Share via


Konfigurere avanserte funksjoner i Defender for endepunkt

Gjelder for:

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Avhengig av hvilke Microsoft-sikkerhetsprodukter du bruker, kan det hende at noen avanserte funksjoner er tilgjengelige for integrering av Defender for endepunkt.

Aktiver avanserte funksjoner

  1. Logg på Microsoft Defender XDR ved hjelp av en konto med sikkerhetsadministratoren eller global administrator rolle tilordnet.

  2. VelgAvanserte funksjonerforInnstillinger-endepunkter>> i navigasjonsruten.

  3. Velg den avanserte funksjonen du vil konfigurere, og aktiver/deaktiver innstillingen mellom og Av.

  4. Velg Lagre innstillinger.

Bruk følgende avanserte funksjoner for å få bedre beskyttelse mot potensielt skadelige filer og få bedre innsikt under sikkerhetsundersøkelser.

Direkte svar

Slå på denne funksjonen slik at brukere med de riktige tillatelsene kan starte en økt med direkte respons på enheter.

Hvis du vil ha mer informasjon om rolletildelinger, kan du se Opprett og administrere roller.

Direkte svar for servere

Aktiver denne funksjonen slik at brukere med de nødvendige tillatelsene kan starte en økt med direkte respons på servere.

Hvis du vil ha mer informasjon om rolletildelinger, kan du se Opprett og administrere roller.

Kjøring av usignert skript i sanntid

Hvis du aktiverer denne funksjonen, kan du kjøre usignerte skript i en økt med direkte respons.

Begrense korrelasjonen til enhetsgrupper med omfang

Denne konfigurasjonen kan brukes for scenarioer der lokale SOC-operasjoner bare vil begrense varslingskorrelasjoner til enhetsgrupper de har tilgang til. Ved å slå på denne innstillingen, en hendelse bestående av varsler om at grupper på tvers av enheter ikke lenger vil bli betraktet som en enkelt hendelse. Den lokale SOC kan deretter iverksette tiltak mot hendelsen fordi de har tilgang til en av de involverte enhetsgruppene. Global SOC vil imidlertid se flere forskjellige hendelser etter enhetsgruppe i stedet for én hendelse. Vi anbefaler ikke å aktivere denne innstillingen med mindre dette oppveier fordelene ved hendelseskorrelasjon på tvers av hele organisasjonen.

Obs!

  • Endring av denne innstillingen påvirker bare fremtidige varslingskorrelasjoner.

  • Oppretting av enhetsgruppe støttes i Defender for Endpoint Plan 1 og Plan 2.

Aktiver EDR i blokkmodus

Gjenkjenning og respons for endepunkt (EDR) i blokkmodus gir beskyttelse mot skadelige artefakter, selv når Microsoft Defender Antivirus kjører i passiv modus. Når den er aktivert, blokkerer EDR i blokkmodus skadelige artefakter eller virkemåter som oppdages på en enhet. EDR i blokkmodus fungerer bak kulissene for å utbedre ondsinnede artefakter som oppdages etter brudd.

Autoresolve utbedrte varsler

For leiere som er opprettet på eller etter Windows 10, versjon 1809, konfigureres den automatiserte undersøkelses- og utbedringsfunksjonen som standard for å løse varsler der statusen for automatisert analyseresultat er «Ingen trusler funnet» eller «Utbedret». Hvis du ikke vil at varsler skal løses automatisk, må du deaktivere funksjonen manuelt.

Tips

For leiere som er opprettet før denne versjonen, må du aktivere denne funksjonen manuelt fra siden Avanserte funksjoner .

Obs!

  • Resultatet av handlingen for automatisk løsning kan påvirke beregningen av enhetsrisikonivået, som er basert på de aktive varslene som finnes på en enhet.
  • Hvis en analytiker for sikkerhetsoperasjoner manuelt angir statusen for et varsel til «Pågår» eller «Løst», vil ikke funksjonen for automatisk løsning overskrive den.

