Végpontészlelés és válasz blokk módban
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
- Microsoft Defender víruskereső
Platformok
- A Windows
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Ez a cikk blokk módban ismerteti az EDR-t, amely segít megvédeni a nem Microsoft víruskereső megoldást futtató eszközöket (passzív módban a Microsoft Defender víruskeresővel).
Mi az az EDR blokk módban?
A végpontészlelés és -válasz (EDR) blokk módban további védelmet nyújt a rosszindulatú összetevők ellen, ha nem a Microsoft Defender víruskereső az elsődleges víruskereső termék, és passzív módban fut. Az EDR blokk módban a Defender for Endpoint Plan 2-ben érhető el.
Fontos
Az EDR blokk módban nem tud minden rendelkezésre álló védelmet biztosítani, ha a Microsoft Defender víruskereső valós idejű védelme passzív módban van. Néhány képesség, amely a Microsoft Defender víruskeresőtől függ, hogy aktív víruskereső megoldás legyen, nem fog működni, például az alábbi példákban:
- Ha a Microsoft Defender víruskereső passzív módban van, a valós idejű védelem, beleértve a hozzáférésen belüli vizsgálatot és az ütemezett vizsgálatot, nem érhető el. A valós idejű védelmi szabályzat beállításaival kapcsolatos további információkért lásd: A Microsoft Defender víruskereső folyamatos védelem engedélyezése és konfigurálása.
- Az olyan funkciók, mint a hálózatvédelem és a támadásifelület-csökkentési szabályok és jelzők (fájlkivonat, IP-cím, URL-cím és tanúsítványok) csak akkor érhetők el, ha a Microsoft Defender víruskereső aktív módban fut. A nem Microsoft-alapú víruskereső megoldás várhatóan tartalmazza ezeket a képességeket.
Az EDR blokkmódban a színfalak mögött működik az EDR-képességek által észlelt kártékony összetevők szervizeléséhez. Előfordulhat, hogy az elsődleges, nem a Microsoft víruskereső terméke kihagyta az ilyen összetevőket. Az EDR blokk módban lehetővé teszi, hogy a Microsoft Defender víruskereső műveleteket hajt végre a biztonsági incidens utáni, viselkedésalapú EDR-észleléseken.
Az EDR blokk módban integrálva van a fenyegetéskezelési & biztonságirés-kezelési képességekkel. A szervezet biztonsági csapata biztonsági javaslatot kap az EDR letiltási módban való bekapcsolására, ha még nincs engedélyezve.
Tipp
A legjobb védelem érdekében telepítse a Végponthoz készült Microsoft Defender alapkonfigurációit.
Ebből a videóból megtudhatja, hogy miért és hogyan kapcsolhatja be a végpontészlelést és -reagálást (EDR) blokk módban, hogyan engedélyezheti a viselkedési blokkolást és az elszigetelést az incidens előttitől az incidens utániig minden fázisban.
Mi történik, ha a rendszer észlel valamit?
Ha az EDR blokkmódban be van kapcsolva, és rosszindulatú összetevőt észlel, a Végponthoz készült Defender szervizeli az összetevőt. A biztonsági üzemeltetési csapat az észlelési állapotot Letiltva vagy Letiltva állapotúként látja a Műveletközpontban, befejezett műveletekként felsorolva. Az alábbi képen a nem kívánt szoftverek egy példánya látható, amelyet az EDR-ben észleltek és orvosoltak blokk módban:
Az EDR engedélyezése blokk módban
Fontos
- Mielőtt blokk módban bekapcsolná az EDR-t, győződjön meg arról, hogy teljesülnek a követelmények .
- A Végponthoz készült Defender 2. csomagjának licencei szükségesek.
- A 4.18.2202.X platformverziótól kezdve az EDR blokk módban is beállítható adott eszközcsoportok megcélzásához az Intune CSP-k használatával. A Microsoft Defender portálon továbbra is beállíthatja az EDR-t blokk módban, bérlői környezetben.
- Az EDR blokk módban elsősorban olyan eszközök esetében ajánlott, amelyek passzív módban futtatják a Microsoft Defender víruskeresőt (az eszközön telepítve és aktív egy nem Microsoft víruskereső megoldás).
