Obs!
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Gjelder for:
- Microsoft Defender XDR
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender for endepunkt plan 1
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Plattformer
- Windows
- macOS
- Androide
I Microsoft Defender-portalen kan du vise og administrere trusselregistreringer ved hjelp av følgende fremgangsmåte:
Gå til Microsoft XDR-portalen og logg på.
På målsiden ser du enhetene med aktivt kort for skadelig programvare med følgende informasjon:
- Visningstekst: Gjelder for Intune-administrerte enheter. Enheter med flere gjenkjenninger av skadelig programvare kan telles mer enn én gang.
- Dato og klokkeslett for sist oppdatert.
- En stolpe med de aktive delene og skadelig programvare utbedret deler i henhold til skanningen.
Du kan velge Vis detaljer for mer informasjon.
Når den er utbedret, ser du følgende tekst som vises:
Skadelig programvare som ble funnet på enhetene dine, er utbedret.
Administrer trusselregistreringer i Microsoft Intune
Du kan administrere trusselregistreringer for alle enheter som er registrert i Microsoft Intune ved hjelp av følgende fremgangsmåte:
Gå til administrasjonssenteret for Microsoft Intune på intune.microsoft.com og logg på.
Velg Sikkerhet for endepunkt i navigasjonsruten.
Velg Antivirus under Administrer. Du ser faner for Sammendrag, Usunne endepunkter og Aktiv skadelig programvare.
Se gjennom informasjonen på de tilgjengelige fanene, og utfør deretter handling etter behov.
Når du for eksempel kan velge en enhet som er oppført under fanen Aktiv skadelig programvare , kan du velge én handling fra listen over handlinger som er angitt:
- Starte på nytt
- Hurtigskanning
- Fullstendig skanning
- Synkronisere
- Oppdater signaturer
Vanlige spørsmål
Hvorfor ser den siste oppdateringen ut til å skje i dag, i Microsoft XDR-portalen > enheter med aktive enheter for skadelig programvare > med registrering av skadelig programvare?
Hvis du vil se når den skadelige programvaren ble oppdaget, kan du utføre følgende trinn:
Siden dette er en integrering med Intune, kan du gå til Intune-portalen og velge Antivirus, og deretter velge Aktiv skadelig programvare-fanen.
Velg Eksporter.
Gå til Nedlastinger på enheten, og pakk ut
Active malware_YYYY_MM_DD_THH_MM_SS.0123Z.csv.zipfilen.Åpne CSV-en, og finn LastStateChangeDateTime-kolonnen for å se når skadelig programvare ble oppdaget.
Hvorfor kan jeg ikke se informasjon om hvilken skadelig programvare som ble oppdaget på enheten, i enheter med rapporter om registrering av skadelig programvare.
Hvis du vil se navnet på skadelig programvare, kan du gå til portalen Intune siden dette er en integrasjon med Intune, velge Antivirus og velge Aktiv skadelig programvare-fanen, og du ser en kolonne kalt Navn på skadelig programvare.
Jeg ser et annet nummer for aktiv skadelig programvare i enheter med rapporten for aktiv skadelig programvare, sammenlignet med tall jeg ser ved hjelp av rapporter > som oppdaget skadelig programvare, og Intune > antivirusaktiv > skadelig programvare.
Rapporten enheter med aktiv skadelig programvare er basert på enhetene som var aktive i løpet av de siste 1 dagene (24 timer) og som har oppdaget skadelig programvare i løpet av de siste 15 dagene.
Bruk følgende avansert jaktspørring:
DeviceInfo
| where Timestamp > startofday(datetime(2024-01-29 00:00:00))
| where OnboardingStatus == "Onboarded"
| where SensorHealthState == "Active"
| distinct DeviceId, DeviceName
| join kind=innerunique (
AlertEvidence
| where Timestamp > ago(15d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus")
on DeviceName
| distinct DeviceName, DeviceId, Title, AlertId, Timestamp
Jeg søkte i datamaskinnavnet i det øverste søkefeltet og fikk to enheter med samme navn. Jeg vet ikke hvilken av de to enhetene rapporten refererer til?
Bruk avansert jakt-spørringen som er nevnt her for detaljer som unik DeviceID, Tittel, AlertID og utbedringsprosessen. Når du har identifisert, kan du samarbeide med IT-administratoren for å sikre at enhetene er unikt navngitt. Hvis en enhet er trukket tilbake, kan du bruke merker til å ta den ut av drift.
Jeg ser gjenkjenning av skadelig programvare i Intune og på rapporter om enheter med aktiv skadelig programvare, men jeg ser den ikke i MDE Varsler-køen eller i Hendelser-køen.
Det kan være at nettadressens Cloud Protection for øyeblikket ikke tillates gjennom brannmuren eller proxyen.
Du må sørge for at når du kjører %ProgramFiles%\Windows Defender\MpCmdRun.exe -ValidateMapsConnection på enheten, er rapporteringen OK.
Jeg ser en enhet som har vært inaktiv i 180 dager, men som fortsatt vises i rapporten for «Enheter med aktiv skadelig programvare». Enheten vises ikke i Enhetslager, kan ikke slås på og kan ikke avlastes fra Microsoft Defender for endepunkt.
Enheten er ikke trukket tilbake fra Intune.