Végpontészlelés és -válasz (EDR) blokkmódban – gyakori kérdések (GYIK)

Ha hamis pozitív eredményt kap, elküldheti a fájlt elemzésre a Microsoft biztonsági intelligencia beküldési webhelyen.

A kizárást Microsoft Defender víruskeresőhöz is definiálhatja. Lásd: Kizárások konfigurálása és érvényesítése Microsoft Defender víruskereső vizsgálatokhoz.

Igen, a Microsoft azt javasolja, hogy az EDR-t blokk módban engedélyezze, még akkor is, ha a rendszer elsődleges víruskereső szoftvere Microsoft Defender víruskereső. Az EDR-észlelések automatikusan szervizelhetők PUA-védelemmel vagy automatizált vizsgálati & javítási képességekkel blokk módban.

Az EDR elsődleges célja blokkmódban a nem Microsoft víruskereső termék által elmulasztott incidens utáni észlelések elhárítása.

A letiltott EDR nincs hatással a felhasználók eszközein futó külső víruskeresők védelmére. Az EDR blokk módban akkor működik, ha az elsődleges víruskereső megoldás nem talál valamit, vagy ha incidens utáni észlelés történik. Az EDR blokk módban ugyanúgy működik, mint Microsoft Defender víruskereső passzív módban, azzal a különbségtel, hogy az EDR blokk módban szintén blokkolja és javítja az észlelt kártékony összetevőket vagy viselkedéseket.

Mivel Microsoft Defender víruskereső észleli és elhárítja a kártékony elemeket, fontos naprakészen tartani. Ahhoz, hogy az EDR blokk módban hatékony legyen, a legújabb eszköztanulási modelleket, viselkedésészleléseket és heurisztikai eszközöket használ. A Végponthoz készült Defender képességei integrált módon működnek. A legjobb védelmi érték eléréséhez naprakészen kell tartania Microsoft Defender víruskeresőt. Lásd: Microsoft Defender víruskereső frissítéseinek kezelése és alaptervek alkalmazása.

A funkció bekapcsolásához felhővédelem szükséges az eszközön. A felhővédelem lehetővé teszi, hogy a Végponthoz készült Defender a biztonsági intelligencia szélessége és mélysége, valamint a viselkedési és eszköztanulási modellek alapján a legújabb és legnagyobb védelmet nyújtsa.

Az Windows 10, Windows 11, Windows Server, 1803-as vagy újabb, Windows Server 2019 vagy Windows Server 2022 rendszert futtató végpontok esetében, ha Microsoft Defender víruskereső aktív módban van, az eszköz elsődleges víruskeresőjeként használják. Passzív módban való futtatáskor a Microsoft Defender víruskereső nem az elsődleges víruskereső termék. Ebben az esetben az Microsoft Defender víruskereső nem valós időben orvosolja a fenyegetéseket.

További információ: Microsoft Defender víruskereső kompatibilitása.

Annak ellenőrzéséhez, hogy Microsoft Defender víruskereső aktív vagy passzív módban fut-e, használhatja a parancssort vagy a PowerShellt egy Windows rendszerű eszközön.

A PowerShell használatával ellenőrizheti, hogy az EDR blokkmódban be van-e kapcsolva a passzív módban futó Microsoft Defender víruskeresővel.

1. Válassza a Start menüt, kezdje el beírni a parancsotPowerShell, majd nyissa meg Windows PowerShell az eredmények között.

2. Írja be Get-MPComputerStatus|select AMRunningMode.

3. Győződjön meg arról, EDR Block Modehogy az eredmény () megjelenik.

Ha Microsoft Defender víruskereső aktív vagy passzív módban fut, a Windows következő verziói támogatják az EDR blokkolási módban való használatát:

• Windows 11
• Windows 10 (minden kiadás)
• Windows Server, 1803-es vagy újabb verzió
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016 és Windows Server 2012 R2 (az új egyesített ügyfélmegoldással)

A Windows Server 2016 és Windows Server 2012 R2 új egyesített ügyfélmegoldásával az EDR-t blokk módban passzív vagy aktív módban is futtathatja.

Ha letiltja az EDR-t blokk módban, akár 30 percet is igénybe vehet, amíg a rendszer letiltja ezt a képességet.

• Végpontészlelés és válasz blokk módban
• Tech Community blog: Az EDR bemutatása blokk módban: Támadások leállítása a nyomukban
• Viselkedésalapú blokkolás és elszigetelés