適用於端點的 Microsoft Defender 方案 1 概觀

適用於

適用於端點的 Microsoft Defender 是一個企業端點安全性平臺,其設計目的是協助像您的組織一樣防止、偵測、調查及回應進階威脅。 我們很高興地宣佈適用於端點的Defender現已在兩個方案中提供:

下圖中的綠色方塊描述適用於端點的Defender方案1中包含的內容:

顯示適用於端點的Defender方案1所包含內容的圖表

使用本指南來:

適用於端點的Defender方案1功能

適用於端點的 Defender 方案 1 包含下列功能:

  • 新一代保護 ,包括領先業界、強大的反惡意代碼軟體和防病毒軟體保護
  • 手動回應動作,例如將檔案傳送至隔離區,安全性小組可以在偵測到威脅時對裝置或檔案採取這些動作
  • 強化裝置、防止零時差攻擊,並提供對端點存取和行為的細微控制受攻擊面縮小功能
  • 使用 Microsoft Defender 入口網站進行集中式設定和管理,並與 Microsoft Intune 整合
  • 保護各種平臺,包括 Windows、macOS、iOS 和 Android 裝置

下列各節提供這些功能的更多詳細數據。

新一代保護

新一代保護包括強固的防病毒軟體和反惡意代碼防護。 透過新一代保護,您可以取得:

  • 行為型、啟發學習法和即時防病毒軟體保護
  • 雲端式保護,包括近乎即時的偵測和封鎖新的和新興威脅
  • 專用保護和產品更新,包括與 Microsoft Defender 防病毒軟體相關的更新

若要深入瞭解,請參閱 新一代保護概觀

手動回應動作

手動回應動作是安全性小組在端點或檔案中偵測到威脅時可採取的動作。 適用於端點的 Defender 包含特定 的手動回應動作,可以在 偵測到可能遭入侵或具有可疑內容的裝置上採取。 您也可以對偵測到為威脅的 檔案執行回應動作 。 下表摘要說明適用於端點的Defender方案1中可用的手動回應動作。

檔案/裝置 動作 描述
裝置 執行防毒掃描 啟動防病毒軟體掃描。 如果在裝置上偵測到任何威脅,這些威脅通常會在防病毒軟體掃描期間解決。
裝置 隔離裝置 中斷裝置與組織網路的連線,同時維持適用於端點的 Defender 連線能力。 此動作可讓您監視裝置,並視需要採取進一步的動作。
檔案 新增指示器以封鎖或允許檔案 封鎖指標可防止在裝置上讀取、寫入或執行可攜式可執行檔。

允許指標防止檔案遭到封鎖或補救。

若要深入了解,請參閱下列文章:

受攻擊面縮小

貴組織的受攻擊面是您容易遭受網路攻擊的所有位置。 使用適用於端點的 Defender 方案 1,您可以保護組織所使用的裝置和應用程式,以減少受攻擊面。 適用於端點的 Defender 方案 1 中包含的攻擊面縮小功能會在下列各節中說明。

若要深入瞭解適用於端點的Defender中的受攻擊面縮小功能,請參閱 受攻擊面縮小概觀

受攻擊面縮小規則

受攻擊面縮小規則會以某些被視為有風險的軟體行為為目標。 這類行為包括:

  • 啟動嘗試下載或執行其他檔案的可執行檔和腳本
  • 執行模糊化或其他可疑的指令碼
  • 在正常工作期間,應用程式通常不會起始的起始行為

合法的商務應用程式可以展現這類軟體行為;不過,這些行為通常會被視為有風險,因為攻擊者通常會透過惡意代碼濫用這些行為。 受攻擊面縮小規則可以限制有風險的行為,並協助保護貴組織的安全。

若要深入瞭解,請 參閱使用受攻擊面縮小規則來防止惡意代碼感染

勒索軟體防護功能

透過受控制的資料夾存取權,您可以獲得勒索軟體防護功能。 受控資料夾存取權只允許受信任的應用程式存取端點上受保護的資料夾。 應用程式會根據其普遍性和信譽,新增至受信任的應用程式清單。 您的安全性作業小組也可以從信任的應用程式清單中新增或移除應用程式。

