在適用於端點的Defender中設定進階功能

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

視您使用的 Microsoft 安全性產品而定,某些進階功能可能可供您整合適用於端點的 Defender。

啟用進階功能

  1. 使用已指派安全性系統管理員或 全域管理員 角色的帳戶登入 Microsoft Defender 全面偵測回應。

  2. 在瀏覽窗格中,選> [設定端點進階>功能]

  3. 選取您想要設定的進階功能,並切換 [ 啟] 和 [ 關閉] 之間的設定。

  4. 選取 [儲存喜好設定]

使用下列進階功能,以更妥善地防範潛在的惡意檔案,並在安全性調查期間取得更深入的見解。

即時回應

開啟這項功能,讓具有適當許可權的用戶可以在裝置上啟動即時回應會話。

如需角色指派的詳細資訊,請參閱 Create 和管理角色

伺服器的實時回應

開啟這項功能,讓具有適當許可權的用戶可以在伺服器上啟動即時回應會話。

如需角色指派的詳細資訊,請參閱 Create 和管理角色

即時回應未簽署的腳本執行

啟用此功能可讓您在即時回應會話中執行未簽署的腳本。

限制限定範圍裝置群組內的相互關聯

此設定可用於本機 SOC 作業只想將警示相互關聯限制為其可存取之裝置群組的案例。 藉由開啟此設定,由跨裝置群組的警示所組成的事件將不再被視為單一事件。 然後,本機SOC可以對事件採取動作,因為他們可以存取其中一個涉及的裝置群組。 不過,全域 SOC 會依裝置群組看到數個不同的事件,而不是一個事件。 我們不建議開啟此設定,除非這樣做超過整個組織的事件相互關聯優點。

注意事項

  • 變更此設定只會影響未來的警示相互關聯。

  • 適用於端點的Defender方案1和方案2支援裝置群組建立。

在區塊模式中啟用 EDR

在封鎖模式中 (EDR) 端點偵測和回應,可防止惡意成品,即使 Microsoft Defender 防病毒軟體以被動模式執行也一樣。 開啟時,封鎖模式中的 EDR 會封鎖在裝置上偵測到的惡意成品或行為。 封鎖模式中的EDR 可在幕後運作,以補救在入侵後偵測到的惡意構件。

自動解析補救的警示

針對在 Windows 10 版本 1809 上或之後建立的租用戶,預設會設定自動化調查和補救功能,以解決自動化分析結果狀態為「找不到威脅」或「已補救」的警示。 如果您不想自動解決警示,則必須手動關閉此功能。

提示

對於在該版本之前建立的租使用者,您必須從 [進階功能] 頁面手動開啟此 功能

注意事項

  • 自動解決動作的結果可能會影響裝置風險層級計算,這是根據在裝置上找到的作用中警示而定。
  • 如果安全性作業分析師手動將警示的狀態設定為「進行中」或「已解決」,自動解析功能將不會覆寫它。

允許或封鎖檔案

只有當您的組織符合下列需求時,才能使用封鎖:

  • 使用 Microsoft Defender 防病毒軟體作為作用中的反惡意代碼解決方案,以及
  • 已啟用雲端式保護功能

此功能可讓您封鎖網路中潛在的惡意檔案。 封鎖檔案會防止在組織中的裝置上讀取、寫入或執行檔案。

若要開啟 [允許] 或 [封鎖 檔案]:

  1. 在瀏覽窗格中,選取 [ 設定>端點>一般>進階功能>允許] 或 [封鎖檔案]

  2. [開 啟] 和 [ 關閉] 之間切換設定。

    [端點] 畫面

  3. 選取頁面底部的 [儲存 喜好設定 ]。

開啟這項功能之後,您可以透過檔案配置檔頁面上的 [新增指標] 索引標籤來封鎖檔案

隱藏可能重複的裝置記錄

藉由啟用這項功能,您可以藉由隱藏潛在的重複裝置記錄,確保您看到的裝置資訊最精確。 發生重複裝置記錄的原因有很多種,例如,適用於端點的 Microsoft Defender 中的裝置探索功能可能會掃描您的網路,並探索已上線或最近已離線的裝置。

