Apparaatacties uitleggen

  • 4 minuten

Wanneer u een apparaat onderzoekt, kunt u acties uitvoeren, gegevens verzamelen of op afstand toegang krijgen tot de computer. Defender voor Eindpunt biedt het apparaatbeheer dat vereist is.

U kunt de volgende insluitingsacties uitvoeren:

  • Apparaat isoleren

  • App-uitvoering beperken

  • Antivirusscan uitvoeren

U kunt de volgende onderzoeksacties uitvoeren:

  • Geautomatiseerd onderzoek initiëren

  • Onderzoekspakket verzamelen

  • Livereactiesessie starten

Het actiecentrum bevat informatie over acties die zijn uitgevoerd op een apparaat of bestand.

Apparaten isoleren van netwerken

Afhankelijk van de ernst van de aanval en de gevoeligheid van het apparaat, wilt u het apparaat mogelijk isoleren van het netwerk. Deze actie kan helpen voorkomen dat de aanvaller het gecompromitteerde apparaat beheert en verdere activiteiten uitvoert, zoals gegevensexfiltratie en zijdelingse verplaatsing.

Deze functie voor apparaatisolatie verbreekt de verbinding met het gecompromitteerde apparaat van het netwerk en behoudt de connectiviteit met de Defender for Endpoint-service, die het apparaat blijft bewaken.

In Windows 10 versie 1709 of hoger hebt u nog een controle over het isolatieniveau van het netwerk. U kunt er ook voor kiezen om Outlook, Microsoft Teams en Skype voor Bedrijven connectiviteit in te schakelen (bijvoorbeeld 'Selectieve isolatie').

Nadat u het apparaat op de apparaatpagina hebt geselecteerd, typt u een opmerking en selecteert u Bevestigen. In het Actiecentrum worden de scangegevens weergegeven en de tijdlijn van het apparaat bevat een nieuwe gebeurtenis.

Wanneer een apparaat wordt geïsoleerd, wordt er een melding weergegeven om de gebruiker te informeren dat het apparaat wordt geïsoleerd van het netwerk.

App-uitvoering beperken

Naast het bevatten van een aanval door schadelijke processen te stoppen, kunt u ook een apparaat vergrendelen en voorkomen dat volgende pogingen van mogelijk schadelijke programma's worden uitgevoerd.

Belangrijk

Deze actie is beschikbaar voor apparaten met Windows 10, versie 1709 of hoger. Deze functie is beschikbaar als uw organisatie Gebruikmaakt van Microsoft Defender Antivirus. Deze actie moet voldoen aan de indelingen en ondertekeningsvereisten voor windows Defender Application Control-codebeheer. Als u wilt voorkomen dat een toepassing wordt uitgevoerd, wordt een code-integriteitsbeleid toegepast waarmee alleen bestanden kunnen worden uitgevoerd als ze zijn ondertekend door een door Microsoft uitgegeven certificaat. Deze beperkingsmethode kan helpen voorkomen dat een aanvaller geïnfecteerde apparaten beheert en verdere schadelijke activiteiten uitvoert.

U kunt de beperking voor het uitvoeren van toepassingen op elk gewenst moment omkeren. De knop op de apparaatpagina verandert in 'App-beperkingen verwijderen' en vervolgens voert u dezelfde stappen uit als het beperken van de uitvoering van apps.

Nadat u de app-uitvoering op de apparaatpagina hebt geselecteerd, typt u een opmerking en selecteert u Bevestigen. In het Actiecentrum worden de scangegevens weergegeven en de tijdlijn van het apparaat bevat een nieuwe gebeurtenis.

Wanneer een app is beperkt, wordt er een melding weergegeven om de gebruiker te informeren dat een app niet kan worden uitgevoerd.