

A Skype Vállalati verzió integrációja

A Skype Vállalati verzió integrációjának engedélyezése lehetővé teszi, hogy kommunikáljon a felhasználókkal a Skype Vállalati verzió, e-mail-cím vagy telefon használatával. Ez az aktiválás hasznos lehet, ha kommunikálnia kell a felhasználóval, és csökkentenie kell a kockázatokat.

Megjegyzés:

Amikor egy eszköz el van különítve a hálózattól, megjelenik egy előugró ablak, ahol engedélyezheti az Outlook és a Skype kommunikációját, amely lehetővé teszi a kommunikációt a felhasználóval, miközben leválasztja őket a hálózatról. Ez a beállítás a Skype- és az Outlook-kommunikációra vonatkozik, ha az eszközök elkülönítési módban vannak.

Microsoft Defender for Cloud Apps

Ennek a beállításnak az engedélyezése továbbítja a Végponthoz készült Defender-jeleket a Microsoft Defender for Cloud Appsnek, így mélyebb betekintést nyújt a felhőalkalmazások használatába. A továbbított adatok tárolása és feldolgozása ugyanazon a helyen történik, mint a Defender for Cloud Apps adatai.

Megjegyzés:

Ez a funkció az Enterprise Mobility + Security E5-licencével lesz elérhető a Windows 10-et futtató eszközökön. 1709-es verzió (16299.1085-ös build KB4493441), Windows 10, 1803-es verzió (operációs rendszer: 17134.704-es build KB4493464), Windows 10, 1809-es verzió (operációs rendszer: 17763.379-es build KB4489899), újabb Windows 10-es verziók vagy Windows 11.

Webes tartalom szűrése

Letilthatja a nem kívánt tartalmakat tartalmazó webhelyekhez való hozzáférést, és nyomon követheti a webes tevékenységeket az összes tartományban. A letiltani kívánt webes tartalomkategóriák megadásához hozzon létre egy webes tartalomszűrési szabályzatot. A Végponthoz készült Microsoft Defender biztonsági alapkonfigurációjának telepítésekor győződjön meg arról, hogy a hálózatvédelem blokk módban van.

Egyesített auditnapló

A Microsoft Purview-ban végzett keresés lehetővé teszi, hogy a biztonsági és megfelelőségi csapat megtekintse a kritikus auditnapló eseményadatait, hogy betekintést nyerjen a felhasználói tevékenységekbe. Amikor egy felhasználó vagy egy rendszergazda naplózott tevékenységet végez, a rendszer naplórekordot hoz létre és tárol a szervezet Microsoft 365 auditnaplójában. További információ: Keresés az auditnaplóban.

Eszközészlelés

Segít megtalálni a vállalati hálózathoz csatlakoztatott nem felügyelt eszközöket anélkül, hogy további berendezésekre vagy nehézkes folyamatmódosításokra van szükség. Az előkészített eszközökkel megkeresheti a hálózat nem felügyelt eszközeit, és felmérheti a biztonsági réseket és a kockázatokat. További információ: Eszközfelderítés.

Megjegyzés:

Mindig alkalmazhat szűrőket, hogy kizárja a nem felügyelt eszközöket az eszközleltár-listából. A nem felügyelt eszközök kiszűréséhez az API-lekérdezések előkészítési állapot oszlopát is használhatja.

Karanténba helyezett fájlok letöltése

Készítsen biztonsági másolatot a karanténba helyezett fájlokról egy biztonságos és megfelelő helyen, hogy közvetlenül a karanténból letölthesse őket. A Fájl letöltése gomb mindig elérhető lesz a fájl oldalán. Ez a beállítás alapértelmezés szerint be van kapcsolva. További információ a követelményekről

Alapértelmezett beállítás az egyszerűsített kapcsolathoz az eszközök a Defender portálon való előkészítésekor

Ez a beállítás az alapértelmezett előkészítési csomagot úgy állítja be, hogy zökkenőmentes legyen a kapcsolat a megfelelő operációs rendszerek esetében. Továbbra is használhatja a standard előkészítési csomagot az előkészítési lapon, de kifejezetten ki kell választania azt a legördülő listában.

