Konfigurace pokročilých funkcí v Defenderu pro koncový bod

Platí pro:

Chcete si prožít Defender for Endpoint? Zaregistrujte si bezplatnou zkušební verzi.

V závislosti na tom, které produkty zabezpečení Microsoftu používáte, můžou být k dispozici některé pokročilé funkce, se kterými můžete integrovat Defender for Endpoint.

Povolení pokročilých funkcí

  1. V navigačním podokně vyberte Nastavení > Rozšířené funkce koncových > bodů.
  2. Vyberte pokročilou funkci, kterou chcete nakonfigurovat, a přepněte nastavení mezi zapnutou a vypnutou.
  3. Klikněte na Uložit předvolby.

Pomocí následujících pokročilých funkcí získáte lepší ochranu před potenciálně škodlivými soubory a získáte lepší přehled během vyšetřování zabezpečení.

Automatizované šetření

Zapněte tuto funkci, abyste mohli využívat funkce automatizovaného vyšetřování a nápravy služby. Další informace najdete v tématu Automatizované šetření.

Živá odpověď

Poznámka

Živá odpověď vyžaduje, aby bylo zapnuté automatizované šetření, abyste ji mohli povolit v části s rozšířenými nastaveními na portálu Microsoft Defender for Endpoint.

Tuto funkci zapněte, aby uživatelé s příslušnými oprávněními mohli na zařízeních zahájit živou relaci odpovědí.

Další informace o přiřazení rolí najdete v tématu Vytvoření a správa rolí.

Živá odpověď pro servery

Tuto funkci zapněte, aby uživatelé s příslušnými oprávněními mohli spustit živou relaci odpovědí na serverech.

Další informace o přiřazení rolí najdete v tématu Vytvoření a správa rolí.

Spuštění skriptu bez znaménka živé odpovědi

Povolení této funkce umožňuje spouštět nepodepsané skripty v relaci živé odpovědi.

Vždy napravte PUA.

Potenciálně nežádoucí aplikace (PUA) jsou kategorie softwaru, která může způsobit pomalé spouštění počítače, zobrazování neočekávaných reklam nebo v nejhorším případě instalaci jiného softwaru, který může být neočekávaný nebo nežádoucí.

Tuto funkci zapněte, aby se potenciálně nežádoucí aplikace (PUA) opravili na všech zařízeních ve vašem tenantovi, i když na zařízeních není nakonfigurovaná ochrana PUA. Tato aktivace této funkce pomáhá chránit uživatele před neúmyslnou instalací nežádoucích aplikací na jejich zařízení. Po vypnutí je náprava závislá na konfiguraci zařízení.

Omezení korelace v rámci vymezených skupin zařízení

Tuto konfiguraci je možné použít ve scénářích, kdy místní operace SOC chtějí omezit korelace výstrah pouze na skupiny zařízení, ke kterým mají přístup. Zapnutím tohoto nastavení se incident složený z upozornění, že skupiny mezi zařízeními už nebudou považovány za jeden incident. Místní SOC pak může s incidentem provést akci, protože má přístup k jedné ze zahrnutých skupin zařízení. Globální SOC ale místo jednoho incidentu uvidí několik různých incidentů podle skupiny zařízení. Toto nastavení nedoporučujeme zapnout, pokud to nepřeváží výhody korelace incidentů v celé organizaci.

Poznámka

Změna tohoto nastavení má vliv pouze na budoucí korelace výstrah.

Povolení EDR v režimu bloku

Detekce a odezva koncových bodů (EDR) v režimu blokování poskytuje ochranu před škodlivými artefakty, i když Antivirová ochrana v programu Microsoft Defender běží v pasivním režimu. Když je zapnutá, EDR v blokovaném režimu blokuje škodlivé artefakty nebo chování zjištěné na zařízení. EDR v režimu bloku funguje na pozadí a napravuje škodlivé artefakty, které se detekují po porušení zabezpečení.

