Geavanceerde functies configureren in Defender voor Eindpunt

Van toepassing op:

• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Afhankelijk van de Microsoft-beveiligingsproducten die u gebruikt, zijn er mogelijk enkele geavanceerde functies beschikbaar waarmee u Defender voor Eindpunt kunt integreren.

Geavanceerde functies inschakelen

1. Meld u aan bij Microsoft Defender XDR met een account waaraan de beveiligingsbeheerder of Globale beheerder rol is toegewezen.

2. Selecteer in het navigatiedeelvenster Instellingen>Eindpunten>Geavanceerde functies.

3. Selecteer de geavanceerde functie die u wilt configureren en zet de instelling tussen Aan en Uit.

4. Selecteer Voorkeuren voor opslaan.

Gebruik de volgende geavanceerde functies om beter te worden beschermd tegen mogelijk schadelijke bestanden en meer inzicht te krijgen tijdens beveiligingsonderzoeken.

Live reactie

Schakel deze functie in, zodat gebruikers met de juiste machtigingen een live-antwoordsessie kunnen starten op apparaten.

Zie rollen Creatie en beheren voor meer informatie over roltoewijzingen.

Live antwoord voor servers

Schakel deze functie in, zodat gebruikers met de juiste machtigingen een live-antwoordsessie op servers kunnen starten.

Zie rollen Creatie en beheren voor meer informatie over roltoewijzingen.

Uitvoering van niet-ondertekend live-antwoordscript

Als u deze functie inschakelt, kunt u niet-ondertekende scripts uitvoeren in een live-antwoordsessie.

Correlatie beperken tot binnen apparaatgroepen met bereik

Deze configuratie kan worden gebruikt voor scenario's waarbij lokale SOC-bewerkingen waarschuwingscorrelaties alleen willen beperken tot apparaatgroepen waartoe ze toegang hebben. Door deze instelling in te schakelen, wordt een incident dat bestaat uit waarschuwingen dat verschillende apparaatgroepen niet langer als één incident worden beschouwd. De lokale SOC kan vervolgens actie ondernemen op het incident omdat deze toegang heeft tot een van de betrokken apparaatgroepen. Globale SOC ziet echter verschillende incidenten per apparaatgroep in plaats van één incident. We raden u aan deze instelling niet in te schakelen, tenzij dit opweegt tegen de voordelen van incidentcorrelatie in de hele organisatie.

Opmerking

• Als u deze instelling wijzigt, is dit alleen van invloed op toekomstige waarschuwingscorrelaties.

• Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.

EDR in de blokmodus inschakelen

Eindpuntdetectie en -respons (EDR) in de blokmodus biedt bescherming tegen schadelijke artefacten, zelfs wanneer Microsoft Defender Antivirus in de passieve modus wordt uitgevoerd. Wanneer EDR is ingeschakeld, blokkeert EDR in de blokmodus schadelijke artefacten of gedrag dat op een apparaat wordt gedetecteerd. EDR in de blokmodus werkt achter de schermen om schadelijke artefacten te herstellen die na de schending zijn gedetecteerd.

Automatisch herstellen van waarschuwingen

Voor tenants die op of na Windows 10 versie 1809 zijn gemaakt, wordt de mogelijkheid voor geautomatiseerd onderzoek en herstel standaard geconfigureerd om waarschuwingen op te lossen waarbij de status van het geautomatiseerde analyseresultaat 'Geen bedreigingen gevonden' of 'Hersteld' is. Als u niet wilt dat waarschuwingen automatisch worden omgezet, moet u de functie handmatig uitschakelen.

Tip

Voor tenants die vóór die versie zijn gemaakt, moet u deze functie handmatig inschakelen op de pagina Geavanceerde functies .

Opmerking

• Het resultaat van de actie voor automatisch oplossen kan van invloed zijn op de berekening van het risiconiveau van het apparaat die is gebaseerd op de actieve waarschuwingen die op een apparaat zijn gevonden.
• Als een beveiligingsanalist de status van een waarschuwing handmatig instelt op 'Wordt uitgevoerd' of 'Opgelost', wordt deze niet overschreven door de functie voor automatisch oplossen.

