Udostępnij za pośrednictwem


Wykrywanie punktów końcowych i reagowanie w trybie bloku

Dotyczy:

Platformy

  • System Windows

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

W tym artykule opisano środowisko EDR w trybie bloku, które pomaga chronić urządzenia z uruchomionym rozwiązaniem antywirusowym innym niż Microsoft (z programem antywirusowym Microsoft Defender w trybie pasywnym).

Co to jest EDR w trybie bloku?

Wykrywanie i reagowanie na punkty końcowe (EDR) w trybie bloku zapewnia dodatkową ochronę przed złośliwymi artefaktami, gdy program antywirusowy Microsoft Defender nie jest podstawowym produktem antywirusowym i działa w trybie pasywnym. Środowisko EDR w trybie bloku jest dostępne w usłudze Defender for Endpoint Plan 2.

Ważna

Środowisko EDR w trybie bloku nie może zapewnić całej dostępnej ochrony, gdy ochrona antywirusowa Microsoft Defender w czasie rzeczywistym jest w trybie pasywnym. Niektóre funkcje zależne od programu antywirusowego Microsoft Defender jako aktywnego rozwiązania antywirusowego nie będą działać, takie jak następujące przykłady:

EDR w trybie bloku działa w tle, aby korygować złośliwe artefakty, które zostały wykryte przez możliwości EDR. Takie artefakty mogły zostać pominięte przez podstawowy produkt antywirusowy spoza firmy Microsoft. Środowisko EDR w trybie bloku umożliwia programowi antywirusowemu Microsoft Defender podjęcie działań w przypadku wykrywania EDR po naruszeniu zabezpieczeń.

Funkcja EDR w trybie bloku jest zintegrowana z funkcjami zarządzania lukami w zabezpieczeniach & zagrożeń . Zespół ds. zabezpieczeń organizacji otrzymuje zalecenie dotyczące zabezpieczeń , aby włączyć funkcję EDR w trybie bloku, jeśli nie jest jeszcze włączona.

Zalecenie dotyczące włączania EDR w trybie bloku

Obejrzyj ten film wideo, aby dowiedzieć się, dlaczego i jak włączyć wykrywanie i reagowanie na punkty końcowe (EDR) w trybie bloku, włączać blokowanie zachowań i powstrzymywanie na każdym etapie od wstępnego naruszenia do stanu po naruszeniu zabezpieczeń.

Co się stanie, gdy coś zostanie wykryte?

Po włączeniu EDR w trybie bloku i wykryciu złośliwego artefaktu usługa Defender for Endpoint koryguje ten artefakt. Twój zespół ds. operacji zabezpieczeń widzi stan wykrywania jako Zablokowany lub Zablokowany w Centrum akcji, wymieniony jako ukończone akcje. Na poniższej ilustracji przedstawiono wystąpienie niechcianego oprogramowania, które zostało wykryte i skorygowane za pośrednictwem EDR w trybie bloku:

Wykrywanie przez EDR w trybie bloku

Włączanie EDR w trybie bloku

Ważna

  • Przed włączeniem EDR w trybie bloku upewnij się, że wymagania zostały spełnione.
  • Wymagane są licencje usługi Defender for Endpoint Plan 2.
  • Począwszy od platformy w wersji 4.18.2202.X, można ustawić EDR w trybie bloku, aby była przeznaczona dla określonych grup urządzeń przy użyciu dostawców CSP usługi Intune. Możesz nadal ustawiać EDR w trybie bloku dla całej dzierżawy w portalu usługi Microsoft Defender.
  • Środowisko EDR w trybie blokowym jest zalecane przede wszystkim w przypadku urządzeń z uruchomionym programem antywirusowym Microsoft Defender w trybie pasywnym (na urządzeniu jest zainstalowane i aktywne rozwiązanie antywirusowe innej firmy niż Microsoft).