Tillat eller blokker fil

Blokkering er bare tilgjengelig hvis organisasjonen oppfyller disse kravene:

  • Bruker Microsoft Defender Antivirus som aktiv løsning for beskyttelse mot skadelig programvare, og
  • Den skybaserte beskyttelsesfunksjonen er aktivert

Med denne funksjonen kan du blokkere potensielt skadelige filer i nettverket. Blokkering av en fil hindrer at den leses, skrives eller kjøres på enheter i organisasjonen.

Slik aktiverer eller blokkerer du filer:

  1. Velg Innstillinger>endepunkter>Generelle>avanserte funksjoner>Tillat eller blokker fil i navigasjonsruten.

  2. Aktiver/deaktiver innstillingen mellom og Av.

    Endepunkt-skjermen

  3. Velg Lagre innstillinger nederst på siden.

Når du har aktivert denne funksjonen, kan du blokkere filer via fanen Legg til indikator på profilsiden til en fil.

Skjul potensielle dupliserte enhetsposter

Ved å aktivere denne funksjonen kan du sikre at du ser den mest nøyaktige informasjonen om enhetene dine ved å skjule potensielle dupliserte enhetsposter. Det finnes ulike årsaker til at dupliserte enhetsposter kan oppstå, for eksempel at enhetsoppdagelsesfunksjonen i Microsoft Defender for endepunkt kan skanne nettverket og oppdage en enhet som allerede er pålastet eller nylig har blitt avlastet.

Denne funksjonen identifiserer potensielle dupliserte enheter basert på vertsnavnet og klokkeslettet som sist ble sett. De dupliserte enhetene skjules fra flere opplevelser i portalen, for eksempel enhetsbeholdningen, Microsoft Defender Vulnerability Management sider og offentlige API-er for maskindata, slik at den mest nøyaktige enhetsposten er synlig. Duplikatene vil imidlertid fortsatt være synlige i globalt søk, avansert jakt, varsler og hendelsessider.

Denne innstillingen er aktivert som standard og brukes i hele leieren. Hvis du ikke vil skjule potensielle dupliserte enhetsposter, må du deaktivere funksjonen manuelt.

Egendefinerte nettverksindikatorer

Hvis du aktiverer denne funksjonen, kan du opprette indikatorer for IP-adresser, domener eller nettadresser, som bestemmer om de skal tillates eller blokkeres basert på den egendefinerte indikatorlisten.

Hvis du vil bruke denne funksjonen, må enheter kjøre Windows 10 versjon 1709 eller nyere, eller Windows 11. De bør også ha nettverksbeskyttelse i blokkmodus og versjon 4.18.1906.3 eller nyere av plattformen for beskyttelse mot skadelig programvare , se KB-4052623.

Hvis du vil ha mer informasjon, kan du se Behandle indikatorer.

Obs!

Nettverksbeskyttelse benytter omdømmetjenester som behandler forespørsler på steder som kan være utenfor plasseringen du har valgt for Defender for Endpoint-data.

Manipuleringsbeskyttelse

Under noen typer cyberangrep prøver dårlige aktører å deaktivere sikkerhetsfunksjoner, for eksempel antivirusbeskyttelse, på maskinene dine. Dårlige aktører liker å deaktivere sikkerhetsfunksjonene dine for å få enklere tilgang til dataene dine, installere skadelig programvare eller på annen måte utnytte data, identitet og enheter. Manipuleringsbeskyttelse låser i hovedsak Microsoft Defender Antivirus og hindrer at sikkerhetsinnstillingene endres gjennom apper og metoder.

Hvis du vil ha mer informasjon, inkludert hvordan du konfigurerer manipuleringsbeskyttelse, kan du se Beskytte sikkerhetsinnstillinger med beskyttelse mot manipulering.

Vis brukerdetaljer

Aktiver denne funksjonen slik at du kan se brukerdetaljer som er lagret i Microsoft Entra ID. Detaljer omfatter en brukers bilde, navn, tittel og avdelingsinformasjon når du undersøker brukerkontoenheter. Du finner brukerkontoinformasjon i følgende visninger:

  • Varselkø
  • Side for enhetsdetaljer

Hvis du vil ha mer informasjon, kan du se Undersøke en brukerkonto.

integrering av Skype for Business

Aktivering av Skype for Business-integrering gir deg muligheten til å kommunisere med brukere ved hjelp av Skype for Business, e-post eller telefon. Denne aktiveringen kan være nyttig når du trenger å kommunisere med brukeren og redusere risikoer.

