Végpontészlelési és -válaszszabályzat a végpontbiztonsághoz az Intune-ban
Amikor integrálja a Végponthoz készült Microsoft Defendert az Intune-nal, végpontbiztonsági szabályzatokkal kezelheti az EDR-beállításokat és az eszközöket a Végponthoz készült Microsoft Defenderbe.
A Végponthoz készült Microsoft Defender végpontészlelési és válaszképességei fejlett támadásészlelést biztosítanak, amelyek közel valós idejűek és végrehajthatók. A biztonsági elemzők hatékonyan rangsorolhatják a riasztásokat, betekintést nyerhetnek a biztonsági incidensek teljes hatókörébe, és reagálhatnak a fenyegetések elhárítására.
Érintett szolgáltatás:
- Linux
- macOS
- Windows 10 rendszer esetén
- Windows 11
- Windows Server 2012 R2 és újabb (ha a Configuration Manager felügyeli a bérlő csatolási forgatókönyvével vagy a Végpontbiztonsághoz készült Microsoft Defender beállításainak kezelési forgatókönyvével)
Tudnivalók a végpontészlelésre és -reagálásra vonatkozó Intune-szabályzatról
Az Intune végpontészlelési és -válaszszabályzatai platformspecifikus profilokat tartalmaznak a Végponthoz készült Microsoft Defender előkészítési telepítésének kezeléséhez. Minden profil tartalmaz egy előkészítési csomagot , amely a szabályzat által megcélozandó eszközplatformra vonatkozik. A csomagok előkészítésével az eszközök a Végponthoz készült Microsoft Defenderrel való együttműködésre vannak konfigurálva. Az eszköz előkészítése után megkezdheti az adott eszközről származó fenyegetési adatok használatát.
Az EDR-szabályzatokat a Microsoft Intune Felügyeleti központVégpontbiztonsági csomópontjában található Végpontészlelési és válaszcsomópontból hozhatja létre és kezelheti.
Amikor EDR-szabályzatot hoz létre az eszközök előkészítéséhez, használhatja az előre konfigurált házirend-beállítást, vagy létrehozhat egy olyan szabályzatot, amely a beállítások manuális konfigurálását igényli, beleértve az előkészítési csomag azonosítását is:
Előre konfigurált szabályzat: Csak Windows-eszközök esetén támogatott, ezzel a beállítással gyorsan üzembe helyezhet egy előre konfigurált EDR előkészítési szabályzatot az összes megfelelő eszközön. Az előre konfigurált szabályzatbeállítást az Intune-nal felügyelt eszközökhöz és a Configuration Manageren keresztül felügyelt bérlőhöz csatlakoztatott eszközökhöz használhatja. Az előre konfigurált beállítás használatakor a házirend beállításait nem szerkesztheti a létrehozása és a kezdeti üzembe helyezés előtt. Az üzembe helyezés után néhány beállítást szerkeszthet. További információ: Előre konfigurált EDR-szabályzat használata ebben a cikkben.
Szabályzat manuális létrehozása: Minden platform esetében támogatott. Ezzel a beállítással létrehozhat egy előkészítési szabályzatot, amelyet különálló eszközcsoportokban telepíthet. Az elérési út használatakor konfigurálhatja a szabályzatban elérhető beállítások bármelyikét, mielőtt azok a hozzárendelt csoportokban üzembe helyeződnek. További információt ebben a cikkben, a Manuálisan létrehozott EDR-szabályzatok használata című témakörben talál.
A szabályzatcélok platformja alapján az Intune-nal felügyelt eszközökre vonatkozó EDR-szabályzatok a Microsoft Entra ID-ból származó eszközcsoportokra vagy a Configuration Managerből a bérlő csatolási forgatókönyvén keresztül szinkronizált helyszíni eszközök gyűjteményére telepíthetők.
Tipp
Az EDR-szabályzat mellett eszközkonfigurációs szabályzattal is regisztrálhat eszközöket a Végponthoz készült Microsoft Defenderbe. Az eszközkonfigurációs szabályzatok azonban nem támogatják a bérlőhöz csatlakoztatott eszközöket.
Ha több szabályzatot vagy szabályzattípust, például eszközkonfigurációs szabályzatot, végpontészlelési és válaszházirendet használ ugyanazon eszközbeállítások kezeléséhez (például a Végponthoz készült Defenderbe való előkészítéshez), szabályzatütközések hozhatók létre az eszközökhöz. Az ütközésekről további információt a Biztonsági szabályzatok kezelése című cikk Ütközések kezelése című szakaszában talál.
Az EDR-szabályzatok előfeltételei
Általános:
Végponthoz készült Microsoft Defender bérlője – Az EDR-szabályzatok létrehozása előtt a Végponthoz készült Microsoft Defender bérlőt integrálva kell lennie a Microsoft Intune-bérlővel (Intune-előfizetéssel). További információ:
- A Végponthoz készült Microsoft Defender használatával útmutatást találhat a Végponthoz készült Microsoft Defender és a Microsoft Intune integrálásához.
- Csatlakoztassa a Végponthoz készült Microsoft Defendert az Intune-hoz , és állítsa be a szolgáltatások közötti kapcsolatot az Intune és a Végponthoz készült Microsoft Defender között.
Configuration Manager-ügyfelek támogatása:
Bérlői csatolás beállítása Configuration Manager-eszközökhöz – Az EDR-szabályzat Configuration Manager által felügyelt eszközökön való üzembe helyezésének támogatásához konfigurálja a bérlői csatolást. Ez a feladat magában foglalja a Configuration Manager-eszközgyűjtemények konfigurálását az Intune végpontbiztonsági szabályzatainak támogatásához.
