適用於端點的 Microsoft Defender 是一款企業端點安全平台,旨在協助組織預防、偵測、調查及回應進階威脅。 Defender for Endpoint 現已提供兩種方案:
- Defender for Endpoint Plan 1,本文中描述;以及
- Defender for Endpoint Plan 2,已正式推出,前稱 Defender for Endpoint。
下圖中的綠色方框顯示 Defender for Endpoint Plan 1 所包含的內容:
利用本指南:
- 了解 Defender for Endpoint Plan 1 包含的內容
- 學習如何設定與設定端點計畫 1 的 Defender
- 立即使用 Microsoft Defender 入口網站,您可以查看事件與警示、管理裝置,並使用偵測到威脅的報告
- 了解維護與營運的概況
關於 適用於端點的 Microsoft Defender 的最低需求,請參見 適用於端點的 Microsoft Defender 需求。
Defender for Endpoint Plan 1 的功能
Defender for Endpoint Plan 1 包含以下功能:
- 下一代防護,包含業界領先且強大的防惡意軟體與防毒軟體防護
- 手動回應行動,例如將檔案送入隔離區,當偵測到威脅時,資安團隊可採取措施
- 攻擊面減少能力 ,強化裝置、防止零時日攻擊,並提供對端點存取與行為的細緻控制
- 與 Microsoft Defender 入口網站集中配置與管理,並整合 Microsoft Intune
以下章節將提供更多關於這些能力的細節。
新一代保護
次世代防護包括強大的防毒與反惡意軟體防護。 有了次世代防護,你將獲得:
- 基於行為的啟發式及即時防毒防護
- 雲端提供保護,包括近乎即時偵測與阻擋新興威脅
- 專門的保護與產品更新,包括與 Microsoft Defender 防毒軟體相關的更新
欲了解更多,請參閱 次世代保護概述。
手動回應動作
手動回應行動是指當端點或檔案偵測到威脅時,資安團隊可以採取的行動。 Defender for Endpoint 包含對偵測到潛在入侵或含有可疑內容的 裝置可採取的特定手動回應行動 。 你也可以對被偵測到為威脅 的檔案執行回應動作 。 下表總結了 Defender for Endpoint Plan 1 中可用的手動回應動作。
| 檔案/裝置 | 動作 | 描述 |
|---|---|---|
| 裝置 | 執行防毒掃描 | 開始防毒掃描。 若偵測到任何威脅,通常會在防毒掃描中加以處理。 |
| 裝置 | 隔離裝置 | 將裝置從組織網路中斷開,同時保留與 Defender for Endpoint 的連線。 此操作讓您能監控裝置,並在必要時採取進一步行動。 |
| 檔案 | 新增一個指示器來阻擋或允許檔案 | 區塊指示器防止可攜式可執行檔案在裝置上被讀取、寫入或執行。 允許指示器防止檔案被封鎖或修復。 |
若要深入了解,請參閱下列文章:
受攻擊面縮小
你組織的攻擊面是你所有容易受到網路攻擊的弱點。 透過Defender for Endpoint Plan 1,您可以透過保護組織使用的裝置與應用程式來減少攻擊面。 Defender for Endpoint Plan 1 中包含的攻擊面縮小功能,將在以下章節說明。
欲了解更多關於Defender for Endpoint攻擊面減少能力,請參閱攻擊 面縮減概述。
受攻擊面縮小規則
攻擊面減少 (ASR) 規則針對風險較高的軟體行為,因為攻擊者使用的軟體表現類似。
欲了解更多,請參閱 攻擊面減少 (ASR) 規則概述。
勒索軟體防治
透過受控的資料夾存取,你就能減輕勒索軟體的防範。 受控資料夾存取只允許受信任的應用程式存取你端點上的受保護資料夾。 應用程式會根據其普及率和聲譽被加入受信任的應用程式清單。 你的資安營運團隊也可以從可信應用程式清單中新增或移除應用程式。
