Aracılığıyla paylaş


Blok modunda uç nokta algılama ve yanıt

Şunlar için geçerlidir:

Platform

  • Windows

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Bu makalede, Microsoft dışı bir virüsten koruma çözümü (pasif modda Microsoft Defender Virüsten Koruma ile) çalıştıran cihazların korunmasına yardımcı olan blok modunda EDR açıklanmaktadır.

Blok modunda EDR nedir?

Blok modunda uç nokta algılama ve yanıt (EDR), Microsoft Defender Virüsten Koruma birincil virüsten koruma ürünü olmadığında ve pasif modda çalıştığında kötü amaçlı yapıtlara karşı ek koruma sağlar. Blok modunda EDR, Uç Nokta Planı 2 için Defender'da kullanılabilir.

Önemli

Blok modundaki EDR, Microsoft Defender Virüsten Koruma gerçek zamanlı koruması pasif moddayken tüm kullanılabilir korumayı sağlayamaz. Microsoft Defender Virüsten Koruma'nın etkin virüsten koruma çözümü olması gereken bazı özellikler çalışmaz, örneğin aşağıdaki örnekler:

Blok modundaki EDR, EDR özellikleri tarafından algılanan kötü amaçlı yapıtları düzeltmek için arka planda çalışır. Bu tür yapıtlar birincil, Microsoft dışı virüsten koruma ürünü tarafından kaçırılmış olabilir. Blok modunda EDR, Microsoft Defender Virüsten Koruma'nın ihlal sonrası, davranışsal EDR algılamaları üzerinde eylemler gerçekleştirmesine olanak tanır.

Blok modundaki EDR, tehdit & güvenlik açığı yönetimi özellikleriyle tümleşiktir. Kuruluşunuzun güvenlik ekibi, henüz etkinleştirilmemişse EDR'yi blok modunda açmak için bir güvenlik önerisi alır.

Blok modunda EDR'yi açma önerisi

İpucu

En iyi korumayı elde etmek için Uç Nokta için Microsoft Defender temellerini dağıttığınıza emin olun.

Blok modunda uç nokta algılama ve yanıtının (EDR) neden ve nasıl açacağınızı, davranış engellemeyi etkinleştireceğinizi ve ihlal öncesi aşamadan ihlal sonrası aşamalara kadar her aşamada kapsamanın neden ve nasıl açacağınızı öğrenmek için bu videoyu izleyin.

Bir şey algılandığında ne olur?

Blok modunda EDR açık olduğunda ve kötü amaçlı bir yapıt algılandığında Uç Nokta için Defender bu yapıtı düzelter. Güvenlik operasyonları ekibiniz algılama durumunu İşlem merkezindeEngellendi veya Engellendi olarak görür ve tamamlanmış eylemler olarak listelenir. Aşağıdaki görüntüde, blok modunda EDR aracılığıyla algılanan ve düzeltilen istenmeyen yazılımların bir örneği gösterilmektedir:

Blok modunda EDR tarafından algılama

Blok modunda EDR'yi etkinleştirme

Önemli

  • Blok modunda EDR'yi açmadan önce gereksinimlerin karşılandığından emin olun.
  • Uç Nokta Planı 2 için Defender lisansları gereklidir.
  • Platform 4.18.2202.X sürümünden başlayarak, Intune CSP'lerini kullanarak belirli cihaz gruplarını hedeflemek için EDR'yi blok modunda ayarlayabilirsiniz. Microsoft Defender portalında EDR'yi blok modu kiracı genelinde ayarlamaya devam edebilirsiniz.
  • Blok modunda EDR öncelikli olarak pasif modda Microsoft Defender Virüsten Koruma çalıştıran cihazlar için önerilir (cihazda Microsoft dışı bir virüsten koruma çözümü yüklü ve etkindir).