Bestand toestaan of blokkeren

Blokkeren is alleen beschikbaar als uw organisatie aan deze vereisten voldoet:

• Gebruikt Microsoft Defender Antivirus als de actieve antimalwareoplossing en
• De cloudbeveiligingsfunctie is ingeschakeld

Met deze functie kunt u mogelijk schadelijke bestanden in uw netwerk blokkeren. Als u een bestand blokkeert, wordt het niet gelezen, geschreven of uitgevoerd op apparaten in uw organisatie.

Bestanden toestaan of blokkeren inschakelen:

1. Selecteer in het navigatiedeelvenster Instellingen>Eindpunten>Algemene>geavanceerde functies>Bestand toestaan of blokkeren.

2. Schakel de instelling tussen Aan en Uit.

   

3. Selecteer Voorkeuren voor opslaan onder aan de pagina.

Nadat u deze functie hebt ingeschakeld, kunt u bestanden blokkeren via het tabblad Indicator toevoegen op de profielpagina van een bestand.

Mogelijke dubbele apparaatrecords verbergen

Door deze functie in te schakelen, kunt u ervoor zorgen dat u de meest nauwkeurige informatie over uw apparaten ziet door mogelijke dubbele apparaatrecords te verbergen. Er zijn verschillende redenen waarom dubbele apparaatrecords kunnen optreden, bijvoorbeeld de mogelijkheid voor apparaatdetectie in Microsoft Defender voor Eindpunt uw netwerk kan scannen en een apparaat kan detecteren dat al is onboarded of onlangs is offboarded.

Met deze functie worden mogelijke dubbele apparaten geïdentificeerd op basis van hun hostnaam en de tijd voor het laatst gezien. De dubbele apparaten worden verborgen voor meerdere ervaringen in de portal, zoals de apparaatinventaris, Microsoft Defender Vulnerability Management pagina's en openbare API's voor computergegevens, zodat de meest nauwkeurige apparaatrecord zichtbaar blijft. De duplicaten zijn echter nog steeds zichtbaar op algemene zoekopdracht, geavanceerde opsporings-, waarschuwingen- en incidentenpagina's.

Deze instelling is standaard ingeschakeld en wordt tenantbreed toegepast. Als u potentiële dubbele apparaatrecords niet wilt verbergen, moet u de functie handmatig uitschakelen.

Aangepaste netwerkindicatoren

Als u deze functie inschakelt, kunt u indicatoren maken voor IP-adressen, domeinen of URL's, die bepalen of ze worden toegestaan of geblokkeerd op basis van uw aangepaste indicatorlijst.

Als u deze functie wilt gebruiken, moet op apparaten Windows 10 versie 1709 of hoger of Windows 11 worden uitgevoerd. Ze moeten ook netwerkbeveiliging hebben in de blokmodus en versie 4.18.1906.3 of hoger van het antimalwareplatform zie KB-4052623.

Zie Indicatoren beheren voor meer informatie.

Opmerking

Netwerkbeveiliging maakt gebruik van reputatieservices die aanvragen verwerken op locaties die zich mogelijk buiten de locatie bevinden die u hebt geselecteerd voor uw Defender for Endpoint-gegevens.

Manipulatiebeveiliging

Tijdens sommige soorten cyberaanvallen proberen slechte actoren beveiligingsfuncties, zoals antivirusbeveiliging, op uw machines uit te schakelen. Slechte actoren willen uw beveiligingsfuncties uitschakelen om gemakkelijker toegang te krijgen tot uw gegevens, om malware te installeren of om uw gegevens, identiteit en apparaten op een andere manier te misbruiken. Manipulatiebeveiliging vergrendelt in feite Microsoft Defender Antivirus en voorkomt dat uw beveiligingsinstellingen worden gewijzigd via apps en methoden.

Zie Beveiligingsinstellingen beveiligen met manipulatiebeveiliging voor meer informatie, waaronder het configureren van manipulatiebeveiliging.

Gebruikersgegevens weergeven

Schakel deze functie in zodat u gebruikersgegevens kunt zien die zijn opgeslagen in Microsoft Entra ID. Details omvatten de afbeelding, naam, titel en afdelingsgegevens van een gebruiker bij het onderzoeken van gebruikersaccounttiteiten. U vindt gebruikersaccountgegevens in de volgende weergaven:

• Waarschuwingswachtrij
• Pagina Apparaatdetails

Zie Een gebruikersaccount onderzoeken voor meer informatie.

