Delen via

Microsoft Defender for Endpoint Antivirus en Intune-integratie

  • Artikel

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Platforms

  • Windows
  • macOS
  • Android

In de Microsoft Defender-portal kunt u detecties van bedreigingen weergeven en beheren met behulp van de volgende stappen:

  1. Ga naar de Microsoft XDR-portal en meld u aan.

    Op de landingspagina ziet u de kaart Apparaten met actieve malware met de volgende informatie:

    • Weergavetekst: is van toepassing op door Intune beheerde apparaten. Apparaten met meerdere malwaredetecties kunnen meer dan één keer worden geteld.
    • Datum en tijd laatst bijgewerkt.
    • Een balk met de gedeelten Actief en Malware die zijn hersteld op basis van uw scan.

    U kunt Details weergeven selecteren voor meer informatie.

  2. Zodra dit is opgelost, ziet u dat de volgende tekst wordt weergegeven:

    Malware die op uw apparaten is gevonden, is hersteld.

Detecties van bedreigingen beheren in Microsoft Intune

U kunt detecties van bedreigingen beheren voor alle apparaten die zijn ingeschreven bij Microsoft Intune met behulp van de volgende stappen:

  1. Ga naar het Microsoft Intune-beheercentrum op intune.microsoft.com en meld u aan.

  2. Selecteer Eindpuntbeveiliging in het navigatiedeelvenster.

  3. Selecteer onder Beherende optie Antivirus. U ziet tabbladen voor Samenvatting, Beschadigde eindpunten en Actieve malware.

  4. Controleer de informatie op de beschikbare tabbladen en onderneem indien nodig actie.

    Als u bijvoorbeeld een apparaat kunt selecteren dat wordt vermeld op het tabblad Actieve malware , kunt u één actie kiezen in de lijst met acties die worden opgegeven:

    • Opnieuw opstarten
    • Snelle scan
    • Volledige scan
    • Synchroniseren
    • Handtekeningen bijwerken

Veelgestelde vragen

Waarom lijkt in het rapport Apparaten met actieve malware > apparaten met malwaredetecties in de Microsoft XDR-portal > de laatste update te vinden?

Als u wilt zien wanneer de malware is gedetecteerd, kunt u de volgende stappen uitvoeren:

  1. Omdat dit een integratie met Intune is, gaat u naar de Intune-portal , selecteert u Antivirus en selecteert u vervolgens het tabblad Actieve malware .

  2. Selecteer Exporteren.

  3. Ga op uw apparaat naar Downloads en pak het bestand uit Active malware_YYYY_MM_DD_THH_MM_SS.0123Z.csv.zip .

  4. Open het CSV-bestand en zoek de kolom LastStateChangeDateTime om te zien wanneer malware is gedetecteerd.

Waarom kan ik in het rapport apparaten met malwaredetecties geen informatie zien over welke malware op het apparaat is gedetecteerd.

Als u de naam van de malware wilt zien, gaat u naar de Intune-portal , omdat dit een integratie is met Intune, selecteert u Antivirus en selecteert u het tabblad Actieve malware . U ziet een kolom met de naam Malwarenaam.

Ik zie een ander nummer voor actieve malware in het rapport Apparaten met actieve malware, in vergelijking met de getallen die ik zie met rapporten > gedetecteerde malware en Intune > Antivirus > Active Malware.

Het rapport Apparaten met actieve malware is gebaseerd op de apparaten die de afgelopen 1 dag (24 uur) actief waren en malwaredetecties hebben gehad in de afgelopen 15 dagen.

Gebruik de volgende Geavanceerde opsporingsquery:

DeviceInfo
| where Timestamp > startofday(datetime(2024-01-29 00:00:00))
| where OnboardingStatus == "Onboarded"
| where SensorHealthState == "Active"
| distinct DeviceId, DeviceName
| join kind=innerunique (
AlertEvidence
| where Timestamp > ago(15d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus")
on DeviceName
| distinct DeviceName, DeviceId, Title, AlertId, Timestamp

Ik heb gezocht in de computernaam in de bovenste zoekbalk en ik heb twee apparaten met dezelfde naam gevonden. Ik weet niet naar welke van die twee apparaten het rapport verwijst?

Gebruik de geavanceerde opsporingsquery die hier wordt vermeld voor details, zoals unieke DeviceID, Title, AlertID en het herstelproces. Neem na identificatie contact op met de IT-beheerder om ervoor te zorgen dat de apparaten een unieke naam hebben. Als een apparaat buiten gebruik wordt gesteld, gebruikt u tags om het buiten gebruik te stellen.

Ik zie malwaredetectie in Intune en op het rapport Apparaten met actieve malware, maar ik zie deze niet in de wachtrij MDE-waarschuwingen of in de wachtrij Incidenten.

Het kan zijn dat cloudbeveiliging van de URL momenteel niet is toegestaan via uw firewall of proxy.

U moet ervoor zorgen dat wanneer u op uw apparaat uitvoert %ProgramFiles%\Windows Defender\MpCmdRun.exe -ValidateMapsConnection , de rapportage ok is.

Ik zie een apparaat dat meer dan 180 dagen inactief is geweest, maar nog steeds wordt weergegeven in het rapport voor 'Apparaten met actieve malware'. Het apparaat wordt niet weergegeven in de 'Apparaatinventaris', kan niet worden ingeschakeld en kan niet worden uitgeschakeld vanuit Microsoft Defender voor Eindpunt.

Het apparaat is niet buiten gebruik gesteld bij Intune.