Eindpuntdetectie en -reactie in blokmodus
Van toepassing op:
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Platforms
- Windows
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
In dit artikel wordt EDR in de blokmodus beschreven, waarmee apparaten worden beschermd waarop een niet-Microsoft-antivirusoplossing wordt uitgevoerd (met Microsoft Defender Antivirus in passieve modus).
Wat is EDR in de blokmodus?
Eindpuntdetectie en -respons (EDR) in de blokmodus biedt extra bescherming tegen schadelijke artefacten wanneer Microsoft Defender Antivirus niet het primaire antivirusproduct is en wordt uitgevoerd in de passieve modus. EDR in blokmodus is beschikbaar in Defender voor Eindpunt-abonnement 2.
Belangrijk
EDR in de blokmodus kan niet alle beschikbare beveiliging bieden wanneer De realtime-beveiliging van Microsoft Defender Antivirus zich in de passieve modus bevindt. Sommige mogelijkheden die afhankelijk zijn van Microsoft Defender Antivirus om de actieve antivirusoplossing te zijn, werken niet, zoals de volgende voorbeelden:
- Realtime-beveiliging, waaronder scannen bij toegang en geplande scan, is niet beschikbaar wanneer Microsoft Defender Antivirus zich in de passieve modus bevindt. Zie Always-On-beveiliging van Microsoft Defender Antivirus inschakelen en configureren voor meer informatie over realtime beveiligingsbeleidsinstellingen.
- Functies zoals netwerkbeveiliging en regels en indicatoren voor het verminderen van kwetsbaarheid voor aanvallen (bestands-hash, IP-adres, URL en certificaten) zijn alleen beschikbaar wanneer Microsoft Defender Antivirus in de actieve modus wordt uitgevoerd. Het wordt verwacht dat uw niet-Microsoft-antivirusoplossing deze mogelijkheden bevat.
EDR in de blokmodus werkt achter de schermen om schadelijke artefacten te herstellen die zijn gedetecteerd door EDR-mogelijkheden. Dergelijke artefacten zijn mogelijk gemist door het primaire, niet-Microsoft-antivirusproduct. Met EDR in de blokmodus kan Microsoft Defender Antivirus acties uitvoeren op EDR-detecties na inbreuk.
EDR in de blokmodus is geïntegreerd met mogelijkheden voor het beheer van bedreigingen & beveiligingsproblemen . Het beveiligingsteam van uw organisatie krijgt een beveiligingsaanmelding om EDR in de blokmodus in te schakelen als dit nog niet is ingeschakeld.
Tip
Zorg ervoor dat u Microsoft Defender voor Eindpunt-basislijnen implementeert om de beste beveiliging te krijgen.
Bekijk deze video om te leren waarom en hoe u eindpuntdetectie en -respons (EDR) inschakelt in de blokmodus, gedragsblokkering inschakelen en insluiten in elke fase, van pre-breach tot post-breach.
Wat gebeurt er wanneer er iets wordt gedetecteerd?
Wanneer EDR in de blokmodus is ingeschakeld en een schadelijk artefact wordt gedetecteerd, herstelt Defender voor Eindpunt dat artefact. Uw beveiligingsteam ziet de detectiestatus geblokkeerd of verhinderd in het actiecentrum, vermeld als voltooide acties. In de volgende afbeelding ziet u een exemplaar van ongewenste software die is gedetecteerd en hersteld via EDR in de blokmodus:
EDR in de blokmodus inschakelen
Belangrijk
- Zorg ervoor dat aan de vereisten wordt voldaan voordat u EDR inschakelt in de blokmodus.
- Defender for Endpoint Plan 2-licenties zijn vereist.
- Vanaf platformversie 4.18.2202.X kunt u EDR in de blokmodus instellen op specifieke apparaatgroepen met behulp van Intune-CSP's. U kunt EDR blijven instellen in de blokmodus tenantbreed in de Microsoft Defender-portal.