Microsoft Defender portalı

  1. Microsoft Defender portalına (https://security.microsoft.com/) gidin ve oturum açın.

  2. Ayarlar>Uç Noktaları>Genel>Gelişmiş özellikler'i seçin.

  3. Ekranı aşağı kaydırın ve ardından Blok modunda EDR'yi etkinleştir'i açın.

Intune

Intune'da özel ilke oluşturmak için bkz. Intune aracılığıyla CSP'yi hedeflemek için OMA-URIs dağıtma ve şirket içiyle karşılaştırma.

Blok modunda EDR için kullanılan Defender CSP hakkında daha fazla bilgi için Defender CSP'nin altındaki "Configuration/PassiveRemediation" bölümüne bakın.

Blok modunda EDR gereksinimleri

Aşağıdaki tabloda blok modunda EDR gereksinimleri listelenmiştir:

Gereksinim Ayrıntılar
İzinler Microsoft Entra Id'de Genel Yönetici veya Güvenlik Yöneticisi rolü atanmış olmalıdır. Daha fazla bilgi için bkz. Temel izinler.
İşletim sistemi Cihazların windows'un aşağıdaki sürümlerinden birini çalıştırıyor olması gerekir:
- Windows 11
- Windows 10 (tüm sürümler)
- Windows Server 2019 veya üzeri
- Windows Server, sürüm 1803 veya üzeri
- Windows Server 2016 ve Windows Server 2012 R2 ( yeni birleşik istemci çözümüyle)
Uç Nokta için Microsoft Defender Planı 2 Cihazların Uç Nokta için Defender'a eklenmelidir. Aşağıdaki makalelere bakın:
- Uç Nokta için Microsoft Defender için en düşük gereksinimler
- Cihazları ekleme ve Uç Nokta için Microsoft Defender özelliklerini yapılandırma
- Windows sunucularını Uç Nokta için Defender hizmetine ekleme
- Modern birleşik çözümde yeni Windows Server 2012 R2 ve 2016 işlevselliği
(Bkz . EDR, Windows Server 2016 ve Windows Server 2012 R2'de blok modunda destekleniyor mu?)
Microsoft Defender Virüsten Koruma Cihazlarda Microsoft Defender Virüsten Koruma'nın yüklü olması ve etkin modda veya pasif modda çalıştırılması gerekir. Microsoft Defender Virüsten Koruma'nın etkin veya pasif modda olduğunu onaylayın.
Bulut tabanlı koruma Microsoft Defender Virüsten Koruma , bulut tabanlı koruma etkinleştirilecek şekilde yapılandırılmalıdır.
Microsoft Defender Virüsten Koruma platformu Cihazların güncel olması gerekir. Onaylamak için PowerShell kullanarak Get-MpComputerStatus cmdlet'ini yönetici olarak çalıştırın. AMProductVersion satırında 4.18.2001.10 veya üzerini görmeniz gerekir.

Daha fazla bilgi için Microsoft Defender Virüsten Koruma güncelleştirmelerine bakın ve temelleri uygulayın.
Microsoft Defender Virüsten Koruma altyapısı Cihazların güncel olması gerekir. Onaylamak için PowerShell kullanarak Get-MpComputerStatus cmdlet'ini yönetici olarak çalıştırın. AMEngineVersion satırında 1.1.16700.2 veya üzerini görmeniz gerekir.

Daha fazla bilgi için Microsoft Defender Virüsten Koruma güncelleştirmelerine bakın ve temelleri uygulayın.

Önemli

En iyi koruma değerini elde etmek için virüsten koruma çözümünüzün düzenli güncelleştirmeleri ve temel özellikleri alacak şekilde yapılandırıldığından ve dışlamalarınızın yapılandırıldığından emin olun. Blok modundaki EDR, Microsoft Defender Virüsten Koruma için tanımlanan dışlamalara saygı gösterir, ancak Uç Nokta için Microsoft Defender için tanımlanan göstergelere dikkat etmemektedir.

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.