Delen via

Geavanceerde functies configureren in Defender voor Eindpunt

  • Artikel

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Afhankelijk van de Microsoft-beveiligingsproducten die u gebruikt, zijn er mogelijk enkele geavanceerde functies beschikbaar waarmee u Defender voor Eindpunt kunt integreren.

Geavanceerde functies inschakelen

  1. Ga naar de Microsoft Defender-portal en meld u aan.

  2. Selecteer in het navigatiedeelvenster Instellingen>Eindpunten>Geavanceerde functies.

  3. Selecteer de geavanceerde functie die u wilt configureren en zet de instelling tussen Aan en Uit.

  4. Selecteer Voorkeuren voor opslaan.

Gebruik de volgende geavanceerde functies om beter te worden beschermd tegen mogelijk schadelijke bestanden en meer inzicht te krijgen tijdens beveiligingsonderzoeken.

Correlatie beperken tot binnen apparaatgroepen met bereik

Deze configuratie kan worden gebruikt voor scenario's waarbij lokale SOC-bewerkingen waarschuwingscorrelaties alleen willen beperken tot apparaatgroepen waartoe ze toegang hebben. Door deze instelling in te schakelen, wordt een incident dat bestaat uit waarschuwingen dat verschillende apparaatgroepen niet langer als één incident worden beschouwd. De lokale SOC kan vervolgens actie ondernemen op het incident omdat deze toegang heeft tot een van de betrokken apparaatgroepen. Globale SOC ziet echter verschillende incidenten per apparaatgroep in plaats van één incident. We raden u aan deze instelling niet in te schakelen, tenzij dit opweegt tegen de voordelen van incidentcorrelatie in de hele organisatie.

Opmerking

  • Als u deze instelling wijzigt, is dit alleen van invloed op toekomstige waarschuwingscorrelaties.

  • Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.

EDR in de blokmodus inschakelen

Eindpuntdetectie en -respons (EDR) in de blokmodus biedt bescherming tegen schadelijke artefacten, zelfs wanneer Microsoft Defender Antivirus in de passieve modus wordt uitgevoerd. Wanneer EDR is ingeschakeld, blokkeert EDR in de blokmodus schadelijke artefacten of gedrag dat op een apparaat wordt gedetecteerd. EDR in de blokmodus werkt achter de schermen om schadelijke artefacten te herstellen die na de schending zijn gedetecteerd.

Waarschuwingen automatisch oplossen

Schakel deze instelling in om automatisch waarschuwingen op te lossen wanneer er geen bedreigingen zijn gevonden of waar gedetecteerde bedreigingen zijn hersteld. Als u niet wilt dat waarschuwingen automatisch worden omgezet, moet u de functie handmatig uitschakelen.

Opmerking

  • Het resultaat van de actie voor automatisch oplossen kan van invloed zijn op de berekening van het risiconiveau van het apparaat die is gebaseerd op de actieve waarschuwingen die op een apparaat zijn gevonden.
  • Als een beveiligingsanalist de status van een waarschuwing handmatig instelt op 'Wordt uitgevoerd' of 'Opgelost', wordt deze niet overschreven door de functie voor automatisch oplossen.

Bestand toestaan of blokkeren

Blokkeren is alleen beschikbaar als uw organisatie aan deze vereisten voldoet:

  • Maakt gebruik van Microsoft Defender Antivirus als de actieve antimalwareoplossing en,
  • De cloudbeveiligingsfunctie is ingeschakeld

Met deze functie kunt u mogelijk schadelijke bestanden in uw netwerk blokkeren. Als u een bestand blokkeert, wordt het niet gelezen, geschreven of uitgevoerd op apparaten in uw organisatie.

Bestanden toestaan of blokkeren inschakelen:

  1. Selecteer in de Microsoft Defender-portal in het navigatiedeelvenster Instellingen>Eindpunten>Algemene>geavanceerde functies>Bestand toestaan of blokkeren.