- EDR in de blokmodus wordt voornamelijk aanbevolen voor apparaten waarop Microsoft Defender Antivirus in de passieve modus wordt uitgevoerd (er is een niet-Microsoft-antivirusoplossing geïnstalleerd en actief op het apparaat).
Microsoft Defender-portal
Ga naar de Microsoft Defender-portal (https://security.microsoft.com/) en meld u aan.
Kies Instellingen>Eindpunten>Algemene>geavanceerde functies.
Schuif omlaag en schakel EDR inschakelen in blokmodus in.
Intune
Als u een aangepast beleid wilt maken in Intune, raadpleegt u OMA-URIs implementeren om een CSP te targeten via Intune en een vergelijking met on-premises.
Zie 'Configuration/PassiveRemediation' onder Defender CSP voor meer informatie over de Defender-CSP die wordt gebruikt voor EDR in de blokmodus.
Vereisten voor EDR in blokmodus
De volgende tabel bevat de vereisten voor EDR in de blokmodus:
| Vereiste | Details |
|---|---|
| Machtigingen | U moet de rol Globale beheerder of Beveiligingsbeheerder hebben toegewezen in Microsoft Entra ID. Zie Basismachtigingen voor meer informatie. |
| Besturingssysteem | Op apparaten moet een van de volgende versies van Windows worden uitgevoerd: - Windows 11 - Windows 10 (alle releases) - Windows Server 2019 of hoger - Windows Server, versie 1803 of hoger - Windows Server 2016 en Windows Server 2012 R2 (met de nieuwe geïntegreerde clientoplossing) |
| Plan 2 voor Microsoft Defender voor Eindpunt | Apparaten moeten worden toegevoegd aan Defender voor Eindpunt. Zie de volgende artikelen: - Minimale vereisten voor Microsoft Defender voor Eindpunt - Apparaten onboarden en mogelijkheden van Microsoft Defender voor Eindpunt configureren - Windows-servers onboarden bij de Defender voor Eindpunt-service - Nieuwe functionaliteit van Windows Server 2012 R2 en 2016 in de moderne geïntegreerde oplossing (Zie Wordt EDR in blokmodus ondersteund op Windows Server 2016 en Windows Server 2012 R2?) |
| Microsoft Defender Antivirus | Op apparaten moet Microsoft Defender Antivirus zijn geïnstalleerd en worden uitgevoerd in de actieve modus of passieve modus. Controleer of Microsoft Defender Antivirus actief of passief is. |
| Cloudbeveiliging | Microsoft Defender Antivirus moet zodanig worden geconfigureerd dat cloudbeveiliging is ingeschakeld. |
| Microsoft Defender Antivirus-platform | Apparaten moeten up-to-date zijn. Als u wilt bevestigen, voert u de cmdlet Get-MpComputerStatus uit met behulp van PowerShell als beheerder. In de regel AMProductVersion ziet u 4.18.2001.10 of hoger. Raadpleeg voor meer informatie Updates voor Microsoft Defender Antivirus beheren en basislijnen toepassen. |
| Microsoft Defender Antivirus-engine | Apparaten moeten up-to-date zijn. Als u wilt bevestigen, voert u de cmdlet Get-MpComputerStatus uit met behulp van PowerShell als beheerder. In de regel AMEngineVersion ziet u 1.1.16700.2 of hoger. Raadpleeg voor meer informatie Updates voor Microsoft Defender Antivirus beheren en basislijnen toepassen. |
Belangrijk
Voor de beste beveiligingswaarde moet u ervoor zorgen dat uw antivirusoplossing is geconfigureerd voor regelmatige updates en essentiële functies en dat uw uitsluitingen zijn geconfigureerd. EDR in de blokmodus respecteert uitsluitingen die zijn gedefinieerd voor Microsoft Defender Antivirus, maar geen indicatoren die zijn gedefinieerd voor Microsoft Defender voor Eindpunt.
Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.
Zie ook
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.