Share via


Microsoft Defender voor Eindpunt Antivirus- en Intune-integratie

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Platforms

  • Windows
  • macOS
  • Android

In de Microsoft Defender-portal kunt u detecties van bedreigingen weergeven en beheren met behulp van de volgende stappen:

  1. Ga naar de Microsoft XDR-portal en meld u aan.

    Op de landingspagina ziet u de kaart Apparaten met actieve malware met de volgende informatie:

    • Weergavetekst: is van toepassing op Intune beheerde apparaten. Apparaten met meerdere malwaredetecties kunnen meer dan één keer worden geteld.
    • Datum en tijd laatst bijgewerkt.
    • Een balk met de gedeelten Actief en Malware die zijn hersteld op basis van uw scan.

    U kunt Details weergeven selecteren voor meer informatie.

  2. Zodra dit is opgelost, wordt de volgende tekst weergegeven:

    Malware die op uw apparaten is gevonden, is hersteld.

Detecties van bedreigingen beheren in Microsoft Intune

U kunt detecties van bedreigingen beheren voor alle apparaten die zijn ingeschreven bij Microsoft Intune met behulp van de volgende stappen:

  1. Ga naar het Microsoft Intune-beheercentrum op intune.microsoft.com en meld u aan.

  2. Selecteer Eindpuntbeveiliging in het navigatiedeelvenster.

  3. Selecteer onder Beherende optie Antivirus. U ziet tabbladen voor Samenvatting, Beschadigde eindpunten en Actieve malware.

  4. Controleer de informatie op de beschikbare tabbladen en onderneem indien nodig actie.

    Als u bijvoorbeeld een apparaat kunt selecteren dat wordt vermeld op het tabblad Actieve malware , kunt u één actie kiezen in de lijst met acties die worden opgegeven:

    • Opnieuw opstarten
    • Snelle scan
    • Volledige scan
    • Synchroniseren
    • Handtekeningen bijwerken

Veelgestelde vragen

Waarom lijkt in het rapport Apparaten met actieve malware > apparaten met malwaredetecties in de Microsoft XDR-portal > de laatste update te vinden?

Als u wilt zien wanneer de malware is gedetecteerd, kunt u het volgende doen:

  1. Omdat dit een integratie met Intune is, gaat u naar Intune portal en selecteert u Antivirus en selecteert u vervolgens het tabblad Actieve malware.
  2. Selecteer Exporteren.
  3. Ga op uw apparaat naar Downloads en pak de Actieve malware_YYYY_MM_DD_THH_MM_SS.0123Z.csv.zip uit.
  4. Open het CSV-bestand en zoek de kolom LastStateChangeDateTime om te zien wanneer malware is gedetecteerd.

Waarom kan ik in het rapport apparaten met malwaredetecties geen informatie zien over welke malware op het apparaat is gedetecteerd.

Als u de naam van de malware wilt zien, gaat u naar de Intune-portal, omdat dit een integratie is met Intune, selecteert u Antivirus en selecteert u het tabblad Actieve malware. U ziet een kolom met de naam Malwarenaam.

Ik zie een ander nummer voor actieve malware in het rapport Apparaten met actieve malware, in vergelijking met getallen die ik zie met rapporten > gedetecteerde malware en Intune > Antivirus > Actieve malware.

Het rapport Apparaten met actieve malware is gebaseerd op de apparaten die de afgelopen 1 dag (24 uur) actief waren en malwaredetecties hebben gehad in de afgelopen 15 dagen.

Gebruik de volgende Geavanceerde opsporingsquery:

DeviceInfo
| where Timestamp > startofday(datetime(2024-01-29 00:00:00))
| where OnboardingStatus == "Onboarded"
| where SensorHealthState == "Active"
| distinct DeviceId, DeviceName
| join kind=innerunique (
AlertEvidence
| where Timestamp > ago(15d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus"
DeviceName
| distinct DeviceName, DeviceId, Title, AlertId, Timestamp

Ik heb gezocht in de computernaam in de bovenste zoekbalk en ik heb twee apparaten met dezelfde naam gevonden. Ik weet niet naar welke van die twee apparaten het rapport verwijst?

Gebruik de geavanceerde opsporingsquery die hier wordt vermeld voor details, zoals unieke DeviceID, Title, AlertID en het herstelproces. Neem na identificatie contact op met de IT-beheerder om ervoor te zorgen dat de apparaten een unieke naam hebben. Als een apparaat buiten gebruik wordt gesteld, gebruikt u tags om het buiten gebruik te stellen.

Ik zie malwaredetectie in Intune en op het rapport Apparaten met actieve malware, maar ik zie deze niet in de wachtrij MDE Waarschuwingen of in de wachtrij Incidenten.

Het kan zijn dat cloudbeveiliging van de URL momenteel niet is toegestaan via uw firewall of proxy.

U moet ervoor zorgen dat wanneer u op uw apparaat uitvoert %ProgramFiles%\Windows Defender\MpCmdRun.exe -ValidateMapsConnection , de rapportage ok is.