Общие сведения о Microsoft Defender для конечной точки плане 1
Область применения
Microsoft Defender для конечной точки — это платформа безопасности корпоративных конечных точек, предназначенная для того, чтобы помочь таким организациям, как ваша, предотвращать, обнаруживать, исследовать и реагировать на сложные угрозы. Мы рады сообщить, что Defender для конечной точки теперь доступен в двух планах:
- Defender для конечной точки плана 1, как описано в этой статье; И
- Defender для конечной точки плана 2, общедоступная, ранее известная как Defender для конечной точки.
В зеленых полях на следующем рисунке показано, что входит в Defender для конечной точки плана 1:
Используйте это руководство, чтобы:
- Общие сведения о том, что входит в Defender для конечной точки плана 1
- Узнайте, как настроить и настроить Defender для конечной точки плана 1
- Начало работы с порталом Microsoft Defender, где можно просматривать инциденты и оповещения, управлять устройствами и использовать отчеты об обнаруженных угрозах.
- Обзор обслуживания и операций
Возможности Defender для конечной точки плана 1
Defender для конечной точки плана 1 включает следующие возможности:
- Защита нового поколения , которая включает в себя ведущую в отрасли надежную защиту от вредоносных программ и антивирусной защиты
- Действия реагирования вручную, такие как отправка файла в карантин, которые группа безопасности может выполнять с устройствами или файлами при обнаружении угроз
- Возможности сокращения направлений атак , которые обеспечивают усиление защиты устройств, предотвращение атак нулевого дня и обеспечивают детальный контроль доступа к конечным точкам и поведения.
- Централизованная настройка и управление с помощью портала Microsoft Defender и интеграция с Microsoft Intune
- Защита для различных платформ, включая устройства Windows, macOS, iOS и Android
В следующих разделах содержатся дополнительные сведения об этих возможностях.
Защита нового поколения
Защита следующего поколения включает в себя надежную антивирусную и антивредоносную защиту. Благодаря защите следующего поколения вы получаете:
- Антивирусная защита на основе поведения, эвристическая защита и антивирусная защита в режиме реального времени
- Облачная защита, которая включает в себя почти мгновенное обнаружение и блокировку новых и возникающих угроз.
- Обновления выделенной защиты и продуктов, включая обновления, связанные с антивирусной программой Microsoft Defender
Дополнительные сведения см. в статье Обзор защиты следующего поколения.
Ответные действия, выполняющиеся вручную
Действия реагирования вручную — это действия, которые команда безопасности может выполнять при обнаружении угроз на конечных точках или в файлах. Defender для конечной точки включает определенные действия реагирования вручную, которые могут быть выполнены на устройстве , которое обнаруживается как потенциально скомпрометированное или имеет подозрительное содержимое. Вы также можете выполнять действия реагирования на файлы , обнаруженные как угрозы. В следующей таблице перечислены действия реагирования вручную, доступные в Defender для конечной точки плана 1.
Файл или устройство | Действие | Описание |
---|---|---|
Устройство | Запуск проверки на вирусы | Запускает антивирусную проверку. Если на устройстве обнаружены какие-либо угрозы, эти угрозы часто устраняются во время антивирусной проверки. |
Устройство | Изоляция устройства | Отключает устройство от сети организации, сохраняя подключение к Defender для конечной точки. Это действие позволяет отслеживать устройство и при необходимости предпринимать дальнейшие действия. |
File | Добавление индикатора для блокировки или разрешения файла | Блочные индикаторы предотвращают чтение, запись и выполнение переносимых исполняемых файлов на устройствах. Индикаторы разрешения предотвращают блокировку или исправление файлов. |
Дополнительные сведения см. в следующих разделах:
Сокращение направлений атак
Атаки вашей организации — это все места, где вы уязвимы для кибератак. С помощью Defender для конечной точки плана 1 вы можете уменьшить количество направлений атак, защищая устройства и приложения, которые используются в вашей организации. Возможности сокращения направлений атак, включенные в Defender для конечной точки плана 1, описаны в следующих разделах.
- Правила сокращения направлений атак
- Защита от программ-шантажистов
- Управление устройством
- Веб-защита
- Защита сети
- Сетевой брандмауэр
- Элемент управления приложениями
Дополнительные сведения о возможностях сокращения направлений атаки в Defender для конечной точки см. в статье Общие сведения о сокращении направлений атак.
Правила сокращения направлений атак
Правила сокращения направлений атак нацелены на определенное поведение программного обеспечения, которое считается рискованным. К таким вариантам поведения относятся:
- Запуск исполняемых файлов и скриптов, которые пытаются скачать или запустить другие файлы
- Выполнение скрытых или иным образом подозрительных сценариев
- Инициализация поведения, которое приложения обычно не инициируют во время обычной работы
Допустимые бизнес-приложения могут проявлять такое поведение программного обеспечения; однако такое поведение часто считается рискованным, так как злоумышленники часто злоупотребляют вредоносными программами. Правила сокращения направлений атак могут ограничить рискованное поведение и обеспечить безопасность вашей организации.
Дополнительные сведения см. в статье Использование правил сокращения направлений атак для предотвращения заражения вредоносными программами.
Защита от программ-шантажистов
При управляемом доступе к папкам вы получаете защиту от программ-шантажистов. Управляемый доступ к папкам позволяет только доверенным приложениям получать доступ к защищенным папкам в конечных точках. Приложения добавляются в список доверенных приложений на основе их распространенности и репутации. Ваша команда по операциям с безопасностью также может добавлять или удалять приложения из списка доверенных приложений.
Дополнительные сведения см. в статье Защита важных папок с помощью управляемого доступа к папкам.
