Del via

Løs usunne sensorer i Microsoft Defender for endepunkt

  • Artikkel

Gjelder for:

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Enheter kan kategoriseres som feilkonfigurerte eller inaktive flagges av ulike årsaker. Denne artikkelen inneholder informasjon om hvorfor en enhet kan kategoriseres som inaktiv eller feilkonfigurert.

Inaktive enheter

En inaktiv enhet flagges ikke nødvendigvis på grunn av et problem. Følgende handlinger som utføres på en enhet, kan føre til at en enhet kategoriseres som inaktiv:

  • Enheten er ikke i bruk
  • Enheten ble installert på nytt eller fått nytt navn
  • Enheten ble ikke gått om bord
  • Enheten sender ikke signaler

Enheten er ikke i bruk

Alle enheter som ikke er i bruk i mer enn sju dager, beholder «Inaktiv»-status i portalen.

Enheten ble installert på nytt eller fått nytt navn

En ny enhet genereres i Microsoft Defender XDR for enheter med nytt installasjon eller nytt navn. Den forrige enhetsenheten forblir, med en Inaktiv-status i portalen. Hvis du installerte en enhet på nytt og distribuerte Defender for Endpoint-pakken, søker du etter det nye enhetsnavnet for å bekrefte at enheten rapporterer normalt.

Enheten ble ikke gått om bord

Hvis enheten ikke ble gått om bord, vises den fortsatt i enhetslisten. Etter sju dager bør tilstanden til enheten endres til inaktiv.

Enheten sender ikke signaler

Hvis enheten ikke sender noen signaler til noen Microsoft Defender for endepunkt kanaler i mer enn sju dager av en eller annen grunn, kan en enhet betraktes som inaktiv. Feilkonfigurerte enheter kan også betraktes som inaktive.

Feilkonfigurerte enheter

Feilkonfigurerte enheter kan klassifiseres videre til:

  • Nedsatt kommunikasjon
  • Ingen sensordata

Nedsatt kommunikasjon

Denne statusen indikerer at det er begrenset kommunikasjon mellom enheten og tjenesten.

Følgende foreslåtte handlinger kan bidra til å løse problemer relatert til en feilkonfigurert enhet med nedsatt kommunikasjon:

Hvis du gjorde korrigerende handlinger og enhetsstatusen fremdeles er feilkonfigurert, åpner du en støtteforespørsel.

Ingen sensordata

En feilkonfigurert enhet med statusen «Ingen sensordata» har kommunikasjon med tjenesten, men kan bare rapportere delvise sensordata.

Følg disse handlingene for å rette opp kjente problemer relatert til en feilkonfigurert enhet med statusen «Ingen sensordata»:

  • Kontroller at enheten har Internett-tilkobling. Den Microsoft Defender for endepunkt sensoren krever at Microsoft Windows HTTP (WinHTTP) rapporterer sensordata og kommuniserer med Microsoft Defender for endepunkt-tjenesten.

  • Kontroller klienttilkoblingen til Microsoft Defender for endepunkt-tjeneste-URL-adresser. Kontroller at proxy-konfigurasjonen er fullført, at WinHTTP kan oppdage og kommunisere via proxy-serveren i miljøet ditt, og at proxy-serveren tillater trafikk til Microsoft Defender for endepunkt nettadresser for tjenesten.

  • Kontroller at diagnosedatatjenesten er aktivert. Hvis enhetene ikke rapporterer riktig, bør du kontrollere at Windows-diagnosedatatjenesten er satt til å starte automatisk. Kontroller også at Windows-diagnosedatatjenesten kjører på endepunktet.

  • Kontroller at Microsoft Defender Antivirus ikke er deaktivert av policyen. Hvis enhetene kjører en tredjeparts anti-malware-klient, krever Defender for Endpoint-agenten at driveren Microsoft Defender Antivirus Early Launch anti-malware (ELAM) er aktivert.

  • For macOS-enheter som sover i mer enn 48 timer (en helg), sender Microsoft Defender for endepunkt på macOS fortsatt kommando- og kontrollkanaldata (CnC), men sender ingen cyberkanaldata. Når enhetene er slått på og brukt den første arbeidsdagen, vises enhetene som aktive.

Hvis du gjorde korrigerende handlinger og enhetsstatusen fremdeles er feilkonfigurert, åpner du en støtteforespørsel.

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.