Skype voor Bedrijven integratie

Door de integratie van Skype voor Bedrijven in te schakelen, kunt u met gebruikers communiceren via Skype voor Bedrijven, e-mail of telefoon. Deze activering kan handig zijn wanneer u met de gebruiker wilt communiceren en risico's wilt beperken.

Opmerking

Wanneer een apparaat wordt geïsoleerd van het netwerk, is er een pop-up waarin u ervoor kunt kiezen om Outlook- en Skype-communicatie in te schakelen, waardoor communicatie met de gebruiker mogelijk is terwijl de verbinding met het netwerk wordt verbroken. Deze instelling is van toepassing op Skype- en Outlook-communicatie wanneer apparaten zich in de isolatiemodus bevinden.

verbinding met bedreigingsinformatie Office 365

Belangrijk

Deze instelling werd gebruikt toen Microsoft Defender voor Office 365 en Microsoft Defender voor Eindpunt zich eerder in verschillende portals bevonden. Na de convergentie van beveiligingservaringen in een geïntegreerde portal die nu Microsoft Defender XDR wordt genoemd, zijn deze instellingen niet relevant en zijn er geen functies aan gekoppeld. U kunt de status van het besturingselement veilig negeren totdat het uit de portal wordt verwijderd.

Deze functie is alleen beschikbaar als u een actief abonnement hebt voor Office 365 E5 of de invoegtoepassing Bedreigingsinformatie. Zie de productpagina Office 365 E5 voor meer informatie.

Met deze functie kunt u gegevens uit Microsoft Defender voor Office 365 opnemen in Microsoft Defender XDR om een uitgebreid beveiligingsonderzoek uit te voeren op Office 365 postvakken en Windows-apparaten.

Opmerking

U hebt de juiste licentie nodig om deze functie in te schakelen.

Als u contextuele apparaatintegratie in Office 365 Bedreigingsinformatie wilt ontvangen, moet u de Defender for Endpoint-instellingen inschakelen in het dashboard Security & Compliance. Zie Bedreigingsonderzoek en -reactie voor meer informatie.

Eindpuntaanvalmeldingen

Met eindpuntaanvalmeldingen kan Microsoft actief zoeken naar kritieke bedreigingen die prioriteit moeten krijgen op basis van urgentie en impact op uw eindpuntgegevens.

Meer informatie over Microsoft Defender experts voor proactieve opsporing in het volledige bereik van Microsoft Defender XDR, waaronder bedreigingen die e-mail, samenwerking, identiteit, cloudtoepassingen en eindpunten omvatten.

Microsoft Defender for Cloud Apps

Als u deze instelling inschakelt, worden Defender voor Eindpunt-signalen doorgestuurd naar Microsoft Defender for Cloud Apps om meer inzicht te bieden in het gebruik van cloudtoepassingen. Doorgestuurde gegevens worden opgeslagen en verwerkt op dezelfde locatie als uw Defender for Cloud Apps-gegevens.

Opmerking

Deze functie is beschikbaar met een E5-licentie voor Enterprise Mobility + Security op apparaten met Windows 10 versie 1709 (OS-build 16299.1085 met KB4493441), Windows 10, versie 1803 (OS-build 17134.704 met KB4493464), Windows 10 versie 1809 (OS-build 17763.379 met KB4489899), latere Windows 10 versies of Windows 11.

De Microsoft Defender voor Eindpunt-integratie inschakelen vanuit de Microsoft Defender for Identity-portal

Als u contextuele apparaatintegratie in Microsoft Defender for Identity wilt ontvangen, moet u de functie ook inschakelen in de Microsoft Defender for Identity portal.

1. Meld u aan bij de Microsoft Defender for Identity-portal met de rol Globale beheerder of Beveiligingsbeheerder.

2. Selecteer Creatie uw exemplaar.

3. Zet de instelling Integratie op Aan en selecteer Opslaan.

Nadat u de integratiestappen in beide portals hebt voltooid, kunt u relevante waarschuwingen zien op de pagina met apparaatdetails of gebruikersgegevens.

Filteren van webinhoud

Toegang blokkeren tot websites die ongewenste inhoud bevatten en webactiviteit in alle domeinen bijhouden. Als u de webinhoudscategorieën wilt opgeven die u wilt blokkeren, maakt u een filterbeleid voor webinhoud. Zorg ervoor dat u netwerkbeveiliging in de blokmodus hebt bij het implementeren van de Microsoft Defender voor Eindpunt beveiligingsbasislijn.