Управление устройствами
Иногда угрозы для устройств вашей организации возникают в виде файлов на съемных дисках, таких как USB-накопители. Defender для конечной точки включает возможности, помогающие предотвратить угрозы, исходящие от неавторизованных периферийных устройств, от компрометации ваших устройств. Вы можете настроить Defender для конечной точки, чтобы блокировать или разрешать съемные устройства и файлы на съемных устройствах.
Дополнительные сведения см. в статье Управление USB-устройствами и съемными носителями.
Веб-защита
С помощью веб-защиты вы можете защитить устройства вашей организации от веб-угроз и нежелательного содержимого. Веб-защита включает защиту от веб-угроз и фильтрацию веб-содержимого.
- Защита от веб-угроз предотвращает доступ к фишинговым сайтам, векторам вредоносных программ, сайтам эксплойтов, сайтам, ненадежным сайтам или сайтам с низкой репутацией, а также сайтам, которые вы явно блокируете.
- Фильтрация веб-содержимого запрещает доступ к определенным сайтам в зависимости от их категории. Категории могут включать содержимое для взрослых, сайты для отдыха, сайты с юридической ответственностью и многое другое.
Дополнительные сведения см. в разделе Веб-защита.
Защита сети
С помощью защиты сети вы можете запретить вашей организации доступ к опасным доменам, в которых могут размещаться фишинговые аферы, эксплойты и другое вредоносное содержимое в Интернете.
Дополнительные сведения см. в статье Защита сети.
Сетевой брандмауэр
С помощью защиты сетевого брандмауэра можно задать правила, определяющие, какой сетевой трафик разрешено поступать на устройства вашей организации или с нее. Благодаря брандмауэру сети и расширенной безопасности, которые вы получаете с помощью Defender для конечной точки, вы можете:
- Снижение риска угроз сетевой безопасности
- Защита конфиденциальных данных и интеллектуальной собственности
- Расширение инвестиций в безопасность
Дополнительные сведения см. в статье Защитник Windows Брандмауэр с расширенной безопасностью.
Элемент управления приложениями
Управление приложениями защищает конечные точки Windows, запуская только доверенные приложения и код в ядре системы. Команда безопасности может определить правила управления приложениями, которые учитывают атрибуты приложения, такие как его сертификаты, репутация, процесс запуска и многое другое. Управление приложениями доступно в Windows 10 или более поздней версии.
Дополнительные сведения см. в разделе Управление приложениями для Windows.
Централизованное управление
Defender для конечной точки плана 1 включает портал Microsoft Defender, который позволяет группе безопасности просматривать актуальные сведения об обнаруженных угрозах, принимать соответствующие меры для устранения угроз и централизованно управлять параметрами защиты от угроз в организации.
Дополнительные сведения см. в статье Обзор портала Microsoft Defender.
Управление доступом на основе ролей
С помощью управления доступом на основе ролей (RBAC) администратор безопасности может создавать роли и группы, чтобы предоставить соответствующий доступ к порталу Microsoft Defender (https://security.microsoft.com). С помощью RBAC вы можете точно контролировать, кто может получить доступ к Defender для облака, а также что они могут видеть и делать.
Дополнительные сведения см. в статье Управление доступом на портале с помощью управления доступом на основе ролей.
Reporting
Портал Microsoft Defender (https://security.microsoft.com) предоставляет удобный доступ к информации об обнаруженных угрозах и действиях по их устранению.
- Домашняя страница содержит карточки, на которых можно быстро указать, какие пользователи или устройства подвергаются риску, сколько угроз было обнаружено и какие оповещения и инциденты были созданы.
- В разделе Оповещения об инцидентах & перечислены все инциденты, созданные в результате срабатывания оповещений. Оповещения и инциденты создаются при обнаружении угроз на разных устройствах.
- Центр уведомлений перечисляет выполненные действия по исправлению. Например, если файл отправляется в карантин или URL-адрес заблокирован, каждое действие отображается в центре уведомлений на вкладке Журнал .
- В разделе Отчеты содержатся отчеты об обнаруженных угрозах и их состоянии.
Дополнительные сведения см. в статье Начало работы с Microsoft Defender для конечной точки план 1.
Интерфейсы API
С помощью API Defender для конечной точки можно автоматизировать рабочие процессы и интегрировать их с пользовательскими решениями вашей организации.
Дополнительные сведения см. в разделе API Defender для конечной точки.
Кроссплатформенная поддержка
Большинство организаций используют различные устройства и операционные системы. Defender для конечной точки плана 1 поддерживает следующие операционные системы:
- Windows 10 и 11
- Windows 7 (требуется ESU) Pro или Корпоративная
- Windows 8.1 Профессиональная, Enterprise и Pro Education
- macOS (поддерживаются три последних выпуска)
- iOS
- Android OS
Для серверов требуется дополнительная лицензия, например:
- Microsoft Defender для серверов плана 1 или плана 2 (рекомендуется для корпоративных клиентов) в рамках предложения Defender для облака. Дополнительные сведения. См. раздел Обзор Microsoft Defender для серверов.
- Microsoft Defender для конечной точки для серверов (рекомендуется для корпоративных клиентов). Дополнительные сведения см. в статье Подключение Defender для конечной точки Windows Server.
- Microsoft Defender для бизнеса - серверы (для малых и средних предприятий, имеющих Microsoft Defender для бизнеса). Дополнительные сведения см. в статье Получение Microsoft Defender для бизнеса - серверы.
См . статью Лицензирование Майкрософт и условия использования продуктов.
Дальнейшие действия
- Настройка Defender для конечной точки (план 1)
- Начало работы с Defender для конечной точки плана 1
- Управление Defender для конечной точки плана 1
- Сведения об исключениях для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.