Végpontészlelés és válasz blokk módban
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
- Microsoft Defender víruskereső
Platformok
- A Windows
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Ez a cikk blokk módban ismerteti az EDR-t, amely segít megvédeni a nem Microsoft víruskereső megoldást futtató eszközöket (passzív módban Microsoft Defender víruskeresővel).
Mi az az EDR blokk módban?
A végpontészlelés és -válasz (EDR) blokk módban további védelmet biztosít a rosszindulatú összetevők ellen, ha Microsoft Defender víruskereső nem az elsődleges víruskereső termék, és passzív módban fut. Az EDR blokk módban a Defender for Endpoint Plan 2-ben érhető el.
Fontos
Az EDR blokk módban nem tud minden rendelkezésre álló védelmet biztosítani, ha Microsoft Defender víruskereső valós idejű védelme passzív módban van. Néhány képesség, amely Microsoft Defender víruskeresőtől függ, hogy aktív víruskereső megoldás legyen, nem fog működni, például az alábbi példákban:
- Ha Microsoft Defender víruskereső passzív módban van, a valós idejű védelem, beleértve a hozzáférésen belüli vizsgálatot és az ütemezett vizsgálatot is, nem érhető el. A valós idejű védelmi szabályzat beállításaival kapcsolatos további információkért lásd: Microsoft Defender víruskereső folyamatos védelme engedélyezése és konfigurálása.
- Az olyan funkciók, mint a hálózatvédelem és a támadásifelület-csökkentési szabályok és jelzők (fájlkivonat, IP-cím, URL-cím és tanúsítványok) csak akkor érhetők el, ha Microsoft Defender víruskereső aktív módban fut. A nem Microsoft-alapú víruskereső megoldás várhatóan tartalmazza ezeket a képességeket.
Az EDR blokkmódban a színfalak mögött működik az EDR-képességek által észlelt kártékony összetevők szervizeléséhez. Előfordulhat, hogy az elsődleges, nem a Microsoft víruskereső terméke kihagyta az ilyen összetevőket. Az EDR blokk módban lehetővé teszi Microsoft Defender víruskereső számára, hogy műveleteket hajtson végre a biztonsági incidens utáni, viselkedésalapú EDR-észleléseken.
Az EDR blokk módban integrálva van a fenyegetéskezelési & biztonságirés-kezelési képességekkel. A szervezet biztonsági csapata biztonsági javaslatot kap az EDR letiltási módban való bekapcsolására, ha még nincs engedélyezve.
Tipp
A legjobb védelem érdekében mindenképpen helyezzen üzembe Végponthoz készült Microsoft Defender alapterveket.
Ebből a videóból megtudhatja, hogy miért és hogyan kapcsolhatja be a végpontészlelést és -reagálást (EDR) blokk módban, hogyan engedélyezheti a viselkedési blokkolást és az elszigetelést az incidens előttitől az incidens utániig minden fázisban.
Mi történik, ha a rendszer észlel valamit?
Ha az EDR blokkmódban be van kapcsolva, és rosszindulatú összetevőt észlel, a Végponthoz készült Defender szervizeli az összetevőt. A biztonsági üzemeltetési csapat az észlelési állapotot Letiltva vagy Letiltva állapotúként látja a Műveletközpontban, befejezett műveletekként felsorolva. Az alábbi képen a nem kívánt szoftverek egy példánya látható, amelyet az EDR-ben észleltek és orvosoltak blokk módban:
Az EDR engedélyezése blokk módban
Fontos
- Mielőtt blokk módban bekapcsolná az EDR-t, győződjön meg arról, hogy teljesülnek a követelmények .
- A Végponthoz készült Defender 2. csomagjának licencei szükségesek.
- A 4.18.2202.X-es platformverziótól kezdve az EDR blokkmódban is beállítható úgy, hogy meghatározott eszközcsoportokat célozzon meg Intune CSP-k használatával. A Microsoft Defender portálon továbbra is beállíthatja az EDR-t blokk módban, bérlői környezetben.
