Editar

Compartilhar via

EDR (detecção e resposta de ponto de extremidade) no modo de blocos perguntas frequentes (perguntas frequentes)

  • Perguntas frequentes

Aplica-se a:

Posso especificar exclusões para EDR no modo de bloco?

Se você receber um falso positivo, poderá enviar o arquivo para análise no site de envio de Inteligência de Segurança da Microsoft.

Você também pode definir uma exclusão para Microsoft Defender Antivírus. Consulte Configurar e validar exclusões para verificações Microsoft Defender Antivírus.

Preciso ativar o EDR no modo de bloco se tiver Microsoft Defender Antivírus em execução em dispositivos?

Sim, a Microsoft recomenda habilitar o EDR no modo de bloco, mesmo quando o software antivírus primário no sistema está Microsoft Defender Antivírus. As detecções de EDR podem ser corrigidas automaticamente pela proteção PUA ou pela investigação automatizada & recursos de correção no modo de bloco.

A principal finalidade do EDR no modo de bloco é corrigir detecções pós-violação que foram perdidas por um produto antivírus não Microsoft.

O EDR no modo de bloco afetará a proteção antivírus de um usuário?

O EDR no modo de bloco não afeta a proteção antivírus de terceiros em execução nos dispositivos dos usuários. O EDR no modo de bloco funcionará se a solução antivírus primária perder algo ou se houver uma detecção pós-violação. O EDR no modo de bloco funciona como Microsoft Defender Antivírus no modo passivo, exceto que o EDR no modo de bloco também bloqueia e corrige artefatos mal-intencionados ou comportamentos detectados.

Por que preciso manter Microsoft Defender Antivírus atualizado?

Como Microsoft Defender Antivírus detecta e corrige itens mal-intencionados, é importante mantê-lo atualizado. Para que o EDR no modo de bloco seja eficaz, ele usa os modelos de aprendizado de dispositivo mais recentes, detecções comportamentais e heurística. A pilha de recursos do Defender para Ponto de Extremidade funciona de maneira integrada. Para obter o melhor valor de proteção, você deve manter Microsoft Defender Antivírus atualizado. Consulte Gerenciar Microsoft Defender atualizações antivírus e aplicar linhas de base.

Por que precisamos de proteção de nuvem (MAPAS) ativado?

A proteção de nuvem é necessária para ativar o recurso no dispositivo. A proteção de nuvem permite que o Defender para Ponto de Extremidade forneça a proteção mais recente e maior com base em nossa amplitude e profundidade de inteligência de segurança, juntamente com modelos comportamentais e de aprendizado de dispositivo.

Qual é a diferença entre o modo ativo e passivo?

Para pontos de extremidade que executam Windows 10, Windows 11, Windows Server, versão 1803 ou posterior, Windows Server 2019 ou Windows Server 2022 quando Microsoft Defender Antivírus estiver no modo ativo, ele é usado como o antivírus primário no dispositivo. Ao executar no modo passivo, Microsoft Defender Antivírus não é o produto antivírus primário. Nesse caso, as ameaças não são corrigidas por Microsoft Defender Antivírus em tempo real.

Observação

Microsoft Defender Antivírus só pode ser executado no modo passivo quando o dispositivo está integrado ao Microsoft Defender para Ponto de Extremidade.

Para obter mais informações, consulte Microsoft Defender compatibilidade com Antivírus.

Como fazer confirmar Microsoft Defender Antivírus está no modo ativo ou passivo?

Para confirmar se Microsoft Defender Antivírus está em execução no modo ativo ou passivo, você pode usar o Prompt de Comando ou o PowerShell em um dispositivo que executa o Windows.

Método Procedimento
PowerShell 1. Selecione o menu Iniciar, comece a digitar PowerShelle abra Windows PowerShell nos resultados.

2. Digite Get-MpComputerStatus.

3. Na lista de resultados, na linha AMRunningMode , procure um dos seguintes valores:
- Normal
- Passive Mode

Para saber mais, confira Get-MpComputerStatus.
Prompt de comando
  1. Selecione o menu Iniciar, comece a digitar Command Prompte abra o Prompt de Comando do Windows nos resultados.
  2. Digitar sc query windefend.
  3. Na lista de resultados, na linha STATE, confirme se o serviço está em execução.

Como fazer confirmar que o EDR no modo de bloco está ativado com Microsoft Defender Antivírus no modo passivo?

Você pode usar o PowerShell para confirmar que o EDR no modo de bloco está ativado com Microsoft Defender Antivírus em execução no modo passivo.

  1. Selecione o menu Iniciar, comece a digitar PowerShelle abra Windows PowerShell nos resultados.

  2. Digitar Get-MPComputerStatus|select AMRunningMode.

  3. Confirme se o resultado, EDR Block Mode, é exibido.

Dica

Se Microsoft Defender Antivírus estiver no modo ativo, você verá Normal em vez de EDR Block Mode. Para saber mais, confira Get-MpComputerStatus.

O EDR no modo de bloco tem suporte em Windows Server 2016 e Windows Server 2012 R2?

Se Microsoft Defender Antivírus estiver em execução no modo ativo ou passivo, o EDR no modo de bloco terá suporte das seguintes versões do Windows:

  • Windows 11
  • Windows 10 (todas as versões)
  • Windows Server, versão 1803 ou mais recente
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016 e Windows Server 2012 R2 (com a nova solução de cliente unificada)

Com a nova solução de cliente unificada para Windows Server 2016 e Windows Server 2012 R2, você pode executar o EDR no modo de bloco no modo passivo ou ativo.

Observação

Windows Server 2016 e Windows Server 2012 R2 devem ser integrados usando as instruções em Servidores Windows integrados para que esse recurso funcione.

Quanto tempo leva para o EDR no modo de bloco ser desabilitado?

Se você optar por desabilitar o EDR no modo de bloco, pode levar até 30 minutos para o sistema desabilitar essa funcionalidade.

Confira também