Konfigurer avancerede funktioner i Defender for Endpoint

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Afhængigt af de Microsoft-sikkerhedsprodukter, du bruger, kan nogle avancerede funktioner være tilgængelige, så du kan integrere Defender for Endpoint med.

Aktivér avancerede funktioner

  1. Vælg Indstillinger > Slutpunkter > Avancerede funktioner i navigationsruden.
  2. Vælg den avancerede funktion, du vil konfigurere, og skift mellem Til og Fra.
  3. Klik på Gem indstillinger.

Brug følgende avancerede funktioner til at blive bedre beskyttet mod potentielt skadelige filer og få bedre indsigt under sikkerhedsundersøgelser.

Automatiseret undersøgelse

Slå denne funktion til for at drage fordel af tjenestens automatiserede undersøgelses- og afhjælpningsfunktioner. Du kan få flere oplysninger under Automatiseret undersøgelse.

Live-svar

Bemærk

Direkte svar kræver , at Automatiseret undersøgelse er slået til, før du kan aktivere den i afsnittet avancerede indstillinger på Microsoft Defender for Endpoint-portalen.

Slå denne funktion til, så brugere med de relevante tilladelser kan starte en live-svarsession på enheder.

Du kan få flere oplysninger om rolletildelinger under Opret og administrer roller.

Live-svar til servere

Slå denne funktion til, så brugere med de relevante tilladelser kan starte en live-svarsession på servere.

Du kan få flere oplysninger om rolletildelinger under Opret og administrer roller.

Udførelse af direkte svar uden fortegn

Hvis du aktiverer denne funktion, kan du køre usignerede scripts i en live-svarsession.

Afhjælp altid PUA

Potentielt uønskede programmer (PUA) er en kategori af software, der kan få din maskine til at køre langsomt, vise uventede annoncer eller i værste fald installere anden software, hvilket kan være uventet eller uønsket.

Slå denne funktion til, så potentielt uønskede programmer (PUA) afhjælpes på alle enheder i din lejer, selvom PUA-beskyttelse ikke er konfigureret på enhederne. Denne aktivering af funktionen hjælper med at beskytte brugerne mod utilsigtet installation af uønskede programmer på deres enhed. Når den er slået fra, afhænger afhjælpning af enhedskonfigurationen.

Begræns korrelation til inden for bestemte enhedsgrupper

Denne konfiguration kan bruges til scenarier, hvor lokale SOC-handlinger kun vil begrænse beskedkorrelationen til enhedsgrupper, som de har adgang til. Ved at aktivere denne indstilling vil en hændelse, der består af beskeder, som grupper på tværs af enheder ikke længere betragtes som en enkelt hændelse. Den lokale SOC kan derefter udføre handlinger på hændelsen, fordi de har adgang til en af de involverede enhedsgrupper. Global SOC kan dog se flere forskellige hændelser efter enhedsgruppe i stedet for én hændelse. Vi anbefaler ikke, at du aktiverer denne indstilling, medmindre det opvejer fordelene ved hændelseskorrelation på tværs af hele organisationen.

Bemærk

Ændring af denne indstilling påvirker kun fremtidige beskeders korrelation.

Aktivér EDR i bloktilstand

EDR (Endpoint Detection and Response) i blokeringstilstand giver beskyttelse mod skadelige artefakter, selv når Microsoft Defender Antivirus kører i passiv tilstand. Når EDR er slået til, blokerer EDR i bloktilstand skadelige artefakter eller funktionsmåder, der registreres på en enhed. EDR i bloktilstand arbejder bag kulisserne for at afhjælpe skadelige artefakter, der registreres efter sikkerhedsbrud.

Automatisk løsningsbeskeder

For lejere, der er oprettet på eller efter Windows 10, version 1809, er den automatiserede undersøgelses- og afhjælpningsfunktion som standard konfigureret til at løse beskeder, hvor den automatiserede resultatstatus for analysen er "Der blev ikke fundet trusler" eller "Afhjælpning". Hvis du ikke vil have beskederne løst automatisk, skal du slå funktionen fra manuelt.