Automatické odstranění nápravných upozornění

U tenantů vytvořených v Windows 10 verze 1809 nebo po Windows 10 verze 1809 je funkce automatizovaného šetření a nápravy ve výchozím nastavení nakonfigurovaná tak, aby vyřešovala výstrahy, u kterých je stav výsledku automatizované analýzy "Nenašly se žádné hrozby" nebo "Napraveno". Pokud nechcete, aby se upozornění automaticky vyřešila, budete muset tuto funkci ručně vypnout.

Tip

U tenantů vytvořených před touto verzí budete muset tuto funkci ručně zapnout na stránce Pokročilé funkce .

Poznámka

  • Výsledek akce automatického řešení může ovlivnit výpočet úrovně rizika zařízení založený na aktivních výstrahách nalezených na zařízení.
  • Pokud analytik operací zabezpečení ručně nastaví stav výstrahy na Probíhající nebo Vyřešeno, funkce automatického řešení ji nepřepíše.

Povolit nebo blokovat soubor

Blokování je dostupné jenom v případě, že vaše organizace splňuje tyto požadavky:

  • Používá Antivirová ochrana v programu Microsoft Defender jako aktivní antimalwarové řešení a
  • Funkce cloudové ochrany je povolená.

Tato funkce umožňuje blokovat potenciálně škodlivé soubory ve vaší síti. Blokování souboru zabrání jeho čtení, zápisu nebo spuštění na zařízeních ve vaší organizaci.

Zapnutí nebo blokování souborů:

  1. V navigačním podokně vyberte Nastavení > Koncové body > Obecné > rozšířené funkce > Povolit nebo blokovat soubor.

  2. Přepněte nastavení mezi zapnutou a vypnutou funkcí.

    Obrazovka Koncové body

  3. V dolní části stránky vyberte Uložit předvolby .

Po zapnutí této funkce můžete blokovat soubory prostřednictvím karty Přidat indikátor na stránce profilu souboru.

Vlastní síťové indikátory

Zapnutí této funkce umožňuje vytvářet indikátory pro IP adresy, domény nebo adresy URL, které určují, jestli budou povolené nebo blokované na základě vašeho vlastního seznamu indikátorů.

Pokud chcete tuto funkci používat, zařízení musí být spuštěná Windows 10 verze 1709 nebo novější nebo Windows 11. Měly by mít také ochranu sítě v režimu blokování a verzi 4.18.1906.3 nebo novější antimalwarové platformy viz kb 4052623.

Další informace najdete v tématu Správa indikátorů.

Poznámka

Ochrana sítě využívá služby reputace, které zpracovávají žádosti v umístěních, která můžou být mimo umístění, které jste vybrali pro data defenderu pro koncové body.

Ochrana před neoprávněnou manipulací

Během některých druhů kybernetických útoků se špatní aktéři snaží na vašich počítačích zakázat funkce zabezpečení, jako je antivirová ochrana. Bad actors like to disable your security features to get easier access to your data, to install malware, or to otherwise exploit your data, identity, and devices.

Ochrana proti manipulaci v podstatě zamkne Antivirová ochrana v programu Microsoft Defender a zabraňuje tomu, aby se nastavení zabezpečení měnilo prostřednictvím aplikací a metod.

Tato funkce je dostupná, pokud vaše organizace používá Antivirová ochrana v programu Microsoft Defender a je povolená cloudová ochrana. Další informace najdete v tématu Použití technologií nové generace v Antivirová ochrana v programu Microsoft Defender prostřednictvím cloudové ochrany.

Zapněte ochranu proti manipulaci, abyste zabránili nežádoucím změnám vašeho řešení zabezpečení a jeho základních funkcí.

Zobrazit podrobnosti o uživateli

Zapněte tuto funkci, abyste viděli podrobnosti o uživatelích uložené v Azure Active Directory. Podrobnosti zahrnují obrázek uživatele, jméno, název a informace o oddělení při zkoumání entit uživatelského účtu. Informace o uživatelském účtu najdete v následujících zobrazeních:

  • Řídicí panel operací zabezpečení
  • Fronta upozornění
  • Stránka s podrobnostmi o zařízení

Další informace najdete v tématu Zkoumání uživatelského účtu.

integrace Skype pro firmy

Povolení integrace Skype pro firmy umožňuje komunikovat s uživateli pomocí Skype pro firmy, e-mailu nebo telefonu. Tato aktivace může být po ruce, když potřebujete komunikovat s uživatelem a zmírnit rizika.