這項功能會根據裝置的主機名和上次看見的時間來識別潛在的重複裝置。 重複的裝置將會隱藏在入口網站中的多個體驗中,例如裝置清查、Microsoft Defender 弱點管理 頁面,以及機器數據的公用 API,讓最精確的裝置記錄保持可見。 不過,重複專案仍會顯示在 全域搜尋、進階搜捕、警示和事件頁面中。

默認會開啟此設定,並套用整個租使用者。 如果您不想隱藏潛在的重複裝置記錄,則必須手動關閉此功能。

自定義網路指標

開啟這項功能可讓您建立IP位址、網域或URL的指標,以根據您的自定義指標清單來決定是否允許或封鎖這些指標。

若要使用這項功能,裝置必須執行 Windows 10 1709 版或更新版本,或 Windows 11。 它們也應該有封鎖模式的網路保護,以及反惡意代碼平臺的4.18.1906.3版或更新版本, 請參閱 KB 4052623

如需詳細資訊,請 參閱管理指標

注意事項

網路保護會利用信譽服務來處理您為適用於端點的 Defender 資料選取之位置以外的位置要求。

竄改保護

在某些類型的網路攻擊期間,不良執行者會嘗試停用計算機上的安全性功能,例如防病毒軟體保護。 不良的執行者喜歡停用您的安全性功能,以更輕鬆地存取您的數據、安裝惡意代碼,或惡意探索您的數據、身分識別和裝置。 竄改保護基本上會鎖定 Microsoft Defender 防病毒軟體,並防止透過應用程式和方法變更您的安全性設定。

如需詳細資訊,包括如何設定竄改保護,請參閱 使用竄改保護來保護安全性設定

顯示使用者詳細數據

開啟此功能,讓您可以查看儲存在 Microsoft Entra ID 中的使用者詳細數據。 詳細數據包括調查用戶帳戶實體時的用戶圖片、名稱、標題和部門資訊。 您可以在下列檢視中找到使用者帳戶資訊:

  • 警示佇列
  • 裝置詳細數據頁面

如需詳細資訊,請 參閱調查用戶帳戶

商務用 Skype 整合

啟用 商務用 Skype整合可讓您使用 商務用 Skype、電子郵件或電話與用戶通訊。 當您需要與用戶通訊並降低風險時,這項啟用會很方便。

注意事項

當裝置與網路隔離時,有一個彈出視窗可讓您選擇啟用 Outlook 和 Skype 通訊,以允許在使用者與網路中斷連線時與使用者進行通訊。 此設定適用於裝置處於隔離模式時的 Skype 和 Outlook 通訊。

Office 365 威脅情報連線

重要事項

適用於 Office 365 的 Microsoft Defender 和 適用於端點的 Microsoft Defender 之前位於不同的入口網站時,會使用此設定。 將安全性體驗聚合到現在稱為 Microsoft Defender 全面偵測回應的整合入口網站之後,這些設定就無關緊要,而且沒有任何相關聯的功能。 您可以放心地忽略控件的狀態,直到它從入口網站移除為止。

只有當您有 Office 365 E5 或威脅情報附加元件的作用中訂用帳戶時,才能使用此功能。 如需詳細資訊,請參閱 Office 365 E5 產品頁面

此功能可讓您將來自 適用於 Office 365 的 Microsoft Defender 的數據併入 Microsoft Defender 全面偵測回應,以跨 Office 365 信箱和 Windows 裝置進行全面的安全性調查。

注意事項

您必須擁有適當的授權,才能啟用此功能。

若要在 Office 365 威脅情報中接收內容相關裝置整合,您必須在安全性 & 合規性儀錶板中啟用適用於端點的 Defender 設定。 如需詳細資訊,請參閱 威脅調查和回應

端點攻擊通知

端點攻擊通知 可讓 Microsoft 主動搜捕重要威脅,以根據對端點數據的急迫性和影響來排定優先順序。

如需跨 Microsoft Defender 全面偵測回應 的完整範圍主動搜捕,包括跨越電子郵件、共同作業、身分識別、雲端應用程式和端點的威脅,請深入瞭解 Microsoft Defender 專家。

Microsoft 雲端 App 安全性

啟用此設定會將適用於端點的 Defender 訊號轉送至 Microsoft Defender for Cloud Apps,以提供更深入的雲端應用程式使用方式可見度。 轉送的數據會與適用於 Cloud Apps 的 Defender 資料儲存和處理在同一個位置。