Obs!

Når en enhet isoleres fra nettverket, finnes det et popup-vindu der du kan velge å aktivere Outlook- og Skype-kommunikasjon som tillater kommunikasjon til brukeren mens de er koblet fra nettverket. Denne innstillingen gjelder for Skype- og Outlook-kommunikasjon når enhetene er i isolasjonsmodus.

tilkobling til Office 365 trusselintelligens

Viktig

Denne innstillingen ble brukt når Microsoft Defender for Office 365 og Microsoft Defender for endepunkt var i forskjellige portaler tidligere. Etter konvergensen av sikkerhetsopplevelser i en enhetlig portal som nå kalles Microsoft Defender XDR, er disse innstillingene irrelevante og har ingen funksjonalitet knyttet til dem. Du kan trygt ignorere statusen for kontrollen til den fjernes fra portalen.

Denne funksjonen er bare tilgjengelig hvis du har et aktivt abonnement for Office 365 E5 eller Trusselintelligens-tillegget. Hvis du vil ha mer informasjon, kan du se produktsiden for Office 365 E5.

Med denne funksjonen kan du integrere data fra Microsoft Defender for Office 365 i Microsoft Defender XDR for å gjennomføre en omfattende sikkerhetsundersøkelse på tvers av Office 365 postbokser og Windows-enheter.

Obs!

Du må ha riktig lisens for å aktivere denne funksjonen.

Hvis du vil motta kontekstuell enhetsintegrering i Office 365 Trusselintelligens, må du aktivere innstillingene for Defender for Endpoint i instrumentbordet for sikkerhet & samsvar. Hvis du vil ha mer informasjon, kan du se Trusselundersøkelse og -respons.

Angrepsvarsler for endepunkt

Endepunktangrepsvarsler gjør det mulig for Microsoft å aktivt jakte på kritiske trusler som skal prioriteres basert på haster og innvirkning over endepunktdataene.

For proaktiv jakt over hele omfanget av Microsoft Defender XDR, inkludert trusler som spenner over e-post, samarbeid, identitet, skyprogrammer og endepunkter, kan du lære mer om Microsoft Defender eksperter.

Microsoft Defender for skyapper

Aktivering av denne innstillingen videresender Defender for endepunktsignaler for å Microsoft Defender for Cloud Apps for å gi dypere innsyn i bruken av skyprogram. Videresendte data lagres og behandles på samme sted som Defender for Cloud Apps-data.

Obs!

Denne funksjonen vil være tilgjengelig med en E5-lisens for Enterprise Mobility + Security på enheter som kjører Windows 10, versjon 1709 (OS-bygg 16299.1085 med KB4493441), Windows 10, versjon 1803 (OS-bygg 17134.704 med KB4493464), Windows 10, versjon 1809 (OS-bygg 17763.379 med KB4489899), nyere Windows 10 versjoner eller Windows 11.

Aktiver Microsoft Defender for endepunkt-integrering fra Microsoft Defender for identitet-portalen

Hvis du vil motta kontekstavhengig enhetsintegrasjon i Microsoft Defender for identitet, må du også aktivere funksjonen i Microsoft Defender for identitet-portalen.

  1. Logg deg på Microsoft Defender for identitet-portalen med en global administrator- eller sikkerhetsadministratorrolle.

  2. Velg Opprett forekomsten.

  3. Aktiver/deaktiver integrasjonsinnstillingen til , og velg Lagre.

Når du har fullført integreringstrinnene i begge portalene, kan du se relevante varsler på siden for enhetsdetaljer eller brukerdetaljer.

Filtrering av nettinnhold

Blokker tilgang til nettsteder som inneholder uønsket innhold, og spor nettaktivitet på tvers av alle domener. Hvis du vil angi nettinnholdskategoriene du vil blokkere, oppretter du en policy for filtrering av nettinnhold. Sørg for at du har nettverksbeskyttelse i blokkmodus når du distribuerer den Microsoft Defender for endepunkt sikkerhetsgrunnlinjen.