Poznámka

Když je zařízení izolované od sítě, můžete povolit Outlook a Skype komunikaci, která umožňuje komunikaci s uživatelem, když jsou odpojené od sítě. Toto nastavení platí pro Skype a Outlook komunikaci, pokud jsou zařízení v režimu izolace.

integrace Microsoft Defender for Identity

Integrace s Microsoft Defender for Identity umožňuje překlopit přímo do jiného produktu zabezpečení Microsoft Identity. Microsoft Defender for Identity rozšíření vyšetřování o další přehledy o podezřelém napadeném účtu a souvisejících prostředcích. Povolením této funkce obohatíte možnosti šetření na základě zařízení tím, že se z hlediska identifikace otočíte v síti.

Poznámka

Abyste tuto funkci povolili, musíte mít příslušnou licenci.

Office 365 připojení analýzy hrozeb

Tato funkce je dostupná jenom v případě, že máte aktivní Office 365 E5 nebo doplněk Analýza hrozeb. Další informace najdete na stránce produktu Office 365 Enterprise E5.

Když tuto funkci zapnete, budete moct začlenit data z Microsoft Defender pro Office 365 do Microsoft 365 Defender, abyste provedli komplexní šetření zabezpečení napříč Office 365 poštovními schránkami a Windows zařízeními.

Poznámka

Abyste tuto funkci povolili, musíte mít příslušnou licenci.

Pokud chcete získat integraci kontextového zařízení do Office 365 Threat Intelligence, budete muset na řídicím panelu Zabezpečení & dodržování předpisů povolit nastavení Defenderu pro koncový bod. Další informace najdete v tématu Vyšetřování hrozeb a reakce.

Microsoft Threat Experts – Oznámení cíleného útoku

Ze dvou komponent Microsoft Threat Expert je oznámení o cílených útocích obecně dostupné. Funkce expertů na vyžádání je stále ve verzi Preview. Funkce odborníků na vyžádání můžete používat jenom v případě, že jste požádali o verzi Preview a vaše aplikace byla schválena. Cílená oznámení o útoku můžete dostávat z Microsoft Threat Experts prostřednictvím řídicího panelu upozornění na portálu Defender for Endpoint a e-mailem, pokud ho nakonfigurujete.

Poznámka

Funkce Microsoft Threat Experts v defenderu for Endpoint je k dispozici s licencí E5 pro Enterprise Mobility + Security.

Microsoft Defender for Cloud Apps

Povolením tohoto nastavení přesměruje signály Defenderu pro koncové body, aby Microsoft Defender for Cloud Apps, aby poskytovaly hlubší přehled o využití cloudových aplikací. Přeposlaná data se ukládají a zpracovávala ve stejném umístění jako data Defender for Cloud Apps.

Poznámka

Tato funkce bude k dispozici s licencí E5 pro Enterprise Mobility + Security na zařízeních se systémem Windows 10 verze 1709 (build operačního systému 16299.1085 s aktualizací KB4493441), Windows 10 verze 1803 (build operačního systému 17134.704 s aktualizací KB4493464), Windows 10 verze 1809 (build operačního systému 17763.379 s aktualizací KB4489899), novější Windows 10 verze nebo Windows 11.

Povolení integrace Microsoft Defender for Endpoint z portálu Microsoft Defender for Identity

Pokud chcete v Microsoft Defender for Identity přijímat integraci s kontextovým zařízením, musíte tuto funkci povolit také na portálu Microsoft Defender for Identity.