若要深入瞭解,請參閱 使用受控資料夾存取權保護重要資料夾

裝置控制件

有時候,對貴組織裝置的威脅會以卸載式磁碟驅動器上的檔案形式出現,例如USB磁碟驅動器。 適用於端點的 Defender 包含的功能可協助防止未經授權的外圍設備威脅危害您的裝置。 您可以設定適用於端點的 Defender 封鎖或允許卸載式裝置和卸載式裝置上的檔案。

若要深入瞭解,請 參閱控制USB裝置和抽取式媒體

Web 保護

透過 Web 保護,您可以保護組織的裝置免於遭受 Web 威脅和垃圾內容。 Web 保護包括 Web 威脅防護和 Web 內容篩選。

  • Web 威脅防護 可防止存取網路釣魚網站、惡意代碼媒介、惡意探索網站、不受信任或低信譽的網站,以及您明確封鎖的網站。
  • Web 內容篩選 可防止根據特定網站的類別存取這些網站。 類別可以包括成人內容、遊樂網站、法律責任網站等等。

若要深入瞭解,請參閱 Web 保護

網路保護

透過網路保護,您可以防止組織存取可能在因特網上裝載網路釣魚詐騙、惡意探索和其他惡意內容的危險的網域。

若要深入瞭解,請 參閱保護您的網路

網路防火牆

透過網路防火牆保護,您可以設定規則來決定允許哪些網路流量流入或流出組織的裝置。 使用適用於端點的 Defender 取得的網路防火牆和進階安全性,您可以.

  • 降低網路安全性威脅的風險
  • 保護敏感數據和智慧財產權
  • 擴充您的安全性投資

若要深入瞭解,請參閱 Windows Defender 具有進階安全性的防火牆

應用程式控制

應用程控只會在系統核心 (核心) 中執行信任的應用程式和程序代碼,以保護您的 Windows 端點。 您的安全性小組可以定義應用程控規則,以考慮應用程式的屬性,例如其程式代碼簽署憑證、信譽、啟動程式等等。 應用程控可在 Windows 10 或更新版本中使用。

若要深入瞭解,請參閱 適用於 Windows 的應用程控

集中式管理

適用於端點的 Defender 方案 1 包含 Microsoft Defender 入口網站,可讓您的安全性小組檢視目前偵測到的威脅資訊、採取適當的動作來降低威脅,以及集中管理組織的威脅防護設定。

若要深入瞭解,請參閱 Microsoft Defender 入口網站概觀

角色型存取控制

使用角色型訪問控制 (RBAC) ,您的安全性系統管理員可以建立角色和群組,以授與 Microsoft Defender 入口網站 () https://security.microsoft.com 的適當存取權。 使用 RBAC,您可以更精細地控制誰可以存取適用於雲端的 Defender,以及他們可以看到和執行的動作。

若要深入瞭解,請 參閱使用角色型訪問控制管理入口網站存取

報告

Microsoft Defender 入口網站 (https://security.microsoft.com) 可讓您輕鬆存取有關偵測到的威脅和動作的資訊,以解決這些威脅。

  • 頁包含一些卡片,可顯示哪些使用者或裝置有風險、偵測到多少威脅,以及已建立哪些警示/事件。
  • [ 事件 & 警示] 區段會列出因觸發的警示而建立的任何事件。 警示和事件會隨著跨裝置偵測到威脅而產生。
  • 控制 中心 會列出已採取的補救動作。 例如,如果檔案傳送至隔離區,或封鎖 URL,每個動作都會列在 [歷程記錄] 索引標籤的 [控制中心 ] 中。
  • [ 報告] 區段包含顯示偵測到的威脅及其狀態的報告。

若要深入瞭解,請參閱開始使用 適用於端點的 Microsoft Defender 方案 1

API

使用適用於端點的 Defender API,您可以將工作流程自動化,並與組織的自定義解決方案整合。

若要深入瞭解,請參閱 適用於端點的 Defender API

跨平台支援

大部分的組織都會使用各種裝置和操作系統。 適用於端點的 Defender 方案 1 支援下列作業系統:

  • Windows 10和 11
  • 專業版或企業版) 需要 Windows 7 (ESU
  • Windows 8.1 專業版、企業版和專業教育版
  • macOS (支援三個最新版本)
  • iOS
  • Android OS

伺服器需要額外的授權,例如:

請參閱 Microsoft 授權和產品條款

後續步驟

提示

想要深入了解? 在我們的技術社群中與 Microsoft 安全性社群互動:適用於端點的 Microsoft Defender 技術社群。