Wykrywanie punktów końcowych i reagowanie w trybie bloku
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
- Program antywirusowy Microsoft Defender
Platformy
- System Windows
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
W tym artykule opisano środowisko EDR w trybie bloku, które pomaga chronić urządzenia z uruchomionym rozwiązaniem antywirusowym innym niż Microsoft (z programem antywirusowym Microsoft Defender w trybie pasywnym).
Co to jest EDR w trybie bloku?
Wykrywanie i reagowanie na punkty końcowe (EDR) w trybie bloku zapewnia dodatkową ochronę przed złośliwymi artefaktami, gdy program antywirusowy Microsoft Defender nie jest podstawowym produktem antywirusowym i działa w trybie pasywnym. Środowisko EDR w trybie bloku jest dostępne w usłudze Defender for Endpoint Plan 2.
Ważna
Środowisko EDR w trybie bloku nie może zapewnić całej dostępnej ochrony, gdy ochrona antywirusowa Microsoft Defender w czasie rzeczywistym jest w trybie pasywnym. Niektóre funkcje zależne od programu antywirusowego Microsoft Defender jako aktywnego rozwiązania antywirusowego nie będą działać, takie jak następujące przykłady:
- Ochrona w czasie rzeczywistym, w tym skanowanie przy dostępie i zaplanowane skanowanie, nie jest dostępna, gdy program antywirusowy Microsoft Defender jest w trybie pasywnym. Aby dowiedzieć się więcej na temat ustawień zasad ochrony w czasie rzeczywistym, zobacz Włączanie i konfigurowanie zawsze włączonej ochrony programu antywirusowego Microsoft Defender.
- Funkcje, takie jak reguły ochrony sieci i zmniejszania obszaru ataków (skrót pliku, adres IP, adres URL i certyfikaty) są dostępne tylko wtedy, gdy program antywirusowy Microsoft Defender jest uruchomiony w trybie aktywnym. Oczekuje się, że rozwiązanie antywirusowe firmy innej niż Microsoft obejmuje te możliwości.
EDR w trybie bloku działa w tle, aby korygować złośliwe artefakty, które zostały wykryte przez możliwości EDR. Takie artefakty mogły zostać pominięte przez podstawowy produkt antywirusowy spoza firmy Microsoft. Środowisko EDR w trybie bloku umożliwia programowi antywirusowemu Microsoft Defender podjęcie działań w przypadku wykrywania EDR po naruszeniu zabezpieczeń.
Funkcja EDR w trybie bloku jest zintegrowana z funkcjami zarządzania lukami w zabezpieczeniach & zagrożeń . Zespół ds. zabezpieczeń organizacji otrzymuje zalecenie dotyczące zabezpieczeń , aby włączyć funkcję EDR w trybie bloku, jeśli nie jest jeszcze włączona.
Porada
Aby uzyskać najlepszą ochronę, należy wdrożyć usługę Microsoft Defender dla punktów odniesienia punktu końcowego.
Obejrzyj ten film wideo, aby dowiedzieć się, dlaczego i jak włączyć wykrywanie i reagowanie na punkty końcowe (EDR) w trybie bloku, włączać blokowanie zachowań i powstrzymywanie na każdym etapie od wstępnego naruszenia do stanu po naruszeniu zabezpieczeń.
Co się stanie, gdy coś zostanie wykryte?
Po włączeniu EDR w trybie bloku i wykryciu złośliwego artefaktu usługa Defender for Endpoint koryguje ten artefakt. Twój zespół ds. operacji zabezpieczeń widzi stan wykrywania jako Zablokowany lub Zablokowany w Centrum akcji, wymieniony jako ukończone akcje. Na poniższej ilustracji przedstawiono wystąpienie niechcianego oprogramowania, które zostało wykryte i skorygowane za pośrednictwem EDR w trybie bloku:
Włączanie EDR w trybie bloku
Ważna
- Przed włączeniem EDR w trybie bloku upewnij się, że wymagania zostały spełnione.
- Wymagane są licencje usługi Defender for Endpoint Plan 2.
- Począwszy od platformy w wersji 4.18.2202.X, można ustawić EDR w trybie bloku, aby była przeznaczona dla określonych grup urządzeń przy użyciu dostawców CSP usługi Intune. Możesz nadal ustawiać EDR w trybie bloku dla całej dzierżawy w portalu usługi Microsoft Defender.