  1. Přihlaste se k portálu Microsoft Defender for Identity s rolí globálního správce nebo správce zabezpečení.

  2. Klikněte na Vytvořit instanci.

  3. Přepněte nastavení integrace na Zapnuto a klikněte na Uložit.

Po dokončení kroků integrace na obou portálech budete moct zobrazit relevantní upozornění na stránce podrobností o zařízení nebo na stránce s podrobnostmi o uživateli.

Filtrování webového obsahu

Zablokujte přístup k webům, které obsahují nežádoucí obsah, a sledujte webovou aktivitu napříč všemi doménami. Pokud chcete zadat kategorie webového obsahu, které chcete blokovat, vytvořte zásadu filtrování webového obsahu. Při nasazování standardních hodnot zabezpečení Microsoft Defender for Endpoint se ujistěte, že máte ochranu sítě v režimu blokování.

Sdílení upozornění koncového bodu pomocí portálu dodržování předpisů Microsoft Purview

Přeposílá výstrahy zabezpečení koncových bodů a jejich stav třídění na portál dodržování předpisů Microsoft Purview, což vám umožní vylepšovat zásady správy insiderských rizik upozorněními a napravit vnitřní rizika dříve, než způsobí škodu. Přeposlaná data se zpracovávala a ukládají ve stejném umístění jako data Office 365.

Po konfiguraci indikátorů porušení zásad zabezpečení v nastavení správy insiderových rizik se výstrahy Defenderu pro koncové body budou sdílet se správou insiderových rizik pro příslušné uživatele.

připojení Microsoft Intune

Defender for Endpoint je možné integrovat s Microsoft Intune a povolit podmíněný přístup na základě rizika zařízení. Když tuto funkci zapnete, budete moct sdílet informace o zařízení Defenderu pro koncové body s Intune a vylepšovat vynucování zásad.

Důležité

Abyste mohli tuto funkci používat, budete muset povolit integraci do Intune i Defenderu pro koncový bod. Další informace o konkrétních krocích najdete v tématu Konfigurace podmíněného přístupu v programu Defender for Endpoint.

Tato funkce je dostupná jenom v případě, že máte následující požadavky:

  • Licencovaný tenant pro Enterprise Mobility + Security E3 a Windows E5 (nebo Microsoft 365 Enterprise E5)
  • Aktivní Microsoft Intune prostředí s Intune spravovanými Windows zařízeními připojenými k Azure AD.

Zásady podmíněného přístupu

Když povolíte integraci Intune, Intune automaticky vytvoří klasickou zásadu podmíněného přístupu (CA). Tato klasická zásada certifikační autority je předpokladem pro nastavení zpráv o stavu pro Intune. Nemělo by se odstraňovat.

Poznámka

Klasické zásady podmíněného přístupu vytvořené Intune se liší od moderních zásad podmíněného přístupu, které se používají ke konfiguraci koncových bodů.

Zjišťování zařízení

Pomáhá najít nespravovaná zařízení připojená k podnikové síti bez nutnosti dalších zařízení nebo náročných změn procesů. Pomocí nasazených zařízení můžete najít nespravovaná zařízení ve vaší síti a vyhodnotit ohrožení zabezpečení a rizika. Další informace najdete v tématu Zjišťování zařízení.

Poznámka

Filtry můžete vždy použít k vyloučení nespravovaných zařízení ze seznamu inventáře zařízení. Můžete také použít sloupec stavu onboardingu v dotazech rozhraní API k odfiltrování nespravovaných zařízení.

Funkce náhledu

Přečtěte si o nových funkcích ve verzi Preview defenderu pro koncový bod. Vyzkoušejte nadcházející funkce zapnutím prostředí Preview.

Budete mít přístup k nadcházejícím funkcím, na které můžete poskytnout zpětnou vazbu, abyste zlepšili celkové prostředí před tím, než budou funkce obecně dostupné.

Stažení souborů v karanténě

Zálohujte soubory v karanténě v zabezpečeném a vyhovujícím umístění, aby je bylo možné stáhnout přímo z karantény. Tlačítko Stáhnout soubor bude vždy k dispozici na stránce souboru. Toto nastavení je ve výchozím nastavení zapnuté. Další informace o požadavech