Konfigurace pokročilých funkcí v Defenderu for Endpoint

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

V závislosti na bezpečnostních produktech Microsoftu, které používáte, můžou být k dispozici některé pokročilé funkce, se kterými můžete Defender for Endpoint integrovat.

Povolení pokročilých funkcí

  1. Přihlaste se k Microsoft Defender XDR pomocí účtu s přiřazenou rolí Správce zabezpečení nebo Globální správce.

  2. V navigačním podokně vyberte Nastavení>Koncové body>Pokročilé funkce.

  3. Vyberte pokročilou funkci, kterou chcete nakonfigurovat, a přepněte nastavení mezi Zapnuto a Vypnuto.

  4. Vyberte Uložit předvolby.

Pomocí následujících pokročilých funkcí získáte lepší ochranu před potenciálně škodlivými soubory a získáte lepší přehled během vyšetřování zabezpečení.

Živá odpověď

Tuto funkci zapněte, aby uživatelé s příslušnými oprávněními mohli na zařízeních spustit živou relaci odpovědí.

Další informace o přiřazení rolí najdete v tématu Vytváření a správa rolí.

Živá odpověď pro servery

Tuto funkci zapněte, aby uživatelé s příslušnými oprávněními mohli spustit živou relaci odpovědí na serverech.

Další informace o přiřazení rolí najdete v tématu Vytváření a správa rolí.

Spuštění nepodepsaného skriptu živé odpovědi

Povolení této funkce vám umožní spouštět nepodepsané skripty v živé relaci odpovědí.

Vždy napravit PUA

Potenciálně nežádoucí aplikace (PUA) jsou kategorie softwaru, která může způsobit, že váš počítač běží pomalu, zobrazí neočekávané reklamy nebo v nejhorším případě nainstaluje jiný software, který může být neočekávaný nebo nežádoucí.

Tuto funkci zapněte, aby se potenciálně nežádoucí aplikace (PUA) opravily na všech zařízeních ve vašem tenantovi i v případě, že na zařízeních není nakonfigurovaná ochrana pua. Tato aktivace funkce pomáhá chránit uživatele před neúmyslnou instalací nežádoucích aplikací na jejich zařízení. Pokud je tato možnost vypnutá, náprava závisí na konfiguraci zařízení.

Omezení korelace na v rámci skupin zařízení s vymezeným oborem

Tuto konfiguraci je možné použít ve scénářích, kdy místní operace SOC chtějí omezit korelace výstrah pouze na skupiny zařízení, ke kterým mají přístup. Když toto nastavení zapnete, incident složený z výstrah, které se už nebudou považovat za jeden incident, skupiny napříč zařízeními. Místní soc pak může na incidentu reagovat, protože má přístup k jedné ze skupin zařízení, kterých se to týká. Globální soc ale místo jednoho incidentu uvidí několik různých incidentů podle skupiny zařízení. Nedoporučujeme toto nastavení zapínat, pokud to nepřeváží výhody korelace incidentů v celé organizaci.

Poznámka

  • Změna tohoto nastavení ovlivní pouze budoucí korelace výstrah.

  • Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

Povolení EDR v režimu blokování

Detekce a odezva koncových bodů (EDR) v režimu blokování poskytuje ochranu před škodlivými artefakty, i když Microsoft Defender Antivirus běží v pasivním režimu. Když je zapnutá, EDR v režimu blokování blokuje škodlivé artefakty nebo chování, které se zjistí na zařízení. EDR v režimu blokování funguje na pozadí a opravuje škodlivé artefakty, které jsou zjištěny po porušení zabezpečení.

Automatické řešení nápravných upozornění

U tenantů vytvořených Windows 10 verze 1809 nebo po tom je ve výchozím nastavení nakonfigurovaná funkce automatizovaného vyšetřování a nápravy tak, aby řešila výstrahy, u kterých je stav výsledků automatizované analýzy "Nenašly se žádné hrozby" nebo "Napraveno". Pokud nechcete, aby se upozornění automaticky vyřešila, budete muset funkci vypnout ručně.

Tip

U tenantů vytvořených před touto verzí budete muset tuto funkci ručně zapnout na stránce Rozšířené funkce .

