阻止模式下的终结点检测和响应
适用于:
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender 防病毒
平台
- Windows
希望体验 Defender for Endpoint? 注册免费试用版。
本文介绍块模式下的 EDR,这有助于保护运行非Microsoft防病毒解决方案的设备, (Microsoft Defender 防病毒处于被动模式) 。
什么是块模式下的 EDR?
当Microsoft Defender 防病毒不是主要防病毒产品且在被动模式下运行时, (EDR) 的终结点检测和响应可提供额外的保护,防止恶意项目。 在阻止模式下的 EDR 在 Defender for Endpoint 计划 2 中可用。
重要
当Microsoft Defender 防病毒实时保护处于被动模式时,块模式下的 EDR 无法提供所有可用的保护。 依赖于 Microsoft Defender 防病毒作为活动防病毒解决方案的某些功能将不起作用,例如以下示例:
- 当Microsoft Defender 防病毒处于被动模式时,实时保护(包括按访问扫描)和计划扫描不可用。 若要详细了解实时保护策略设置,请参阅 启用和配置 Microsoft Defender 防病毒始终启用保护。
- 网络保护和攻击面减少规则和指示器 (文件哈希、IP 地址、URL 和证书) 仅在 Microsoft Defender 防病毒在活动模式下运行时可用。 非Microsoft防病毒解决方案应包括这些功能。
块模式下的 EDR 在后台工作,以修正 EDR 功能检测到的恶意项目。 主要非Microsoft防病毒产品可能错过了此类项目。 块模式下的 EDR 允许Microsoft Defender 防病毒对入侵后的行为 EDR 检测执行操作。
块模式下的 EDR 与 威胁 & 漏洞管理功能 集成。 如果尚未启用 EDR,则组织的安全团队会获得 安全建议 ,以在阻止模式下启用 EDR。
提示
若要获得最佳保护,请确保 部署 Microsoft Defender for Endpoint 基线。
观看此视频,了解为何以及如何在阻止模式下启用终结点检测和响应 (EDR) ,在从入侵前到违规后的每个阶段启用行为阻止和遏制。
检测到某些内容时会发生什么情况?
当处于阻止模式的 EDR 处于打开状态时,检测到恶意项目时,Defender for Endpoint 会修正该项目。 安全运营团队在操作中心看到检测状态为“已阻止”或“已阻止”,并列为已完成的操作。 下图显示了在块模式下通过 EDR 检测到并修正的不需要的软件的实例:
在块模式下启用 EDR
重要
- 在块模式下打开 EDR 之前,请确保满足 要求 。
- Defender for Endpoint 计划 2 许可证是必需的。
- 从 平台版本 4.18.2202.X 开始,可以使用 Intune CSP 在块模式下将 EDR 设置为面向特定设备组。 可以在 Microsoft Defender 门户中继续在租户范围内以阻止模式设置 EDR。
- 对于在被动模式下运行 Microsoft Defender 防病毒的设备, (设备) 上安装并处于活动状态的非Microsoft防病毒解决方案,则主要建议将 EDR 设置为块模式。
Microsoft Defender 门户
转到 Microsoft Defender 门户 (https://security.microsoft.com/) 并登录。
选择 “设置>终结点>常规>高级功能”。
向下滚动,然后打开“ 在块模式下启用 EDR”。
Intune
若要在 Intune 中创建自定义策略,请参阅 通过 Intune 部署 OMA-URIs 以将 CSP 作为目标,以及与本地的比较。
有关在块模式下用于 EDR 的 Defender CSP 的详细信息,请参阅 Defender CSP 下的“配置/PassiveRemediation”。
块模式下 EDR 的要求
下表列出了块模式下 EDR 的要求:
| 要求 | 详细信息 |
|---|---|
| 权限 | 必须在 Entra ID Microsoft分配全局管理员或安全管理员角色。 有关详细信息,请参阅 基本权限。 |
| 操作系统 | 设备必须运行以下 Windows 版本之一: - Windows 11 - Windows 10 (所有版本) - Windows Server 2019 或更高版本 - Windows Server 版本 1803 或更高版本 - Windows Server 2016 和 Windows Server 2012 R2 (新的 统一客户端解决方案) |
| Microsoft Defender for Endpoint 计划 2 | 设备必须载入到 Defender for Endpoint。 另请参阅以下文章: - Microsoft Defender for Endpoint 的最低要求 - 载入设备并配置 Microsoft Defender for Endpoint 功能 - 将 Windows 服务器载入 Defender for Endpoint 服务 - 新式统一解决方案中的新 Windows Server 2012 R2 和 2016 功能 (请参阅 Windows Server 2016 和 Windows Server 2012 R2 是否支持块模式下的 EDR?) |
| Microsoft Defender 防病毒 | 设备必须安装Microsoft Defender 防病毒并在主动模式或被动模式下运行。 确认 defender 防病毒Microsoft处于主动或被动模式。 |
| 云端保护 | Microsoft必须配置 Defender 防病毒,以便 启用云提供的保护。 |
| Microsoft Defender 防病毒平台 | 设备必须是最新的。 若要确认,请使用 PowerShell,请以管理员身份运行 Get-MpComputerStatus cmdlet。 在 AMProductVersion 行中,应会看到 4.18.2001.10 或更高版本。 要了解详细信息,请参阅 管理 Microsoft Defender 防病毒更新和应用基线。 |
| Microsoft Defender 防病毒引擎 | 设备必须是最新的。 若要确认,请使用 PowerShell,请以管理员身份运行 Get-MpComputerStatus cmdlet。 在 AMEngineVersion 行中,应会看到 1.1.16700.2 或更高版本。 要了解详细信息,请参阅 管理 Microsoft Defender 防病毒更新和应用基线。 |
重要
若要获得最佳保护价值,请确保防病毒解决方案配置为接收定期更新和基本功能,并且 已配置排除项。 块模式下的 EDR 遵循为 Microsoft Defender 防病毒定义的排除项,但不包括为 Microsoft Defender for Endpoint 定义的 指示器 。
Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
另请参阅
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