Élő válasz

Kapcsolja be ezt a funkciót, hogy a megfelelő engedélyekkel rendelkező felhasználók élő válaszmunkamenetet indítsanak az eszközökön.

További információ a szerepkör-hozzárendelésekről: Szerepkörök létrehozása és kezelése.

Élő válasz kiszolgálókhoz

Kapcsolja be ezt a funkciót, hogy a megfelelő engedélyekkel rendelkező felhasználók elindíthassák az élő válaszmunkamenetet a kiszolgálókon.

További információ a szerepkör-hozzárendelésekről: Szerepkörök létrehozása és kezelése.

Élő válasz aláíratlan szkript végrehajtása

A funkció engedélyezésével aláíratlan szkripteket futtathat egy élő válaszmunkamenetben.

Megtévesztés

A megtévesztés lehetővé teszi, hogy a biztonsági csapat kezelje és helyezzen üzembe csalit, hogy elkapja a környezetben lévő támadókat. Miután bekapcsolta ezt a beállítást, lépjen a Szabályok megtévesztési > szabályai lapra a megtévesztési kampányok futtatásához. Lásd: A megtévesztési képesség kezelése a Microsoft Defender XDR-ben.

Végpontriasztások megosztása a Microsoft Megfelelőségi központtal

Továbbítja a végpontbiztonsági riasztásokat és azok osztályozási állapotát a Microsoft Purview megfelelőségi portálnak, így a belső kockázatkezelési szabályzatokat riasztásokkal javíthatja, és elháríthatja a belső kockázatokat, mielőtt azok kárt okoznának. A továbbított adatokat a rendszer az Office 365-adatokkal megegyező helyen dolgozza fel és tárolja.

Miután konfigurálta a biztonsági szabályzat megsértésére vonatkozó mutatókat a belső kockázatkezelési beállításokban, a Végponthoz készült Defender-riasztások meg lesznek osztva az alkalmazható felhasználók belső kockázatkezelésével.

Microsoft Intune-kapcsolat

A Végponthoz készült Defender integrálható a Microsoft Intune-nal az eszközkockázaton alapuló feltételes hozzáférés engedélyezéséhez. Ha bekapcsolja ezt a funkciót, megoszthatja a Végponthoz készült Defender eszközinformációkat az Intune-nal, ezzel javítva a szabályzatok betartatását.

Fontos

A funkció használatához engedélyeznie kell az integrálást az Intune-ban és a Végponthoz készült Defenderben is. A konkrét lépésekről további információt a Feltételes hozzáférés konfigurálása a Végponthoz készült Defenderben című témakörben talál.

Ez a funkció csak az alábbi előfeltételek teljesülése esetén érhető el:

Hitelesített telemetria

A hitelesített telemetriai adatok bekapcsolásával megakadályozhatja a telemetriai adatok hamisítását az irányítópulton.

Előzetes verziójú funkciók

További információ a Végponthoz készült Defender előzetes kiadásának új funkcióiról.

Próbálja ki a közelgő funkciókat az előzetes verzió bekapcsolásával. Hozzáférhet a közelgő funkciókhoz, amelyekről visszajelzést küldhet a funkciók általános elérhetővé tétele előtti általános élmény javítása érdekében.

Ha már be vannak kapcsolva az előzetes verziójú funkciók, a beállításokat a Fő Defender XDR-beállításokból kezelheti.

További információ: A Microsoft Defender XDR előzetes verziójú funkciói

Végponti támadási értesítések

A végponti támadási értesítések lehetővé teszik, hogy a Microsoft aktívan keressen kritikus fenyegetéseket a sürgősség és a végpontadatokra gyakorolt hatás alapján.

A Microsoft Defender XDR teljes hatókörében történő proaktív veszélyforrás-kereséshez, beleértve az e-maileket, az együttműködést, az identitást, a felhőalkalmazásokat és a végpontokat érintő fenyegetéseket, tudjon meg többet a Microsoft Defender szakértőiről.

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.