Poznámka

  • Výsledek akce automatického řešení může ovlivnit výpočet úrovně rizika zařízení, který je založený na aktivních výstrahách nalezených na zařízení.
  • Pokud analytik operací zabezpečení ručně nastaví stav výstrahy na "Probíhá" nebo "Vyřešeno", funkce automatického překladu ji nepřepíše.

Povolit nebo blokovat soubor

Blokování je dostupné jenom v případě, že vaše organizace splňuje tyto požadavky:

  • Používá Microsoft Defender Antivirus jako aktivní antimalwarové řešení a
  • Funkce cloudové ochrany je povolená.

Tato funkce umožňuje blokovat potenciálně škodlivé soubory ve vaší síti. Blokování souboru zabrání jeho čtení, zápisu nebo spuštění na zařízeních ve vaší organizaci.

Zapnutí možnosti Povolit nebo blokovat soubory:

  1. V navigačním podokně vyberte Nastavení>Koncové body>Obecné>pokročilé funkce>Povolit nebo blokovat soubor.

  2. Přepněte nastavení mezi Zapnuto a Vypnuto.

    Obrazovka Koncové body

  3. V dolní části stránky vyberte Uložit předvolby .

Po zapnutí této funkce můžete soubory blokovat prostřednictvím karty Přidat indikátor na stránce profilu souboru.

Skrýt potenciální duplicitní záznamy zařízení

Povolením této funkce můžete zajistit, že se zobrazují nejpřesnější informace o vašich zařízeních, a to skrytím potenciálních duplicitních záznamů zařízení. K duplicitním záznamům zařízení může docházet z různých důvodů, například funkce zjišťování zařízení v Microsoft Defender for Endpoint může zkontrolovat vaši síť a zjistit zařízení, které je už nasazené nebo nedávno bylo zprovozněno.

Tato funkce identifikuje potenciální duplicitní zařízení na základě jejich názvu hostitele a času posledního výskytu. Duplicitní zařízení budou skryta v různých prostředích na portálu, jako je inventář zařízení, stránky Microsoft Defender Správa zranitelností a veřejná rozhraní API pro data počítačů, takže zůstane viditelný nejpřesnější záznam zařízení. Duplicity se ale budou dál zobrazovat na stránkách globální vyhledávání, rozšířeného proaktivního vyhledávání, výstrah a incidentů.

Toto nastavení je ve výchozím nastavení zapnuté a používá se pro celého tenanta. Pokud nechcete skrýt potenciální duplicitní záznamy zařízení, budete muset tuto funkci vypnout ručně.

Vlastní indikátory sítě

Zapnutí této funkce umožňuje vytvářet indikátory pro IP adresy, domény nebo adresy URL, které na základě vašeho vlastního seznamu ukazatelů určují, jestli budou povolené nebo blokované.

Aby bylo možné tuto funkci používat, musí zařízení používat Windows 10 verze 1709 nebo novější nebo Windows 11. Měly by mít také ochranu sítě v režimu blokování a verze 4.18.1906.3 nebo novější antimalwarové platformy , viz kb 4052623.

Další informace najdete v tématu Správa indikátorů.

Poznámka

Ochrana sítě využívá služby reputace, které zpracovávají požadavky v umístěních, která můžou být mimo umístění, které jste vybrali pro data defenderu for Endpoint.

Ochrana před falšováním

Během některých druhů kybernetických útoků se zlí aktéři snaží na vašich počítačích zakázat funkce zabezpečení, jako je antivirová ochrana. Špatní aktéři chtějí zakázat funkce zabezpečení, aby získali snadnější přístup k datům, nainstalovali malware nebo jinak zneužili vaše data, identitu a zařízení. Ochrana před falšováním v podstatě zamkne Microsoft Defender antivirové ochrany a zabrání změnám nastavení zabezpečení prostřednictvím aplikací a metod.

Další informace, včetně postupu konfigurace ochrany před falšováním, najdete v tématu Ochrana nastavení zabezpečení pomocí ochrany před falšováním.

