Megosztás a következőn keresztül:


Végpontészlelés és válasz blokk módban

Érintett szolgáltatás:

Platformok

  • A Windows

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Ez a cikk blokk módban ismerteti az EDR-t, amely segít megvédeni a nem Microsoft víruskereső megoldást futtató eszközöket (passzív módban a Microsoft Defender víruskeresővel).

Mi az az EDR blokk módban?

A végpontészlelés és -válasz (EDR) blokk módban további védelmet nyújt a rosszindulatú összetevők ellen, ha nem a Microsoft Defender víruskereső az elsődleges víruskereső termék, és passzív módban fut. Az EDR blokk módban a Defender for Endpoint Plan 2-ben érhető el.

Fontos

Az EDR blokk módban nem tud minden rendelkezésre álló védelmet biztosítani, ha a Microsoft Defender víruskereső valós idejű védelme passzív módban van. Néhány képesség, amely a Microsoft Defender víruskeresőtől függ, hogy aktív víruskereső megoldás legyen, nem fog működni, például az alábbi példákban:

Az EDR blokkmódban a színfalak mögött működik az EDR-képességek által észlelt kártékony összetevők szervizeléséhez. Előfordulhat, hogy az elsődleges, nem a Microsoft víruskereső terméke kihagyta az ilyen összetevőket. Az EDR blokk módban lehetővé teszi, hogy a Microsoft Defender víruskereső műveleteket hajt végre a biztonsági incidens utáni, viselkedésalapú EDR-észleléseken.

Az EDR blokk módban integrálva van a fenyegetéskezelési & biztonságirés-kezelési képességekkel. A szervezet biztonsági csapata biztonsági javaslatot kap az EDR letiltási módban való bekapcsolására, ha még nincs engedélyezve.

Az EDR blokkolási módban történő bekapcsolására vonatkozó javaslat

Tipp

A legjobb védelem érdekében telepítse a Végponthoz készült Microsoft Defender alapkonfigurációit.

Ebből a videóból megtudhatja, hogy miért és hogyan kapcsolhatja be a végpontészlelést és -reagálást (EDR) blokk módban, hogyan engedélyezheti a viselkedési blokkolást és az elszigetelést az incidens előttitől az incidens utániig minden fázisban.

Mi történik, ha a rendszer észlel valamit?

Ha az EDR blokkmódban be van kapcsolva, és rosszindulatú összetevőt észlel, a Végponthoz készült Defender szervizeli az összetevőt. A biztonsági üzemeltetési csapat az észlelési állapotot Letiltva vagy Letiltva állapotúként látja a Műveletközpontban, befejezett műveletekként felsorolva. Az alábbi képen a nem kívánt szoftverek egy példánya látható, amelyet az EDR-ben észleltek és orvosoltak blokk módban:

Az EDR észlelése blokk módban

Az EDR engedélyezése blokk módban

Fontos

  • Mielőtt blokk módban bekapcsolná az EDR-t, győződjön meg arról, hogy teljesülnek a követelmények .
  • A Végponthoz készült Defender 2. csomagjának licencei szükségesek.
  • A 4.18.2202.X platformverziótól kezdve az EDR blokk módban is beállítható adott eszközcsoportok megcélzásához az Intune CSP-k használatával. A Microsoft Defender portálon továbbra is beállíthatja az EDR-t blokk módban, bérlői környezetben.
  • Az EDR blokk módban elsősorban olyan eszközök esetében ajánlott, amelyek passzív módban futtatják a Microsoft Defender víruskeresőt (az eszközön telepítve és aktív egy nem Microsoft víruskereső megoldás).

Microsoft Defender portál

  1. Nyissa meg a Microsoft Defender portált (https://security.microsoft.com/), és jelentkezzen be.

  2. Válassza a Beállítások>Végpontok>Általános>speciális szolgáltatások lehetőséget.

  3. Görgessen le, majd kapcsolja be az EDR engedélyezése blokk módban beállítást.

Intune

Ha egyéni szabályzatot szeretne létrehozni az Intune-ban, olvassa el az Üzembe helyezési OMA-URIs a CSP Intune-on keresztüli megcélzásához című témakört, valamint a helyszíni szabályzattal való összehasonlítást.

Az EDR-hez blokk módban használt Defender CSP-vel kapcsolatos további információkért lásd a "Configuration/PassiveRemediation" részt a Defender CSP alatt.

Az EDR követelményei blokk módban

Az alábbi táblázat az EDR blokkmódban való használatára vonatkozó követelményeket sorolja fel:

Követelmény Részletek
Engedélyek A Microsoft Entra ID-ban globális rendszergazdai vagy biztonsági rendszergazdai szerepkörrel kell rendelkeznie. További információ: Alapszintű engedélyek.
Operációs rendszer Az eszközöknek a Windows alábbi verzióinak egyikét kell futtatniuk:
– Windows 11
- Windows 10 (minden kiadás)
– Windows Server 2019 vagy újabb
- Windows Server, 1803-es vagy újabb verzió
- Windows Server 2016 és Windows Server 2012 R2 (az új egyesített ügyfélmegoldással)
Végponthoz készült Microsoft Defender 2. csomag Az eszközöket fel kell venni a Végponthoz készült Defenderbe. Tekintse meg a következő cikkeket:
- A Végponthoz készült Microsoft Defender minimális követelményei
- Eszközök előkészítése és a Végponthoz készült Microsoft Defender képességeinek konfigurálása
- Windows-kiszolgálók előkészítése a Végponthoz készült Defender szolgáltatásba
- Új Windows Server 2012 R2 és 2016 funkciók a modern egységes megoldásban
(Lásd: Az EDR támogatott blokkmódban Windows Server 2016 és Windows Server 2012 R2 rendszeren?)
Microsoft Defender víruskereső Az eszközöknek aktív vagy passzív módban kell telepíteniük és futtatniuk a Microsoft Defender víruskeresőt. Ellenőrizze, hogy a Microsoft Defender víruskereső aktív vagy passzív módban van-e.
Felhőben nyújtott védelem A Microsoft Defender víruskeresőt úgy kell konfigurálni, hogy engedélyezve legyen a felhőalapú védelem.
Microsoft Defender víruskereső platform Az eszközöknek naprakésznek kell lenniük. A PowerShell használatával erősítse meg, hogy rendszergazdaként futtatja a Get-MpComputerStatus parancsmagot. Az AMProductVersion sorban a 4.18.2001.10-es vagy újabb verziónak kell megjelennie.

További információért lásd: Microsoft Defender víruskereső-frissítéseinek kezelése és alapszabályainak alkalmazása.
Microsoft Defender víruskereső motor Az eszközöknek naprakésznek kell lenniük. A PowerShell használatával erősítse meg, hogy rendszergazdaként futtatja a Get-MpComputerStatus parancsmagot. Az AMEngineVersion sorban az 1.1.16700.2-es vagy újabb verziónak kell megjelennie.

További információért lásd: Microsoft Defender víruskereső-frissítéseinek kezelése és alapszabályainak alkalmazása.

Fontos

A legjobb védelmi érték eléréséhez győződjön meg arról, hogy a víruskereső megoldás normál frissítések és alapvető funkciók fogadására van konfigurálva, és hogy a kizárások konfigurálva vannak. Az EDR blokkmódban a Microsoft Defender víruskeresőhöz definiált kizárásokat tartja tiszteletben, a végponthoz készült Microsoft Defenderhez definiált mutatókat azonban nem.

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

Lásd még

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.