Tip

For lejere, der er oprettet før denne version, skal du slå denne funktion til manuelt fra siden Avancerede funktioner .

Bemærk

  • Resultatet af handlingen til automatisk løsning kan påvirke beregningen af enhedens risikoniveau, som er baseret på de aktive beskeder, der findes på en enhed.
  • Hvis en sikkerhedsanalytiker manuelt angiver status for en besked til "I gang" eller "Løst", overskriver funktionen til automatisk løsning ikke den.

Tillad eller bloker fil

Blokering er kun tilgængelig, hvis din organisation opfylder disse krav:

  • Bruger Microsoft Defender Antivirus som den aktive antimalwareløsning, og
  • Den skybaserede beskyttelsesfunktion er aktiveret

Denne funktion giver dig mulighed for at blokere potentielt skadelige filer på netværket. Blokering af en fil forhindrer den i at blive læst, skrevet eller udført på enheder i din organisation.

Sådan slår du Tillad eller bloker filer til:

  1. I navigationsruden skal du vælge Indstillinger > Slutpunkter > Generelle > avancerede funktioner > Tillad eller bloker fil.

  2. Slå indstillingen til og fra.

    Skærmbilledet Slutpunkter

  3. Vælg Gem indstillinger nederst på siden.

Når du har aktiveret denne funktion, kan du blokere filer via fanen Tilføj indikator på en fils profilside.

Brugerdefinerede netværksindikatorer

Når du aktiverer denne funktion, kan du oprette indikatorer for IP-adresser, domæner eller URL-adresser, der bestemmer, om de er tilladt eller blokeret, baseret på din brugerdefinerede indikatorliste.

Hvis du vil bruge denne funktion, skal enheder køre Windows 10 version 1709 eller nyere eller Windows 11. De skal også have netværksbeskyttelse i bloktilstand og version 4.18.1906.3 eller nyere af antimalwareplatformen, se KB 4052623.

Du kan få flere oplysninger under Administrer indikatorer.

Bemærk

Netværksbeskyttelse udnytter omdømmetjenester, der behandler anmodninger på placeringer, der kan være uden for den placering, du har valgt til dine Defender for Endpoint-data.

Ændringsbeskyttelse

Under nogle former for cyberangreb forsøger dårlige aktører at deaktivere sikkerhedsfunktioner, f.eks. antivirusbeskyttelse, på dine maskiner. Dårlige aktører vil gerne deaktivere dine sikkerhedsfunktioner for at få lettere adgang til dine data, installere malware eller på anden måde udnytte dine data, identitet og enheder.

Manipulationsbeskyttelse låser i bund og grund Microsoft Defender Antivirus og forhindrer, at dine sikkerhedsindstillinger ændres via apps og metoder.

Denne funktion er tilgængelig, hvis din organisation bruger Microsoft Defender Antivirus, og cloudbaseret beskyttelse er aktiveret. Du kan finde flere oplysninger under Brug næste generations teknologier i Microsoft Defender Antivirus via cloudbaseret beskyttelse.

Hold beskyttelse mod manipulation slået til for at forhindre uønskede ændringer af din sikkerhedsløsning og dens vigtige funktioner.

Vis brugeroplysninger

Aktivér denne funktion, så du kan se brugeroplysninger, der er gemt i Azure Active Directory. Oplysningerne omfatter oplysninger om en brugers billede, navn, titel og afdeling, når der undersøges brugerkontoobjekter. Du kan finde brugerkontooplysninger i følgende visninger:

  • Dashboard til sikkerhedshandlinger
  • Beskedkø
  • Side med enhedsdetaljer

Du kan få flere oplysninger under Undersøg en brugerkonto.

Skype for Business integration

Aktivering af Skype for Business integration giver dig mulighed for at kommunikere med brugere ved hjælp af Skype for Business, mail eller telefon. Denne aktivering kan være praktisk, når du har brug for at kommunikere med brugeren og afhjælpe risici.

Bemærk

Når en enhed isoleres fra netværket, er der et pop op-vindue, hvor du kan vælge at aktivere Outlook- og Skype-kommunikation, som tillader kommunikation til brugeren, mens brugeren ikke har forbindelse til netværket. Denne indstilling gælder for Skype- og Outlook-kommunikation, når enheder er i isolationstilstand.

Microsoft Defender for Identity integration

Integrationen med Microsoft Defender for Identity giver dig mulighed for at pivotere direkte til et andet Microsoft Identity-sikkerhedsprodukt. Microsoft Defender for Identity øger en undersøgelse med mere indsigt i en formodet kompromitteret konto og relaterede ressourcer. Når du aktiverer denne funktion, kan du forbedre den enhedsbaserede undersøgelsesfunktion ved at pivotere på tværs af netværket fra et identificerbart synspunkt.

Bemærk

Du skal have den relevante licens for at aktivere denne funktion.

Office 365 Threat Intelligence-forbindelse

Denne funktion er kun tilgængelig, hvis du har en aktiv Office 365 E5 eller tilføjelsesprogrammet Threat Intelligence. Du kan få flere oplysninger på produktsiden Office 365 Enterprise E5.

Når du aktiverer denne funktion, kan du inkorporere data fra Microsoft Defender for Office 365 i Microsoft 365 Defender for at udføre en omfattende sikkerhedsundersøgelse på tværs af Office 365 postkasser og Windows-enheder.

Bemærk

Du skal have den relevante licens for at aktivere denne funktion.

Hvis du vil modtage kontekstafhængig enhedsintegration i Office 365 Threat Intelligence, skal du aktivere indstillingerne for Defender for Endpoint på dashboardet Sikkerhed & Overholdelse. Du kan få flere oplysninger under Trusselsundersøgelse og -svar.

Microsoft-trusselseksperter – målrettede angrebsmeddelelser

Ud af de to Microsoft Threat Expert-komponenter er meddelelsen om målrettede angreb offentligt tilgængelig. Eksperter efter behov-funktionalitet findes stadig som prøveversion. Du kan kun bruge funktionaliteten eksperter efter behov, hvis du har ansøgt om forhåndsvisning, og dit program er blevet godkendt. Du kan modtage målrettede angrebsmeddelelser fra Microsoft-trusselseksperter via beskeddashboardet for Defender for Endpoint-portalen og via mail, hvis du konfigurerer det.

Bemærk

Funktionen Microsoft-trusselseksperter i Defender for Endpoint er tilgængelig med en E5-licens til Enterprise Mobility + Security.

Microsoft Defender for Cloud Apps

Hvis du aktiverer denne indstilling, videresendes Defender for Endpoint-signaler for at Microsoft Defender for Cloud Apps for at give en bedre indsigt i brugen af cloudprogrammer. Videresendte data gemmes og behandles på samme placering som dine Defender for Cloud Apps-data.

Bemærk

Denne funktion er tilgængelig med en E5-licens til Enterprise Mobility + Security på enheder, der kører Windows 10, version 1709 (OS Build 16299.1085 med KB4493441), Windows 10, version 1803 (OS Build 17134.704 med KB4493464), Windows 10, version 1809 (OS Build 17763.379 med KB4489899), nyere Windows 10 versioner eller Windows 11.

Aktivér integration af Microsoft Defender for Endpoint fra Microsoft Defender for Identity-portalen

Hvis du vil modtage kontekstafhængig enhedsintegration i Microsoft Defender for Identity, skal du også aktivere funktionen på Microsoft Defender for Identity-portalen.

  1. Log på Microsoft Defender for Identity-portalen med rollen Global administrator eller Sikkerhedsadministrator.

  2. Klik på Opret din forekomst.

  3. Slå indstillingen Integration til Til , og klik på Gem.

Når du har fuldført integrationstrinnene på begge portaler, kan du se relevante beskeder på siden med enhedsoplysninger eller brugeroplysninger.

Filtrering af webindhold

Bloker adgang til websteder, der indeholder uønsket indhold, og spor webaktivitet på tværs af alle domæner. Hvis du vil angive de webindholdskategorier, du vil blokere, skal du oprette en politik for filtrering af webindhold. Sørg for, at du har netværksbeskyttelse i blokeringstilstand, når du installerer Microsoft Defender for Endpoint grundlæggende sikkerhedsindstilling.

Del slutpunktbeskeder med Microsoft Purview-compliance-portal

Videresender sikkerhedsbeskeder for slutpunkter og deres triagestatus til Microsoft Purview-compliance-portal, så du kan forbedre politikker for styring af insiderrisiko med beskeder og afhjælpe interne risici, før de forårsager skade. Videresendte data behandles og gemmes på samme placering som dine Office 365 data.

Når du har konfigureret indikatorerne for overtrædelse af sikkerhedspolitik i indstillingerne for styring af insiderrisiko, deles Defender for Endpoint-beskeder med styring af insiderrisiko for relevante brugere.

Godkendt telemetri

Du kan slå godkendt telemetri til for at forhindre spoofing af telemetri i dit dashboard.

Microsoft Intune forbindelse

Defender for Endpoint kan integreres med Microsoft Intune for at aktivere enhedsrisikobaseret betinget adgang. Når du aktiverer denne funktion, kan du dele Defender for Endpoint-enhedsoplysninger med Intune, hvilket forbedrer håndhævelsen af politikker.

Vigtigt

Du skal aktivere integrationen på både Intune og Defender for Endpoint for at kunne bruge denne funktion. Du kan finde flere oplysninger om bestemte trin under Konfigurer betinget adgang i Defender for Endpoint.

Denne funktion er kun tilgængelig, hvis du har følgende forudsætninger:

  • En licenseret lejer til Enterprise Mobility + Security E3 og Windows E5 (eller Microsoft 365 Enterprise E5)
  • Et aktivt Microsoft Intune miljø, hvor Intune administrerede Windows-enheder Azure AD tilsluttet.

Politik for betinget adgang

Når du aktiverer Intune integration, opretter Intune automatisk en klassisk ca-politik (Conditional Access). Denne klassiske nøglecenterpolitik er en forudsætning for at konfigurere statusrapporter til Intune. Den bør ikke slettes.

Bemærk

Den klassiske nøglecenterpolitik, der oprettes af Intune, adskiller sig fra moderne politikker for betinget adgang, som bruges til at konfigurere slutpunkter.

Enhedssøgning

Hjælper dig med at finde ikke-administrerede enheder, der er tilsluttet virksomhedens netværk, uden at der er behov for ekstra apparater eller besværlige procesændringer. Ved hjælp af onboardede enheder kan du finde ikke-administrerede enheder i dit netværk og vurdere sikkerhedsrisici og risici. Du kan finde flere oplysninger under Enhedsregistrering.

Bemærk

Du kan altid anvende filtre for at udelade ikke-administrerede enheder fra enhedslagerlisten. Du kan også bruge kolonnen med onboardingstatus i API-forespørgsler til at filtrere ikke-administrerede enheder fra.

Visningsfunktioner

Få mere at vide om nye funktioner i prøveversionen af Defender for Endpoint. Prøv kommende funktioner ved at aktivere prøveversionsoplevelsen.

Du har adgang til kommende funktioner, som du kan give feedback på for at hjælpe med at forbedre den overordnede oplevelse, før funktioner bliver offentligt tilgængelige.

Download filer, der er sat i karantæne

Sikkerhedskopiér filer, der er sat i karantæne, på en sikker og kompatibel placering, så de kan downloades direkte fra karantæne. Knappen Download fil vil altid være tilgængelig på filsiden. Denne indstilling er som standard slået til. Få mere at vide om krav