Zobrazit podrobnosti o uživateli

Tuto funkci zapněte, abyste viděli podrobnosti o uživateli uložené v Microsoft Entra ID. Podrobnosti zahrnují obrázek uživatele, jméno, titul a informace o oddělení při zkoumání entit uživatelských účtů. Informace o uživatelském účtu najdete v následujících zobrazeních:

  • Fronta upozornění
  • Stránka s podrobnostmi o zařízení

Další informace najdete v tématu Prozkoumání uživatelského účtu.

integrace Skype pro firmy

Povolení integrace Skype pro firmy vám umožní komunikovat s uživateli pomocí Skype pro firmy, e-mailu nebo telefonu. Tato aktivace se může hodit, když potřebujete komunikovat s uživatelem a zmírnit rizika.

Poznámka

Když je zařízení izolováno od sítě, je k dispozici automaticky otevírané okno, kde můžete povolit komunikaci Outlooku a Skypu, která umožňuje komunikaci s uživatelem, když jsou odpojeni od sítě. Toto nastavení platí pro komunikaci přes Skype a Outlook, když jsou zařízení v režimu izolace.

Office 365 připojení analýzy hrozeb

Důležité

Toto nastavení se použilo, když Microsoft Defender pro Office 365 a Microsoft Defender for Endpoint byly dříve na různých portálech. Po konvergenci prostředí zabezpečení do jednotného portálu, který se teď nazývá Microsoft Defender XDR, jsou tato nastavení irelevantní a nemají přidružené žádné funkce. Stav ovládacího prvku můžete bezpečně ignorovat, dokud se z portálu neodebere.

Tato funkce je dostupná jenom v případě, že máte aktivní předplatné pro Office 365 E5 nebo doplněk Analýza hrozeb. Další informace najdete na stránce Office 365 E5 produktu.

Tato funkce umožňuje začlenit data z Microsoft Defender pro Office 365 do Microsoft Defender XDR a provádět komplexní šetření zabezpečení napříč Office 365 poštovními schránkami a zařízeními s Windows.

Poznámka

Abyste mohli tuto funkci povolit, musíte mít příslušnou licenci.

Pokud chcete získat kontextovou integraci zařízení ve službě Office 365 Threat Intelligence, budete muset povolit nastavení Defenderu for Endpoint na řídicím panelu Zabezpečení & Dodržování předpisů. Další informace najdete v tématu Vyšetřování hrozeb a reakce na ně.

Oznámení o útoku na koncový bod

Oznámení o útoku na koncové body umožňují Microsoftu aktivně vyhledávat kritické hrozby, které mají být upřednostňovány na základě naléhavosti a dopadu na data vašich koncových bodů.

Pokud chcete proaktivní vyhledávání v celém rozsahu Microsoft Defender XDR, včetně hrozeb, které zahrnují e-mail, spolupráci, identitu, cloudové aplikace a koncové body, přečtěte si další informace o Microsoft Defender Expertech.

Microsoft Defender for Cloud Apps

Povolením tohoto nastavení se signály Defenderu for Endpoint přesměrují na Microsoft Defender for Cloud Apps, aby se zajistil lepší přehled o využití cloudových aplikací. Přeposílaná data se ukládají a zpracovávají ve stejném umístění jako data defenderu for Cloud Apps.

Poznámka

Tato funkce bude dostupná s licencí E5 pro Enterprise Mobility + Security na zařízeních se systémem Windows 10 verze 1709 (build operačního systému 16299.1085 s KB4493441), Windows 10 verze 1803 (build operačního systému 17134.704 s KB4493464) Windows 10 verze 1809 (build operačního systému 17763.379 s KB4489899), novější verze Windows 10 nebo Windows 11.

Povolení integrace Microsoft Defender for Endpoint z portálu Microsoft Defender for Identity

Pokud chcete v Microsoft Defender for Identity přijímat integraci kontextových zařízení, budete muset tuto funkci povolit také na portálu Microsoft Defender for Identity.

  1. Přihlaste se k portálu Microsoft Defender for Identity s rolí globálního správce nebo správce zabezpečení.

  2. Vyberte Vytvořit instanci.

  3. Přepněte nastavení Integrace na Zapnuto a vyberte Uložit.

Po dokončení kroků integrace na obou portálech uvidíte relevantní upozornění na stránce s podrobnostmi o zařízení nebo s podrobnostmi o uživateli.