Eindpuntwaarschuwingen delen met Microsoft Purview-nalevingsportal

Hiermee worden eindpuntbeveiligingswaarschuwingen en hun triagestatus doorgestuurd naar Microsoft Purview-nalevingsportal, zodat u intern risicobeheerbeleid kunt verbeteren met waarschuwingen en interne risico's kunt herstellen voordat ze schade veroorzaken. Doorgestuurde gegevens worden verwerkt en opgeslagen op dezelfde locatie als uw Office 365 gegevens.

Na het configureren van de indicatoren voor schending van beveiligingsbeleid in de instellingen voor intern risicobeheer, worden Defender voor Eindpunt-waarschuwingen gedeeld met intern risicobeheer voor toepasselijke gebruikers.

Geverifieerde telemetrie

U kunt geverifieerde telemetrie inschakelen om te voorkomen dat telemetriegegevens worden vervalst in uw dashboard.

verbinding Microsoft Intune

Defender voor Eindpunt kan worden geïntegreerd met Microsoft Intune om voorwaardelijke toegang op basis van apparaatrisico's in te schakelen. Wanneer u deze functie inschakelt, kunt u Defender voor Eindpunt-apparaatgegevens delen met Intune, waardoor het afdwingen van beleid wordt verbeterd.

Belangrijk

U moet de integratie inschakelen op zowel Intune als Defender voor Eindpunt om deze functie te kunnen gebruiken. Zie Voorwaardelijke toegang configureren in Defender voor Eindpunt voor meer informatie over specifieke stappen.

Deze functie is alleen beschikbaar als u aan de volgende vereisten voldoet:

• Een tenant met licentie voor Enterprise Mobility + Security E3 en Windows E5 (of Microsoft 365 Enterprise E5)
• Een actieve Microsoft Intune-omgeving met Intune beheerde Windows-apparaten Microsoft Entra toegevoegd.

Beleid voor voorwaardelijke toegang

Wanneer u Intune-integratie inschakelt, maakt Intune automatisch een klassiek beleid voor voorwaardelijke toegang (CA). Dit klassieke CA-beleid is een vereiste voor het instellen van statusrapporten voor Intune. Deze mag niet worden verwijderd.

Opmerking

Het klassieke CA-beleid dat door Intune is gemaakt, verschilt van het moderne beleid voor voorwaardelijke toegang, dat wordt gebruikt voor het configureren van eindpunten.

Apparaatdetectie

Hiermee kunt u onbeheerde apparaten vinden die zijn verbonden met uw bedrijfsnetwerk zonder extra apparaten of omslachtige proceswijzigingen. Met behulp van onboarding-apparaten kunt u onbeheerde apparaten in uw netwerk vinden en beveiligingsproblemen en risico's beoordelen. Zie Apparaatdetectie voor meer informatie.

Opmerking

U kunt altijd filters toepassen om niet-beheerde apparaten uit te sluiten van de inventarislijst van apparaten. U kunt ook de kolom onboardingstatus voor API-query's gebruiken om niet-beheerde apparaten te filteren.

Preview-functies

Meer informatie over nieuwe functies in de preview-versie van Defender voor Eindpunt. Probeer toekomstige functies uit door de preview-ervaring in te schakelen.

U hebt toegang tot toekomstige functies, waarover u feedback kunt geven om de algehele ervaring te verbeteren voordat functies algemeen beschikbaar zijn.

Bestanden in quarantaine downloaden

Maak een back-up van bestanden in quarantaine op een veilige en compatibele locatie, zodat ze rechtstreeks vanuit quarantaine kunnen worden gedownload. De knop Bestand downloaden is altijd beschikbaar op de bestandspagina. Deze instelling is standaard ingeschakeld. Meer informatie over vereisten

Gestroomlijnde connectiviteit tijdens onboarding van apparaten (preview)

Met deze instelling wordt het standaard onboardingpakket ingesteld op 'gestroomlijnd' voor toepasselijke besturingssystemen.

U hebt nog steeds de mogelijkheid om het standaard onboardingpakket te gebruiken op de onboarding-pagina, maar u moet dit specifiek selecteren in de vervolgkeuzelijst.

Verwante onderwerpen

• Instellingen voor gegevensretentie bijwerken
• Waarschuwingsmeldingen configureren

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.