- Az EDR blokk módban elsősorban olyan eszközök esetében ajánlott, amelyek passzív módban futtatják Microsoft Defender víruskeresőt (az eszközön nem Microsoft víruskereső megoldás van telepítve és aktív).
Microsoft Defender portál
Nyissa meg a Microsoft Defender portált (https://security.microsoft.com/), és jelentkezzen be.
Válassza a Beállítások>Végpontok>Általános>speciális szolgáltatások lehetőséget.
Görgessen le, majd kapcsolja be az EDR engedélyezése blokk módban beállítást.
Intune
Ha egyéni szabályzatot szeretne létrehozni a Intune- ben, olvassa el az Üzembe helyezési OMA-URIs a CSP Intune keresztüli megcélzásához című témakört, valamint a helyszíni szabályzattal való összehasonlítást.
Az EDR-hez blokk módban használt Defender CSP-vel kapcsolatos további információkért lásd a "Configuration/PassiveRemediation" részt a Defender CSP alatt.
Az EDR követelményei blokk módban
Az alábbi táblázat az EDR blokkmódban való használatára vonatkozó követelményeket sorolja fel:
| Követelmény | Részletek |
|---|---|
| Engedélyek | Globális rendszergazdai vagy biztonsági rendszergazdai szerepkörrel kell rendelkeznie a Microsoft Entra ID. További információ: Alapszintű engedélyek. |
| Operációs rendszer | Az eszközöknek a Windows alábbi verzióinak egyikét kell futtatniuk: - Windows 11 - Windows 10 (minden kiadás) – Windows Server 2019 vagy újabb - Windows Server, 1803-es vagy újabb verzió - Windows Server 2016 és Windows Server 2012 R2 (az új egyesített ügyfélmegoldással) |
| Végponthoz készült Microsoft Defender 2. csomag | Az eszközöket fel kell venni a Végponthoz készült Defenderbe. Tekintse meg a következő cikkeket: - A Végponthoz készült Microsoft Defender minimális követelményei - Eszközök előkészítése és Végponthoz készült Microsoft Defender képességek konfigurálása - Windows-kiszolgálók előkészítése a Végponthoz készült Defender szolgáltatásba - Új Windows Server 2012 R2 és 2016 funkciók a modern egységes megoldásban (Lásd: Az EDR blokkmódban támogatott Windows Server 2016 és Windows Server 2012 R2 esetén?) |
| Microsoft Defender víruskereső | Az eszközöknek Microsoft Defender víruskeresőt kell telepíteniük, és aktív vagy passzív módban kell futniuk. Ellenőrizze, hogy Microsoft Defender víruskereső aktív vagy passzív módban van-e. |
| Felhőben nyújtott védelem | Microsoft Defender víruskeresőt úgy kell konfigurálni, hogy engedélyezve legyen a felhőalapú védelem. |
| Microsoft Defender víruskereső platform | Az eszközöknek naprakésznek kell lenniük. A PowerShell használatával erősítse meg, hogy rendszergazdaként futtatja a Get-MpComputerStatus parancsmagot. Az AMProductVersion sorban a 4.18.2001.10-es vagy újabb verziónak kell megjelennie. További információért lásd: Microsoft Defender víruskereső-frissítéseinek kezelése és alapszabályainak alkalmazása. |
| Microsoft Defender víruskereső motor | Az eszközöknek naprakésznek kell lenniük. A PowerShell használatával erősítse meg, hogy rendszergazdaként futtatja a Get-MpComputerStatus parancsmagot. Az AMEngineVersion sorban az 1.1.16700.2-es vagy újabb verziónak kell megjelennie. További információért lásd: Microsoft Defender víruskereső-frissítéseinek kezelése és alapszabályainak alkalmazása. |
Fontos
A legjobb védelmi érték eléréséhez győződjön meg arról, hogy a víruskereső megoldás normál frissítések és alapvető funkciók fogadására van konfigurálva, és hogy a kizárások konfigurálva vannak. Az EDR blokkmódban az Microsoft Defender víruskeresőhöz definiált kizárásokat tartja tiszteletben, a Végponthoz készült Microsoft Defender meghatározott mutatókat azonban nem.
Lásd még
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: