Поделиться через


Обнаружение и ответ конечной точки в режиме блокировки

Область применения:

Платформы

  • Windows

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этой статье описывается EDR в блочном режиме, который помогает защитить устройства под управлением антивирусного решения сторонних разработчиков (с Microsoft Defender антивирусной программы в пассивном режиме).

Что такое EDR в блочном режиме?

Обнаружение и ответ конечной точки (EDR) в режиме блокировки обеспечивает дополнительную защиту от вредоносных артефактов, если антивирусная программа Microsoft Defender не является основным антивирусным продуктом и работает в пассивном режиме. EDR в блочном режиме доступен в Defender для конечной точки плана 2.

Важно!

EDR в режиме блокировки не может обеспечить всю доступную защиту, если Microsoft Defender антивирусная защита в режиме реального времени находится в пассивном режиме. Некоторые возможности, которые зависят от того, Microsoft Defender антивирусная программа будет активным антивирусным решением, не будут работать, например в следующих примерах:

  • Защита в режиме реального времени, включая сканирование при доступе и запланированное сканирование, недоступна, если Microsoft Defender антивирусная программа находится в пассивном режиме. Дополнительные сведения о параметрах политики защиты в режиме реального времени см. в статье Включение и настройка постоянной защиты Microsoft Defender антивирусной программы.
  • Такие функции, как защита сети и сокращение направлений атак (хэш файлов, IP-адрес, URL-адрес и сертификаты), доступны только в том случае, если антивирусная программа Microsoft Defender работает в активном режиме. Ожидается, что антивирусное решение сторонних разработчиков включает в себя эти возможности.

EDR в блочном режиме работает в фоновом режиме для исправления вредоносных артефактов, обнаруженных EDR возможностями. Такие артефакты могли быть пропущены основным антивирусным продуктом сторонних разработчиков. EDR в режиме блокировки позволяет Microsoft Defender антивирусной программе выполнять действия при обнаружении EDR после нарушения.

EDR в блочном режиме интегрирован с возможностями управления угрозами & уязвимостями . Группа безопасности вашей организации получает рекомендацию по безопасности , чтобы включить EDR в режиме блокировки, если он еще не включен.

Рекомендация по включению EDR в режиме блокировки

Совет

Чтобы обеспечить оптимальную защиту, обязательно разверните Microsoft Defender для конечной точки базовые показатели.

Просмотрите это видео, чтобы узнать, почему и как включить обнаружение конечных точек и реагирование (EDR) в режиме блокировки, включить поведенческую блокировку и сдерживание на каждом этапе от предварительного нарушения до последующего нарушения.

Что происходит при обнаружении чего-либо?

Если EDR в блочном режиме включен и обнаружен вредоносный артефакт, Defender для конечной точки исправит этот артефакт. Ваша группа по операциям безопасности видит состояние обнаружения Заблокировано или Запрещено в центре уведомлений, в списке как выполненные действия. На следующем рисунке показан экземпляр нежелательного программного обеспечения, который был обнаружен и исправлен с помощью EDR в блочном режиме:

Обнаружение с помощью EDR в блочном режиме

Включение EDR в блочном режиме

Важно!

  • Убедитесь, что требования выполнены, прежде чем включать EDR в режиме блокировки.
  • Требуются лицензии Defender для конечной точки плана 2.
  • Начиная с версии платформы 4.18.2202.X, вы можете настроить EDR в блочном режиме для целевых групп устройств с помощью Intune CSP. Вы можете продолжить настройку EDR в блочном режиме на уровне клиента на портале Microsoft Defender.
  • EDR в режиме блокировки в основном рекомендуется для устройств, работающих Microsoft Defender антивирусной программы в пассивном режиме (на устройстве установлено и активно антивирусное решение сторонних разработчиков).

Портал Microsoft Defender

  1. Перейдите на портал Microsoft Defender (https://security.microsoft.com/) и выполните вход.

  2. Выберите Параметры Конечные>>точкиОбщие>дополнительные функции.

  3. Прокрутите вниз и включите параметр Включить EDR в режиме блокировки.

Intune

Сведения о создании настраиваемой политики в Intune см. в статье Развертывание OMA-URIs для целевого CSP через Intune и сравнение с локальной средой.

Дополнительные сведения о поставщике служб CSP Defender, используемом для EDR в блочном режиме, см. в разделе Configuration/PassiveRemediation в разделе CSP Defender.

Требования к EDR в блочном режиме

В следующей таблице перечислены требования к EDR в блочном режиме:

Требование Сведения
Разрешения В Microsoft Entra ID должна быть назначена роль глобального администратора или администратора безопасности. Дополнительные сведения см. в разделе Базовые разрешения.
Операционная система Устройства должны работать под управлением одной из следующих версий Windows:
— Windows 11
— Windows 10 (все выпуски)
— Windows Server 2019 или более поздней версии
— Windows Server версии 1803 или более поздней
— Windows Server 2016 и Windows Server 2012 R2 (с новым унифицированным клиентским решением)
Microsoft Defender для конечной точки (план 2) Устройства должны быть подключены к Defender для конечной точки. См. следующие статьи:
- Минимальные требования к Microsoft Defender для конечной точки
- Подключение устройств и настройка возможностей Microsoft Defender для конечной точки
- Подключение серверов Windows к службе Defender для конечной точки
- Новые функции Windows Server 2012 R2 и 2016 в современном унифицированном решении
(См. раздел Поддерживается ли EDR в режиме блока для Windows Server 2016 и Windows Server 2012 R2?)
Антивирусная программа в Microsoft Defender На устройствах должна быть установлена Microsoft Defender антивирусная программа, работающая в активном или пассивном режиме. Убедитесь, Microsoft Defender антивирусная программа находится в активном или пассивном режиме.
Облачная защита Microsoft Defender антивирусная программа должна быть настроена таким образом, чтобы была включена облачная защита.
Антивирусная платформа Microsoft Defender Устройства должны быть обновлены. Чтобы подтвердить использование PowerShell, выполните командлет Get-MpComputerStatus от имени администратора. В строке AMProductVersion должен отображаться номер 4.18.2001.10 или более поздней версии.

Дополнительные данные см. в разделе Управление обновлениями антивирусной программы в Microsoft Defender и применение базовых показателей.
Антивирусная программа Microsoft Defender Устройства должны быть обновлены. Чтобы подтвердить использование PowerShell, выполните командлет Get-MpComputerStatus от имени администратора. В строке AMEngineVersion должен отображаться 1.1.16700.2 или более поздней версии.

Дополнительные данные см. в разделе Управление обновлениями антивирусной программы в Microsoft Defender и применение базовых показателей.

Важно!

Чтобы получить наилучшее значение защиты, убедитесь, что антивирусное решение настроено для регулярного получения обновлений и основных функций, а также что исключения настроены. EDR в блочном режиме учитывает исключения, определенные для Microsoft Defender антивирусной программы, но не индикаторы, определенные для Microsoft Defender для конечной точки.

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.