Dele endepunktvarsler med Microsoft Purview-samsvarsportal

Videresender sikkerhetsvarsler for endepunkt og triagestatus til Microsoft Purview-samsvarsportal, slik at du kan forbedre policyer for insider risk management med varsler og utbedre interne risikoer før de forårsaker skade. Videresendte data behandles og lagres på samme sted som Office 365 dataene.

Når du har konfigurert indikatorene for brudd på sikkerhetspolicyen i innstillingene for insider-risikostyring, deles Defender for Endpoint-varsler med insider risk management for gjeldende brukere.

Godkjent telemetri

Du kan aktivere godkjent telemetri for å hindre forfalskning av telemetri til instrumentbordet.

Microsoft Intune tilkobling

Defender for Endpoint kan integreres med Microsoft Intune for å aktivere enhetsrisikobasert betinget tilgang. Når du aktiverer denne funksjonen, kan du dele enhetsinformasjon for Defender for Endpoint med Intune, noe som forbedrer policyhåndhevelse.

Viktig

Du må aktivere integrering på både Intune og Defender for endepunkt for å bruke denne funksjonen. Hvis du vil ha mer informasjon om bestemte trinn, kan du se Konfigurere betinget tilgang i Defender for endepunkt.

Denne funksjonen er bare tilgjengelig hvis du har følgende forutsetninger:

  • En lisensiert tenant for Enterprise Mobility + Security E3 og Windows E5 (eller Microsoft 365 Enterprise E5)
  • Et aktivt Microsoft Intune miljø, med Intune administrerte Windows-enheter Microsoft Entra koblet sammen.

Policy for betinget tilgang

Når du aktiverer Intune integrering, oppretter Intune automatisk en klassisk policy for betinget tilgang (CA). Denne klassiske CA-policyen er en forutsetning for å konfigurere statusrapporter til Intune. Den bør ikke slettes.

Obs!

Den klassiske CA-policyen som opprettes av Intune, er forskjellig fra moderne policyer for betinget tilgang, som brukes til å konfigurere endepunkter.

Enhetsoppdagelse

Hjelper deg med å finne uadministrerte enheter som er koblet til bedriftens nettverk uten behov for ekstra apparater eller tungvinte prosessendringer. Ved hjelp av innebygde enheter kan du finne uadministrerte enheter i nettverket og vurdere sårbarheter og risikoer. Hvis du vil ha mer informasjon, kan du se Enhetssøk.

Obs!

Du kan alltid bruke filtre til å utelate uadministrerte enheter fra enhetslagerlisten. Du kan også bruke statuskolonnen for pålasting på API-spørringer til å filtrere ut uadministrerte enheter.

Forhåndsvisningsfunksjoner

Finn ut mer om nye funksjoner i versjonen Defender for Endpoint Preview.

Prøv kommende funksjoner ved å slå på forhåndsvisningsopplevelsen. Du får tilgang til kommende funksjoner, som du kan gi tilbakemelding om for å forbedre den generelle opplevelsen før funksjoner er generelt tilgjengelige.

Hvis du allerede har aktivert forhåndsvisningsfunksjoner, administrerer du innstillingene fra hovedinnstillingene for Defender XDR.

Hvis du vil ha mer informasjon, kan du se Microsoft Defender XDR forhåndsvisningsfunksjoner

Last ned filer som er satt i karantene

Sikkerhetskopierte filer i karantene på en sikker og kompatibel plassering, slik at de kan lastes ned direkte fra karantene. Last ned fil-knappen vil alltid være tilgjengelig på filsiden. Denne innstillingen er aktivert som standard. Mer informasjon om krav

Strømlinjeformet tilkobling under pålasting av enheten (forhåndsversjon)

Denne innstillingen angir standard pålastingspakke til «strømlinjeformet» for gjeldende operativsystemer.

Du har fortsatt muligheten til å bruke standard pålastingspakke på pålastingssiden, men du må velge den spesifikt i rullegardinlisten.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.