注意事項

在執行 Enterprise Mobility + Security Windows 10 版本 1709 (操作系統組建 16299.1085 且 KB4493441) 、Windows 10 版本 1803 (操作系統組建 17134.704 KB4493464) 的裝置上,此功能將提供 E5 授權,Windows 10 版本 1809 (操作系統組建 17763.379,KB4489899) 、更新版本 Windows 10 或 Windows 11。

從 適用於身分識別的 Microsoft Defender入口網站啟用 適用於端點的 Microsoft Defender 整合

若要在 適用於身分識別的 Microsoft Defender 中接收內容相關裝置整合,您也必須在 適用於身分識別的 Microsoft Defender 入口網站中啟用此功能。

  1. 使用全域管理員或安全性系統管理員角色登入 適用於身分識別的 Microsoft Defender 入口網站

  2. Create 實例

  3. 將 [整合] 設定切換為 [ 開啟] ,然後選取 [ 儲存]

完成這兩個入口網站上的整合步驟之後,您將能夠在裝置詳細數據或使用者詳細數據頁面中看到相關警示。

Web 內容篩選

封鎖存取包含垃圾內容的網站,並追蹤所有網域的 Web 活動。 若要指定您要封鎖的 Web 內容類別,請建立 Web 內容篩選原則。 部署 適用於端點的 Microsoft Defender 安全性基準時,請確定您有封鎖模式的網路保護。

使用 Microsoft Purview 合規性入口網站 共用端點警示

將端點安全性警示及其分級狀態轉送至 Microsoft Purview 合規性入口網站,讓您使用警示增強內部風險管理原則,並在造成損害之前補救內部風險。 轉送的數據會與您的 Office 365 數據處理並儲存在相同的位置。

在測試人員風險管理設定中設定 安全策略違規指標 之後,適用於端點的 Defender 警示會與適用使用者的測試人員風險管理共用。

已驗證的遙測

您可以 開啟 已驗證的遙測,以防止在儀錶板中詐騙遙測。

Microsoft Intune 連線

適用於端點的 Defender 可以與 Microsoft Intune 整合,以啟用裝置風險型條件式存取。 當您開啟此功能時,您將能夠與 Intune 共用適用於端點的Defender裝置資訊,以強化原則強制執行。

重要事項

您必須在 Intune 和適用於端點的 Defender 上啟用整合,才能使用此功能。 如需特定步驟的詳細資訊, 請參閱在適用於端點的 Defender 中設定條件式存取

只有在您有下列必要條件時,才能使用此功能:

  • 適用於 企業行動力 + 安全性 E3 的授權租使用者,以及 Windows E5 (或 Microsoft 365 企業版 E5)
  • 使用中 Microsoft Intune 環境,Intune 管理的 Windows 裝置 Microsoft Entra 加入

條件式存取原則

當您啟用 Intune 整合時,Intune 會自動建立傳統條件式存取 (CA) 原則。 此傳統 CA 原則是將狀態報告設定為 Intune 的必要條件。 不應該刪除它。

注意事項

Intune 所建立的傳統 CA 原則與用於設定端點的新式條件式存取原則不同。

裝置探索

可協助尋找連接到公司網路的非受控裝置,而不需要額外的設備或麻煩的流程變更。 您可以使用上線的裝置在網路中尋找非受控裝置,並評估弱點和風險。 如需詳細資訊,請參閱 裝置探索

注意事項

您隨時可以套用篩選從裝置庫存清單中排除非受控裝置。 您還可以在 API 査詢上使用上線狀態欄位來篩選出非受控裝置。

預覽功能

瞭解適用於端點的 Defender 預覽版本中的新功能。 開啟預覽體驗來試用即將推出的功能。

您將可存取即將推出的功能,您可以在功能正式推出之前提供意見反應,以協助改善整體體驗。

下載隔離的檔案

在安全且符合規範的位置備份隔離的檔案,以便直接從隔離區下載。 [ 下載檔案] 按鈕一律可在檔案頁面中使用。 默認會開啟此設定。 深入瞭解需求

在裝置上線 (預覽) 期間簡化連線

此設定會將適用作業系統的預設上線套件設定為「簡化」。

您仍然可以選擇在上線頁面內使用標準上線套件,但您必須在下拉式清單中特別選取它。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。