Veelgestelde vragen over eindpuntdetectie en -respons (EDR) in de blokmodus

Als u een fout-positief krijgt, kunt u het bestand voor analyse indienen op de Microsoft-beveiligingsinformatie-indieningssite.

U kunt ook een uitsluiting definiëren voor Microsoft Defender Antivirus. Zie Uitsluitingen configureren en valideren voor Microsoft Defender Antivirusscans.

Ja, Microsoft raadt aan EDR in te schakelen in de blokmodus, zelfs wanneer de primaire antivirussoftware op het systeem is Microsoft Defender Antivirus. EDR-detecties kunnen automatisch worden hersteld door PUA-beveiliging of door geautomatiseerd onderzoek & herstelmogelijkheden in de blokmodus.

Het primaire doel van EDR in de blokmodus is het herstellen van detecties na inbreuk die zijn gemist door een niet-Microsoft-antivirusproduct.

EDR in de blokmodus heeft geen invloed op antivirusbeveiliging van derden die wordt uitgevoerd op apparaten van gebruikers. EDR in de blokmodus werkt als de primaire antivirusoplossing iets mist of als er een detectie na de inbreuk is. EDR in de blokmodus werkt net als Microsoft Defender Antivirus in de passieve modus, behalve dat EDR in de blokmodus ook schadelijke artefacten of gedetecteerd gedrag blokkeert en herstelt.

Omdat Microsoft Defender Antivirus schadelijke items detecteert en herstelt, is het belangrijk om deze up-to-date te houden. Om EDR in de blokmodus effectief te maken, gebruikt het de nieuwste apparaatleermodellen, gedragsdetecties en heuristieken. De defender voor Eindpunt-stack met mogelijkheden werkt op een geïntegreerde manier. Voor de beste beveiligingswaarde moet u Microsoft Defender Antivirus up-to-date houden. Zie Microsoft Defender Antivirus-updates beheren en basislijnen toepassen.

Cloudbeveiliging is nodig om de functie op het apparaat in te schakelen. Met cloudbeveiliging kan Defender voor Eindpunt de nieuwste en beste beveiliging bieden op basis van onze breedte en diepte van beveiligingsintelligentie, samen met gedrags- en apparaatleermodellen.

Voor eindpunten met Windows 10, Windows 11, Windows Server, versie 1803 of hoger, Windows Server 2019 of Windows Server 2022 wanneer Microsoft Defender Antivirus actief is, wordt dit gebruikt als het primaire antivirusprogramma op het apparaat. Wanneer u in de passieve modus wordt uitgevoerd, is Microsoft Defender Antivirus niet het primaire antivirusproduct. In dit geval worden bedreigingen niet in realtime hersteld door Microsoft Defender Antivirus.

Zie Microsoft Defender Antiviruscompatibiliteit voor meer informatie.

Als u wilt controleren of Microsoft Defender Antivirus in de actieve of passieve modus wordt uitgevoerd, kunt u opdrachtprompt of PowerShell gebruiken op een apparaat met Windows.

U kunt PowerShell gebruiken om te bevestigen dat EDR in de blokmodus is ingeschakeld met Microsoft Defender Antivirus die in de passieve modus wordt uitgevoerd.

1. Selecteer het Startmenu, begin te typen PowerShellen open vervolgens Windows PowerShell in de resultaten.

2. Typ Get-MPComputerStatus|select AMRunningMode.

3. Controleer of het resultaat, EDR Block Mode, wordt weergegeven.

Als Microsoft Defender Antivirus wordt uitgevoerd in de actieve of passieve modus, wordt EDR in de blokmodus ondersteund door de volgende versies van Windows:

• Windows 11
• Windows 10 (alle releases)
• Windows Server, versie 1803 of hoger
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016 en Windows Server 2012 R2 (met de nieuwe geïntegreerde clientoplossing)

Met de nieuwe geïntegreerde clientoplossing voor Windows Server 2016 en Windows Server 2012 R2 kunt u EDR uitvoeren in de blokmodus in passieve modus of actieve modus.

Als u ervoor kiest om EDR uit te schakelen in de blokmodus, kan het tot 30 minuten duren voordat het systeem deze mogelijkheid heeft uitgeschakeld.

• Eindpuntdetectie en -reactie in blokmodus
• Tech Community-blog: Introductie van EDR in blokmodus: Aanvallen stoppen in hun sporen
• Gedragsblokkering en -insluiting