  2. Schakel de instelling tussen Aan en Uit.

    Het scherm Eindpunten

  3. Selecteer Voorkeuren voor opslaan onder aan de pagina.

Nadat u deze functie hebt ingeschakeld, kunt u bestanden blokkeren via het tabblad Indicator toevoegen op de profielpagina van een bestand.

Mogelijke dubbele apparaatrecords verbergen

Door deze functie in te schakelen, kunt u ervoor zorgen dat u de meest nauwkeurige informatie over uw apparaten ziet door mogelijke dubbele apparaatrecords te verbergen. Er zijn verschillende redenen waarom dubbele apparaatrecords kunnen optreden, bijvoorbeeld, de mogelijkheid voor apparaatdetectie in Microsoft Defender voor Eindpunt kan uw netwerk scannen en een apparaat detecteren dat al is onboarded of onlangs is offboarded.

Met deze functie worden mogelijke dubbele apparaten geïdentificeerd op basis van hun hostnaam en de tijd voor het laatst gezien. De dubbele apparaten worden verborgen voor meerdere ervaringen in de portal, zoals de apparaatinventaris, de pagina's Microsoft Defender Vulnerability Management en openbare API's voor computergegevens, zodat de meest nauwkeurige apparaatrecord zichtbaar blijft. De duplicaten zijn echter nog steeds zichtbaar op pagina's met globale zoekopdrachten, geavanceerde opsporing, waarschuwingen en incidenten.

Deze instelling is standaard ingeschakeld en wordt tenantbreed toegepast. Als u potentiële dubbele apparaatrecords niet wilt verbergen, moet u de functie handmatig uitschakelen.

Aangepaste netwerkindicatoren

Als u deze functie inschakelt, kunt u indicatoren maken voor IP-adressen, domeinen of URL's, die bepalen of ze worden toegestaan of geblokkeerd op basis van uw aangepaste indicatorlijst.

Als u deze functie wilt gebruiken, moeten op apparaten Windows 10 versie 1709 of hoger of Windows 11 worden uitgevoerd. Ze moeten ook netwerkbeveiliging hebben in de blokmodus en versie 4.18.1906.3 of hoger van het antimalwareplatform zie KB-4052623.

Zie Indicatoren beheren voor meer informatie.

Opmerking

Netwerkbeveiliging maakt gebruik van reputatieservices die aanvragen verwerken op locaties die zich mogelijk buiten de locatie bevinden die u hebt geselecteerd voor uw Defender for Endpoint-gegevens.

Manipulatiebeveiliging

Tijdens sommige soorten cyberaanvallen proberen slechte actoren beveiligingsfuncties, zoals antivirusbeveiliging, op uw machines uit te schakelen. Slechte actoren willen uw beveiligingsfuncties uitschakelen om gemakkelijker toegang te krijgen tot uw gegevens, om malware te installeren of om uw gegevens, identiteit en apparaten op een andere manier te misbruiken. Manipulatiebeveiliging vergrendelt in feite Microsoft Defender Antivirus en voorkomt dat uw beveiligingsinstellingen worden gewijzigd via apps en methoden.

Zie Beveiligingsinstellingen beveiligen met manipulatiebeveiliging voor meer informatie, waaronder het configureren van manipulatiebeveiliging.

Gebruikersgegevens weergeven

Schakel deze functie in zodat u gebruikersgegevens kunt zien die zijn opgeslagen in Microsoft Entra ID. Details omvatten de afbeelding, naam, titel en afdelingsgegevens van een gebruiker bij het onderzoeken van gebruikersaccounttiteiten. U vindt gebruikersaccountgegevens in de volgende weergaven:

  • Waarschuwingswachtrij
  • Pagina Apparaatdetails

Zie Een gebruikersaccount onderzoeken voor meer informatie.