Filtrování webového obsahu

Blokování přístupu k webům obsahujícím nežádoucí obsah a sledování webové aktivity napříč všemi doménami Pokud chcete určit kategorie webového obsahu, které chcete blokovat, vytvořte zásadu filtrování webového obsahu. Při nasazování standardních hodnot zabezpečení Microsoft Defender for Endpoint se ujistěte, že máte ochranu sítě v režimu blokování.

Sdílení upozornění koncového bodu s Portál dodržování předpisů Microsoft Purview

Předá výstrahy zabezpečení koncového bodu a jejich stav posouzení Portál dodržování předpisů Microsoft Purview, což vám umožní vylepšit zásady správy insiderských rizik o výstrahy a napravit interní rizika předtím, než způsobí škodu. Přeposílaná data se zpracovávají a ukládají ve stejném umístění jako vaše Office 365 data.

Po nakonfigurování indikátorů porušení zásad zabezpečení v nastavení správy insiderských rizik se výstrahy Defenderu for Endpoint budou sdílet se správou insiderských rizik pro příslušné uživatele.

Ověřená telemetrie

Pokud chcete zabránit falšování telemetrie do řídicího panelu, můžete zapnout ověřenou telemetrii.

Microsoft Intune připojení

Defender for Endpoint je možné integrovat s Microsoft Intunea povolit tak podmíněný přístup zařízení na základě rizika. Když tuto funkci zapnete, budete moct sdílet informace o zařízeních Defenderu for Endpoint s Intune, což zlepší vynucování zásad.

Důležité

Abyste mohli tuto funkci používat, budete muset povolit integraci v Intune i v Defenderu for Endpoint. Další informace o konkrétních krocích najdete v tématu Konfigurace podmíněného přístupu v Defenderu for Endpoint.

Tato funkce je dostupná jenom v případě, že splňujete následující požadavky:

  • Licencovaný tenant pro Enterprise Mobility + Security E3 a Windows E5 (nebo Microsoft 365 Enterprise E5)
  • Aktivní prostředí Microsoft Intune s připojenými zařízeními s Windows spravovanými intune Microsoft Entra.

Zásady podmíněného přístupu

Když povolíte integraci Intune, Intune automaticky vytvoří klasické zásady podmíněného přístupu. Tato zásada klasické certifikační autority je předpokladem pro nastavení zpráv o stavu v Intune. Nemělo by se odstranit.

Poznámka

Klasické zásady podmíněného přístupu vytvořené službou Intune se liší od moderních zásad podmíněného přístupu, které se používají ke konfiguraci koncových bodů.

Zjišťování zařízení

Pomůže vám najít nespravovaná zařízení připojená k podnikové síti bez nutnosti dalších zařízení nebo těžkopádných změn procesů. Pomocí onboardovaných zařízení můžete ve své síti najít nespravovaná zařízení a vyhodnotit ohrožení zabezpečení a rizika. Další informace najdete v tématu Zjišťování zařízení.

Poznámka

Kdykoli můžete použít filtry k vyloučení nespravovaných zařízení ze seznamu inventáře zařízení. K odfiltrování nespravovaných zařízení můžete také použít sloupec stavu onboardingu u dotazů rozhraní API.

Funkce náhledu

Seznamte se s novými funkcemi ve verzi Preview defenderu for Endpoint. Vyzkoušejte chystané funkce zapnutím prostředí preview.

Budete mít přístup k připravovaným funkcím, ke kterým můžete poskytnout zpětnou vazbu, která vám pomůže zlepšit celkové prostředí, než budou funkce obecně dostupné.

Stažení souborů v karanténě

Zálohujte soubory v karanténě v zabezpečeném a vyhovujícím umístění, aby je bylo možné stáhnout přímo z karantény. Tlačítko Stáhnout soubor bude vždy dostupné na stránce souboru. Toto nastavení je ve výchozím nastavení zapnuté. Další informace o požadavcích

Zjednodušené připojení během onboardingu zařízení (Preview)

Toto nastavení nastaví výchozí balíček onboardingu na zjednodušenou pro příslušné operační systémy.

I nadále budete mít možnost použít standardní balíček pro zprovoznění na stránce onboardingu, ale budete ho muset vybrat konkrétně v rozevíracím seznamu.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.