Delen via


Eindpuntdetectie en -reactie in blokmodus

Van toepassing op:

Platforms

  • Windows

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

In dit artikel wordt EDR in de blokmodus beschreven, waarmee apparaten worden beschermd waarop een niet-Microsoft-antivirusoplossing wordt uitgevoerd (met Microsoft Defender Antivirus in passieve modus).

Wat is EDR in de blokmodus?

Eindpuntdetectie en -respons (EDR) in de blokmodus biedt extra bescherming tegen schadelijke artefacten wanneer Microsoft Defender Antivirus niet het primaire antivirusproduct is en wordt uitgevoerd in de passieve modus. EDR in blokmodus is beschikbaar in Defender voor Eindpunt-abonnement 2.

Belangrijk

EDR in de blokmodus kan niet alle beschikbare beveiliging bieden wanneer De realtime-beveiliging van Microsoft Defender Antivirus zich in de passieve modus bevindt. Sommige mogelijkheden die afhankelijk zijn van Microsoft Defender Antivirus om de actieve antivirusoplossing te zijn, werken niet, zoals de volgende voorbeelden:

EDR in de blokmodus werkt achter de schermen om schadelijke artefacten te herstellen die zijn gedetecteerd door EDR-mogelijkheden. Dergelijke artefacten zijn mogelijk gemist door het primaire, niet-Microsoft-antivirusproduct. Met EDR in de blokmodus kan Microsoft Defender Antivirus acties uitvoeren op EDR-detecties na inbreuk.

EDR in de blokmodus is geïntegreerd met mogelijkheden voor het beheer van bedreigingen & beveiligingsproblemen . Het beveiligingsteam van uw organisatie krijgt een beveiligingsaanmelding om EDR in de blokmodus in te schakelen als dit nog niet is ingeschakeld.

De aanbeveling om EDR in te schakelen in de blokmodus

Tip

Zorg ervoor dat u Microsoft Defender voor Eindpunt-basislijnen implementeert om de beste beveiliging te krijgen.

Bekijk deze video om te leren waarom en hoe u eindpuntdetectie en -respons (EDR) inschakelt in de blokmodus, gedragsblokkering inschakelen en insluiten in elke fase, van pre-breach tot post-breach.

Wat gebeurt er wanneer er iets wordt gedetecteerd?

Wanneer EDR in de blokmodus is ingeschakeld en een schadelijk artefact wordt gedetecteerd, herstelt Defender voor Eindpunt dat artefact. Uw beveiligingsteam ziet de detectiestatus geblokkeerd of verhinderd in het actiecentrum, vermeld als voltooide acties. In de volgende afbeelding ziet u een exemplaar van ongewenste software die is gedetecteerd en hersteld via EDR in de blokmodus:

De detectie door EDR in de blokmodus

EDR in de blokmodus inschakelen

Belangrijk

  • Zorg ervoor dat aan de vereisten wordt voldaan voordat u EDR inschakelt in de blokmodus.
  • Defender for Endpoint Plan 2-licenties zijn vereist.
  • Vanaf platformversie 4.18.2202.X kunt u EDR in de blokmodus instellen op specifieke apparaatgroepen met behulp van Intune-CSP's. U kunt EDR blijven instellen in de blokmodus tenantbreed in de Microsoft Defender-portal.
  • EDR in de blokmodus wordt voornamelijk aanbevolen voor apparaten waarop Microsoft Defender Antivirus in de passieve modus wordt uitgevoerd (er is een niet-Microsoft-antivirusoplossing geïnstalleerd en actief op het apparaat).

Microsoft Defender-portal

  1. Ga naar de Microsoft Defender-portal (https://security.microsoft.com/) en meld u aan.

  2. Kies Instellingen>Eindpunten>Algemene>geavanceerde functies.

  3. Schuif omlaag en schakel EDR inschakelen in blokmodus in.

Intune

Als u een aangepast beleid wilt maken in Intune, raadpleegt u OMA-URIs implementeren om een CSP te targeten via Intune en een vergelijking met on-premises.

Zie 'Configuration/PassiveRemediation' onder Defender CSP voor meer informatie over de Defender-CSP die wordt gebruikt voor EDR in de blokmodus.

Vereisten voor EDR in blokmodus

De volgende tabel bevat de vereisten voor EDR in de blokmodus:

Vereiste Details
Machtigingen U moet de rol Globale beheerder of Beveiligingsbeheerder hebben toegewezen in Microsoft Entra ID. Zie Basismachtigingen voor meer informatie.
Besturingssysteem Op apparaten moet een van de volgende versies van Windows worden uitgevoerd:
- Windows 11
- Windows 10 (alle releases)
- Windows Server 2019 of hoger
- Windows Server, versie 1803 of hoger
- Windows Server 2016 en Windows Server 2012 R2 (met de nieuwe geïntegreerde clientoplossing)
Plan 2 voor Microsoft Defender voor Eindpunt Apparaten moeten worden toegevoegd aan Defender voor Eindpunt. Zie de volgende artikelen:
- Minimale vereisten voor Microsoft Defender voor Eindpunt
- Apparaten onboarden en mogelijkheden van Microsoft Defender voor Eindpunt configureren
- Windows-servers onboarden bij de Defender voor Eindpunt-service
- Nieuwe functionaliteit van Windows Server 2012 R2 en 2016 in de moderne geïntegreerde oplossing
(Zie Wordt EDR in blokmodus ondersteund op Windows Server 2016 en Windows Server 2012 R2?)
Microsoft Defender Antivirus Op apparaten moet Microsoft Defender Antivirus zijn geïnstalleerd en worden uitgevoerd in de actieve modus of passieve modus. Controleer of Microsoft Defender Antivirus actief of passief is.
Cloudbeveiliging Microsoft Defender Antivirus moet zodanig worden geconfigureerd dat cloudbeveiliging is ingeschakeld.
Microsoft Defender Antivirus-platform Apparaten moeten up-to-date zijn. Als u wilt bevestigen, voert u de cmdlet Get-MpComputerStatus uit met behulp van PowerShell als beheerder. In de regel AMProductVersion ziet u 4.18.2001.10 of hoger.

Raadpleeg voor meer informatie Updates voor Microsoft Defender Antivirus beheren en basislijnen toepassen.
Microsoft Defender Antivirus-engine Apparaten moeten up-to-date zijn. Als u wilt bevestigen, voert u de cmdlet Get-MpComputerStatus uit met behulp van PowerShell als beheerder. In de regel AMEngineVersion ziet u 1.1.16700.2 of hoger.

Raadpleeg voor meer informatie Updates voor Microsoft Defender Antivirus beheren en basislijnen toepassen.

Belangrijk

Voor de beste beveiligingswaarde moet u ervoor zorgen dat uw antivirusoplossing is geconfigureerd voor regelmatige updates en essentiële functies en dat uw uitsluitingen zijn geconfigureerd. EDR in de blokmodus respecteert uitsluitingen die zijn gedefinieerd voor Microsoft Defender Antivirus, maar geen indicatoren die zijn gedefinieerd voor Microsoft Defender voor Eindpunt.

Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.