Skype voor Bedrijven-integratie

Door de integratie van Skype voor Bedrijven in te schakelen, kunt u communiceren met gebruikers die Skype voor Bedrijven, e-mail of telefoon gebruiken. Deze activering kan handig zijn wanneer u met de gebruiker wilt communiceren en risico's wilt beperken.

Opmerking

Wanneer een apparaat wordt geïsoleerd van het netwerk, is er een pop-up waarin u ervoor kunt kiezen om Outlook- en Skype-communicatie in te schakelen, waardoor communicatie met de gebruiker mogelijk is terwijl de verbinding met het netwerk wordt verbroken. Deze instelling is van toepassing op Skype- en Outlook-communicatie wanneer apparaten zich in de isolatiemodus bevinden.

Microsoft Defender for Cloud Apps

Als u deze instelling inschakelt, worden Defender voor Eindpunt-signalen doorgestuurd naar Microsoft Defender for Cloud Apps om meer inzicht te krijgen in het gebruik van cloudtoepassingen. Doorgestuurde gegevens worden opgeslagen en verwerkt op dezelfde locatie als uw Defender for Cloud Apps-gegevens.

Opmerking

Deze functie is beschikbaar met een E5-licentie voor Enterprise Mobility + Security op apparaten met Windows 10. versie 1709 (OS-build 16299.1085 met KB4493441), Windows 10, versie 1803 (OS-build 17134.704 met KB4493464), Windows 10, versie 1809 (OS-build 17763.379 met KB4489899), latere versies van Windows 10 of Windows 11.

Filteren van webinhoud

Toegang blokkeren tot websites die ongewenste inhoud bevatten en webactiviteit in alle domeinen bijhouden. Als u de webinhoudscategorieën wilt opgeven die u wilt blokkeren, maakt u een filterbeleid voor webinhoud. Zorg ervoor dat u netwerkbeveiliging in de blokmodus hebt bij het implementeren van de beveiligingsbasislijn van Microsoft Defender voor Eindpunt.

Geïntegreerd auditlogboek

Zoeken in Microsoft Purview stelt uw beveiligings- en complianceteam in staat om kritieke gebeurtenisgegevens van auditlogboeken te bekijken om inzicht te krijgen en gebruikersactiviteiten te onderzoeken. Wanneer een gecontroleerde activiteit wordt uitgevoerd door een gebruiker of beheerder, wordt er een auditrecord gegenereerd en opgeslagen in het Microsoft 365-auditlogboek voor uw organisatie. Zie Het auditlogboek doorzoeken voor meer informatie.

Apparaatdetectie

Hiermee kunt u onbeheerde apparaten vinden die zijn verbonden met uw bedrijfsnetwerk zonder extra apparaten of omslachtige proceswijzigingen. Met behulp van onboarding-apparaten kunt u onbeheerde apparaten in uw netwerk vinden en beveiligingsproblemen en risico's beoordelen. Zie Apparaatdetectie voor meer informatie.

Opmerking

U kunt altijd filters toepassen om niet-beheerde apparaten uit te sluiten van de inventarislijst van apparaten. U kunt ook de kolom onboardingstatus voor API-query's gebruiken om niet-beheerde apparaten te filteren.

Bestanden in quarantaine downloaden

Maak een back-up van bestanden in quarantaine op een veilige en compatibele locatie, zodat ze rechtstreeks vanuit quarantaine kunnen worden gedownload. De knop Bestand downloaden is altijd beschikbaar op de bestandspagina. Deze instelling is standaard ingeschakeld. Meer informatie over vereisten

Standaard gestroomlijnde connectiviteit bij het onboarden van apparaten in de Defender-portal

Met deze instelling wordt het standaard onboardingpakket ingesteld op gestroomlijnde connectiviteit voor toepasselijke besturingssystemen. U hebt nog steeds de mogelijkheid om het standaard onboardingpakket te gebruiken op de onboardingpagina, maar u moet dit specifiek selecteren in de vervolgkeuzelijst.