- Środowisko EDR w trybie blokowym jest zalecane przede wszystkim w przypadku urządzeń z uruchomionym programem antywirusowym Microsoft Defender w trybie pasywnym (na urządzeniu jest zainstalowane i aktywne rozwiązanie antywirusowe innej firmy niż Microsoft).
Portal usługi Microsoft Defender
Przejdź do portalu usługi Microsoft Defender (https://security.microsoft.com/) i zaloguj się.
Wybierz pozycję Ustawienia>Punkty końcowe>Ogólne>funkcje zaawansowane.
Przewiń w dół, a następnie włącz opcję Włącz EDR w trybie bloku.
Intune
Aby utworzyć zasady niestandardowe w usłudze Intune, zobacz Deploy OMA-URIs to target a CSP through Intune (Wdrażanie OMA-URIs do docelowego dostawcy usług kryptograficznych za pośrednictwem usługi Intune) oraz porównanie z środowiskiem lokalnym.
Aby uzyskać więcej informacji na temat dostawcy CSP usługi Defender używanego dla EDR w trybie bloku, zobacz "Configuration/PassiveRemediation" w obszarze Dostawca CSP usługi Defender.
Wymagania dotyczące EDR w trybie bloku
W poniższej tabeli wymieniono wymagania dotyczące EDR w trybie bloku:
| Wymaganie | Szczegóły |
|---|---|
| Uprawnienia | Musisz mieć przypisaną rolę administratora globalnego lub administratora zabezpieczeń w identyfikatorze Microsoft Entra. Aby uzyskać więcej informacji, zobacz Podstawowe uprawnienia. |
| System operacyjny | Na urządzeniach musi działać jedna z następujących wersji systemu Windows: — Windows 11 — Windows 10 (wszystkie wersje) — Windows Server 2019 lub nowszy — Windows Server, wersja 1803 lub nowsza - Windows Server 2016 i Windows Server 2012 R2 (z nowym rozwiązaniem ujednoliconego klienta) |
| Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2) | Urządzenia muszą być dołączone do usługi Defender for Endpoint. Zobacz następujące artykuły: - Minimalne wymagania dotyczące usługi Microsoft Defender dla punktu końcowego - Dołączanie urządzeń i konfigurowanie funkcji usługi Microsoft Defender dla punktów końcowych - Dołączanie serwerów z systemem Windows do usługi Defender for Endpoint - Nowa funkcja systemu Windows Server 2012 R2 i 2016 w nowoczesnym ujednoliconym rozwiązaniu (Zobacz Czy funkcja EDR jest obsługiwana w trybie bloku w systemach Windows Server 2016 i Windows Server 2012 R2?) |
| Program antywirusowy Microsoft Defender | Urządzenia muszą mieć zainstalowany program antywirusowy Microsoft Defender i działać w trybie aktywnym lub pasywnym. Upewnij się, że program antywirusowy Microsoft Defender jest w trybie aktywnym lub pasywnym. |
| Ochrona dostarczana przez chmurę | Program antywirusowy Microsoft Defender musi być skonfigurowany w taki sposób, aby włączono ochronę dostarczaną przez chmurę. |
| Platforma antywirusowa Microsoft Defender | Urządzenia muszą być aktualne. Aby potwierdzić, używając programu PowerShell, uruchom polecenie cmdlet Get-MpComputerStatus jako administrator. W wierszu AMProductVersion powinna być widoczna wersja 4.18.2001.10 lub nowsza . Aby dowiedzieć się więcej, zobacz Zarządzanie aktualizacji programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia. |
| Aparat antywirusowy Microsoft Defender | Urządzenia muszą być aktualne. Aby potwierdzić, używając programu PowerShell, uruchom polecenie cmdlet Get-MpComputerStatus jako administrator. W wierszu AMEngineVersion powinna zostać wyświetlona wartość 1.1.16700.2 lub nowsza. Aby dowiedzieć się więcej, zobacz Zarządzanie aktualizacji programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia. |
Ważna
Aby uzyskać najlepszą wartość ochrony, upewnij się, że rozwiązanie antywirusowe jest skonfigurowane do otrzymywania regularnych aktualizacji i podstawowych funkcji oraz że wykluczenia są skonfigurowane. Środowisko EDR w trybie bloku uwzględnia wykluczenia zdefiniowane dla programu antywirusowego Microsoft Defender, ale nie wskaźniki zdefiniowane dla usługi Microsoft Defender dla punktu końcowego.
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Zobacz też
Porada
Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.