Microsoft Defender portál
Nyissa meg a Microsoft Defender portált (https://security.microsoft.com/), és jelentkezzen be.
Válassza a Beállítások>Végpontok>Általános>speciális szolgáltatások lehetőséget.
Görgessen le, majd kapcsolja be az EDR engedélyezése blokk módban beállítást.
Intune
Ha egyéni szabályzatot szeretne létrehozni az Intune-ban, olvassa el az Üzembe helyezési OMA-URIs a CSP Intune-on keresztüli megcélzásához című témakört, valamint a helyszíni szabályzattal való összehasonlítást.
Az EDR-hez blokk módban használt Defender CSP-vel kapcsolatos további információkért lásd a "Configuration/PassiveRemediation" részt a Defender CSP alatt.
Az EDR követelményei blokk módban
Az alábbi táblázat az EDR blokkmódban való használatára vonatkozó követelményeket sorolja fel:
| Követelmény | Részletek |
|---|---|
| Engedélyek | A Microsoft Entra ID-ban globális rendszergazdai vagy biztonsági rendszergazdai szerepkörrel kell rendelkeznie. További információ: Alapszintű engedélyek. |
| Operációs rendszer | Az eszközöknek a Windows alábbi verzióinak egyikét kell futtatniuk: – Windows 11 - Windows 10 (minden kiadás) – Windows Server 2019 vagy újabb - Windows Server, 1803-es vagy újabb verzió - Windows Server 2016 és Windows Server 2012 R2 (az új egyesített ügyfélmegoldással) |
| Végponthoz készült Microsoft Defender 2. csomag | Az eszközöket fel kell venni a Végponthoz készült Defenderbe. Tekintse meg a következő cikkeket: - A Végponthoz készült Microsoft Defender minimális követelményei - Eszközök előkészítése és a Végponthoz készült Microsoft Defender képességeinek konfigurálása - Windows-kiszolgálók előkészítése a Végponthoz készült Defender szolgáltatásba - Új Windows Server 2012 R2 és 2016 funkciók a modern egységes megoldásban (Lásd: Az EDR támogatott blokkmódban Windows Server 2016 és Windows Server 2012 R2 rendszeren?) |
| Microsoft Defender víruskereső | Az eszközöknek aktív vagy passzív módban kell telepíteniük és futtatniuk a Microsoft Defender víruskeresőt. Ellenőrizze, hogy a Microsoft Defender víruskereső aktív vagy passzív módban van-e. |
| Felhőben nyújtott védelem | A Microsoft Defender víruskeresőt úgy kell konfigurálni, hogy engedélyezve legyen a felhőalapú védelem. |
| Microsoft Defender víruskereső platform | Az eszközöknek naprakésznek kell lenniük. A PowerShell használatával erősítse meg, hogy rendszergazdaként futtatja a Get-MpComputerStatus parancsmagot. Az AMProductVersion sorban a 4.18.2001.10-es vagy újabb verziónak kell megjelennie. További információért lásd: Microsoft Defender víruskereső-frissítéseinek kezelése és alapszabályainak alkalmazása. |
| Microsoft Defender víruskereső motor | Az eszközöknek naprakésznek kell lenniük. A PowerShell használatával erősítse meg, hogy rendszergazdaként futtatja a Get-MpComputerStatus parancsmagot. Az AMEngineVersion sorban az 1.1.16700.2-es vagy újabb verziónak kell megjelennie. További információért lásd: Microsoft Defender víruskereső-frissítéseinek kezelése és alapszabályainak alkalmazása. |
Fontos
A legjobb védelmi érték eléréséhez győződjön meg arról, hogy a víruskereső megoldás normál frissítések és alapvető funkciók fogadására van konfigurálva, és hogy a kizárások konfigurálva vannak. Az EDR blokkmódban a Microsoft Defender víruskeresőhöz definiált kizárásokat tartja tiszteletben, a végponthoz készült Microsoft Defenderhez definiált mutatókat azonban nem.
A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
Lásd még
Tipp
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.