Live reactie

Schakel deze functie in, zodat gebruikers met de juiste machtigingen een live-antwoordsessie kunnen starten op apparaten.

Zie Rollen maken en beheren voor meer informatie over roltoewijzingen.

Live antwoord voor servers

Schakel deze functie in, zodat gebruikers met de juiste machtigingen een live-antwoordsessie op servers kunnen starten.

Zie Rollen maken en beheren voor meer informatie over roltoewijzingen.

Uitvoering van niet-ondertekend live-antwoordscript

Als u deze functie inschakelt, kunt u niet-ondertekende scripts uitvoeren in een live-antwoordsessie.

Bedrog

Met misleiding kan uw beveiligingsteam lokers en lokers en lokers beheren en implementeren om aanvallers in uw omgeving te vangen. Nadat u dit hebt ingeschakeld, gaat u naar Regels > voor misleiding om misleidingscampagnes uit te voeren. Zie De mogelijkheid voor bedrog beheren in Microsoft Defender XDR.

Eindpuntwaarschuwingen delen met Microsoft Compliance Center

Stuurt eindpuntbeveiligingswaarschuwingen en de bijbehorende triagestatus door naar de Microsoft Purview-nalevingsportal, zodat u intern risicobeheerbeleid kunt verbeteren met waarschuwingen en interne risico's kunt oplossen voordat ze schade veroorzaken. Doorgestuurde gegevens worden verwerkt en opgeslagen op dezelfde locatie als uw Office 365-gegevens.

Na het configureren van de indicatoren voor schending van beveiligingsbeleid in de instellingen voor intern risicobeheer, worden Defender voor Eindpunt-waarschuwingen gedeeld met intern risicobeheer voor toepasselijke gebruikers.

Microsoft Intune-verbinding

Defender voor Eindpunt kan worden geïntegreerd met Microsoft Intune om voorwaardelijke toegang op basis van apparaatrisico's in te schakelen. Wanneer u deze functie inschakelt, kunt u Defender voor Eindpunt-apparaatgegevens delen met Intune, waardoor het afdwingen van beleid wordt verbeterd.

Belangrijk

U moet de integratie inschakelen op zowel Intune als Defender for Endpoint om deze functie te kunnen gebruiken. Zie Voorwaardelijke toegang configureren in Defender voor Eindpunt voor meer informatie over specifieke stappen.

Deze functie is alleen beschikbaar als u aan de volgende vereisten voldoet:

  • Een tenant met een licentie voor Enterprise Mobility + Security E3 en Windows E5 (of Microsoft 365 Enterprise E5)
  • Een actieve Microsoft Intune-omgeving, met door Intune beheerde Windows-apparaten die zijn gekoppeld aan Microsoft Entra.

Geverifieerde telemetrie

U kunt geverifieerde telemetrie inschakelen om te voorkomen dat telemetriegegevens worden vervalst in uw dashboard.

Preview-functies

Meer informatie over nieuwe functies in de preview-versie van Defender voor Eindpunt.

Probeer toekomstige functies uit door de preview-ervaring in te schakelen. U hebt toegang tot toekomstige functies, waarover u feedback kunt geven om de algehele ervaring te verbeteren voordat functies algemeen beschikbaar zijn.

Als u al preview-functies hebt ingeschakeld, beheert u uw instellingen vanuit de belangrijkste Defender XDR-instellingen.

Zie Preview-functies van Microsoft Defender XDR voor meer informatie

Eindpuntaanvalmeldingen

Met eindpuntaanvalmeldingen kan Microsoft actief zoeken naar kritieke bedreigingen die prioriteit moeten krijgen op basis van urgentie en impact op uw eindpuntgegevens.

Meer informatie over Microsoft Defender-experts voor proactieve opsporing in het volledige bereik van Microsoft Defender XDR, inclusief bedreigingen die e-mail, samenwerking, identiteit, cloudtoepassingen en eindpunten omvatten.

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.