欲了解更多,請參閱 「保護具有受控資料夾存取權的重要資料夾」。
裝置控制
有時對組織裝置的威脅會以可移動磁碟上的檔案形式出現,例如USB隨身碟。 Defender for Endpoint 具備防止未經授權周邊設備威脅入侵裝置的功能。 你可以設定 Defender for Endpoint 在可移除裝置上封鎖或允許移除裝置和檔案。
欲了解更多,請參閱 控制USB裝置與可拆卸媒體。
Web 保護
透過網路保護,您可以保護組織的裝置免受網路威脅和不受歡迎的內容。 網路防護包括網路威脅防護與內容過濾。
- 網路威脅防護 能阻止網路釣魚網站、惡意軟體傳播途徑、利用網站、不信任或低聲譽網站,以及你明確封鎖的網站。
- 網頁內容過濾 會根據網站類別阻止存取特定網站。 分類可能包括成人內容、休閒網站、法律責任網站等。
欲了解更多,請參閱 網路保護。
網路保護
透過網路保護,您可以防止組織存取可能承載釣魚詐騙、漏洞利用及其他惡意內容的危險網域。
欲了解更多,請參閱 「保護您的網絡」。
網路防火牆
透過網路防火牆保護,你可以設定規則,決定哪些網路流量可以流向或流出你組織的裝置。 憑藉 Defender for Endpoint 所提供的網路防火牆與先進安全性,你可以:
- 降低網路安全威脅的風險
- 保護敏感資料與智慧財產權
- 延長您的安全投資
欲了解更多,請參閱 Windows Defender 防火牆與進階安全性。
應用程式控制
應用程式控制透過只在系統核心 (核心) 中執行受信任的應用程式和程式碼來保護你的 Windows 端點。 您的資安團隊可以定義應用程式控制規則,考量應用程式的屬性,例如共同設計憑證、聲譽、啟動流程等。 應用程式控制可在 Windows 10 或更新版本中提供。
欲了解更多,請參閱 Windows 應用程式控制。
集中式管理
Defender for Endpoint Plan 1 包含 Microsoft Defender 入口網站,讓您的資安團隊能查看偵測到的威脅最新資訊,採取適當措施以減輕威脅,並集中管理組織的威脅防護設定。
欲了解更多,請參閱 Microsoft Defender 入口網站概覽。
角色型存取控制
利用基於角色 (RBAC) ,您的安全管理員可以建立角色與群組,授權適當存取Microsoft Defender入口網站 (https://security.microsoft.com) 。 有了 RBAC,你可以細緻控制誰能存取雲端 Defender 以及他們能看到和做什麼。
欲了解更多,請參閱 使用角色基礎存取控制管理入口網站存取。
重要事項
自 2025 年 2 月 16 日起,新適用於端點的 Microsoft Defender客戶將只能使用 Unified Role-Based 存取控制 (URBAC) 。 現有客戶保留現有角色與權限。 欲了解更多資訊,請參閱URBAC統一 Role-Based 存取控制 (URBAC) 適用於端點的 Microsoft Defender
報告
Microsoft Defender入口網站 (https://security.microsoft.com) 提供輕鬆取得偵測到威脅及應對行動的資訊。
- 首頁包含卡片,一目了然地顯示哪些使用者或裝置處於風險中、偵測到多少威脅,以及產生了哪些警示/事件。
- 事件 & 警示 區會列出因觸發警報而產生的任何事件。 警報與事件會在各裝置間偵測威脅時產生。
- 行動中心列出已採取的整治措施。 例如,如果檔案被送入隔離區,或某個網址被封鎖,每個動作都會列在 歷史標籤 的行動中心。
- 報告區包含顯示偵測到威脅及其狀態的報告。
欲了解更多,請參閱「開始使用適用於端點的 Microsoft Defender Plan 1」。
API
透過 Defender for Endpoint API,您可以自動化工作流程並與組織的客製化解決方案整合。
欲了解更多,請參閱 Defender for Endpoint APIS。