Portal usługi Microsoft Defender

  1. Przejdź do portalu usługi Microsoft Defender (https://security.microsoft.com/) i zaloguj się.

  2. Wybierz pozycję Ustawienia>Punkty końcowe>Ogólne>funkcje zaawansowane.

  3. Przewiń w dół, a następnie włącz opcję Włącz EDR w trybie bloku.

Intune

Aby utworzyć zasady niestandardowe w usłudze Intune, zobacz Deploy OMA-URIs to target a CSP through Intune (Wdrażanie OMA-URIs do docelowego dostawcy usług kryptograficznych za pośrednictwem usługi Intune) oraz porównanie z środowiskiem lokalnym.

Aby uzyskać więcej informacji na temat dostawcy CSP usługi Defender używanego dla EDR w trybie bloku, zobacz "Configuration/PassiveRemediation" w obszarze Dostawca CSP usługi Defender.

Wymagania dotyczące EDR w trybie bloku

W poniższej tabeli wymieniono wymagania dotyczące EDR w trybie bloku:

Wymaganie Szczegóły
Uprawnienia Musisz mieć przypisaną rolę administratora globalnego lub administratora zabezpieczeń w identyfikatorze Microsoft Entra. Aby uzyskać więcej informacji, zobacz Podstawowe uprawnienia.
System operacyjny Na urządzeniach musi działać jedna z następujących wersji systemu Windows:
— Windows 11
— Windows 10 (wszystkie wersje)
— Windows Server 2019 lub nowszy
— Windows Server, wersja 1803 lub nowsza
- Windows Server 2016 i Windows Server 2012 R2 (z nowym rozwiązaniem ujednoliconego klienta)
Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2) Urządzenia muszą być dołączone do usługi Defender for Endpoint. Zobacz następujące artykuły:
- Minimalne wymagania dotyczące usługi Microsoft Defender dla punktu końcowego
- Dołączanie urządzeń i konfigurowanie funkcji usługi Microsoft Defender dla punktów końcowych
- Dołączanie serwerów z systemem Windows do usługi Defender for Endpoint
- Nowa funkcja systemu Windows Server 2012 R2 i 2016 w nowoczesnym ujednoliconym rozwiązaniu
(Zobacz Czy funkcja EDR jest obsługiwana w trybie bloku w systemach Windows Server 2016 i Windows Server 2012 R2?)
Program antywirusowy Microsoft Defender Urządzenia muszą mieć zainstalowany program antywirusowy Microsoft Defender i działać w trybie aktywnym lub pasywnym. Upewnij się, że program antywirusowy Microsoft Defender jest w trybie aktywnym lub pasywnym.
Ochrona dostarczana przez chmurę Program antywirusowy Microsoft Defender musi być skonfigurowany w taki sposób, aby włączono ochronę dostarczaną przez chmurę.
Platforma antywirusowa Microsoft Defender Urządzenia muszą być aktualne. Aby potwierdzić, używając programu PowerShell, uruchom polecenie cmdlet Get-MpComputerStatus jako administrator. W wierszu AMProductVersion powinna być widoczna wersja 4.18.2001.10 lub nowsza .

Aby dowiedzieć się więcej, zobacz Zarządzanie aktualizacji programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia.
Aparat antywirusowy Microsoft Defender Urządzenia muszą być aktualne. Aby potwierdzić, używając programu PowerShell, uruchom polecenie cmdlet Get-MpComputerStatus jako administrator. W wierszu AMEngineVersion powinna zostać wyświetlona wartość 1.1.16700.2 lub nowsza.

Aby dowiedzieć się więcej, zobacz Zarządzanie aktualizacji programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia.

Ważna

Aby uzyskać najlepszą wartość ochrony, upewnij się, że rozwiązanie antywirusowe jest skonfigurowane do otrzymywania regularnych aktualizacji i podstawowych funkcji oraz że wykluczenia są skonfigurowane. Środowisko EDR w trybie bloku uwzględnia wykluczenia zdefiniowane dla programu antywirusowego Microsoft Defender, ale nie wskaźniki zdefiniowane dla usługi Microsoft Defender dla punktu końcowego.

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.