A bérlői csatolás beállításához, beleértve a Configuration Manager-gyűjtemények Microsoft Intune Felügyeleti központtal való szinkronizálását és a végpontbiztonságra vonatkozó szabályzatokkal való együttműködésük engedélyezését, olvassa el a Bérlői csatolás konfigurálása a végpontvédelmi szabályzatok támogatásához című témakört.
Az EDR-szabályzatok bérlőhöz csatlakoztatott eszközökkel való használatáról a cikk A Configuration Manager beállítása az EDR-szabályzat támogatásához című szakaszában olvashat bővebben.
Tudnivalók a végpontészlelésről és a válaszcsomópontról
A Microsoft Intune Felügyeleti központban a Végpontészlelés és -válasz csomópont két lapra van osztva:
Összefoglalás lap:
Az Összefoglalás lapon az előre konfigurált szabályzat üzembe helyezése lehetőséggel az összes EDR-házirend magas szintű nézete látható, mind a manuálisan konfigurált szabályzatok, mind a létrehozott szabályzatok.
Az Összefoglalás lap a következő területeket tartalmazza:
Végponthoz készült Defender-összekötő állapota – Ez a nézet a bérlő aktuális összekötő-állapotát jeleníti meg. A Végponthoz készült Defender-összekötő állapota felirat szintén egy hivatkozás, amely megnyitja a Defender portált. Ez a nézet megegyezik a Végpontbiztonság áttekintése lapon található nézetével.
A Végponthoz készült Defenderbe előkészített Windows-eszközök – Ez a nézet a végpontészlelés és -válasz (EDR) előkészítésének bérlőszintű állapotát jeleníti meg, és a végponthoz készült Microsoft Defenderrel vagy az ahhoz nem előkészített mindkét eszközhöz tartozó darabszámmal rendelkezik.
Végpontészlelési és válaszszabályzatok ( EDR) – Itt létrehozhat új, manuálisan konfigurált EDR-szabályzatokat, és megtekintheti a bérlő összes EDR-házirendjének listáját. A szabályzatlista tartalmazza a manuálisan konfigurált szabályzatokat és az előre konfigurált szabályzat üzembe helyezése beállítással létrehozott szabályzatokat is.
Ha kiválaszt egy szabályzatot a listából, megnyílik a szabályzat mélyebb nézete, ahol áttekintheti annak konfigurációját, és szerkesztheti annak részleteit és konfigurációját. Ha a szabályzat előre lett konfigurálva, a módosítható beállítások korlátozottak.
EDR Előkészítés állapota lap:
Ez a lap azoknak az eszközöknek a magas szintű összegzését jeleníti meg, amelyek a Végponthoz készült Microsoft Defenderrel rendelkeznek vagy nem lettek regisztrálva, és támogatják az egyes eszközök részletes behatolását. Ez az összefoglalás az Intune által kezelt eszközöket, valamint a bérlői csatolási forgatókönyvön és a Configuration Manageren keresztül kezelt eszközöket tartalmazza.
Ezen a lapon egy előre konfigurált előkészítési szabályzatot is létrehozhat és telepíthet Windows-eszközökhöz.
Az EDR előkészítési állapotlapja a következőket tartalmazza:
Előre konfigurált szabályzat üzembe helyezése – Ez a beállítás a lap tetején, az előkészítési összefoglaló diagram fölött jelenik meg, és egy előre konfigurált szabályzat létrehozására szolgál a Windows-eszközök Végponthoz készült Microsoft Defenderbe való előkészítéséhez.
Az EDR előkészítési állapotának összegző diagramja – Ez a diagram azon eszközök számát jeleníti meg, amelyek a Végponthoz készült Microsoft Defenderben vannak vagy nincsenek regisztrálva.
Eszközlista – Az összegző diagram alatt a részleteket tartalmazó eszközök listája látható, beleértve a következőket:
- Eszköz neve
- Az eszköz kezelésének menete
- Az eszközök EDR-előkészítési állapota
- Utolsó bejelentkezés időpontja és dátuma
- Az eszközök utolsó ismert állapota Defender-érzékelő
EDR-profilok
A Microsoft Intune által kezelt eszközök
Linux – A Linux-eszközök EDR-jének kezeléséhez válassza ki a Linux-platformot . A következő profil érhető el:
Végpontészlelés és -válasz – Az Intune üzembe helyezi a szabályzatot a hozzárendelt csoportok eszközein. Ez a profil a következőkkel támogatja a használatát:
- Az Intune-ban regisztrált eszközök.
- A Végponthoz készült Microsoft Defender biztonsági felügyeletével felügyelt eszközök.
A Linuxhoz készült EDR-sablonok a Végponthoz készült Defender eszközcímkék kategóriájának két beállítását tartalmazzák:
- Címke értéke – Címkénként csak egy érték állítható be. A címke típusa egyedi, és nem szabad megismételni ugyanabban a profilban.
- Címke típusa – A GROUP címke a megadott értékkel jelöli meg az eszközt. A címke megjelenik az eszközoldal felügyeleti központjában, és az eszközök szűréséhez és csoportosításához használható.
A Végponthoz készült Defender Linuxhoz elérhető beállításairól a Defender dokumentációjának Végponthoz készült Microsoft Defender beállításainak megadása Linuxon című szakaszában talál további információt.
macOS – A macOS-eszközök EDR-jének kezeléséhez válassza ki a macOS platformot. A következő profil érhető el:
Végpontészlelés és -válasz – Az Intune üzembe helyezi a szabályzatot a hozzárendelt csoportok eszközein. Ez a profil a következőkkel támogatja a használatát:
- Az Intune-ban regisztrált eszközök.
- A Végponthoz készült Microsoft Defender biztonsági felügyeletével felügyelt eszközök.
A macOS EDR-sablonjai két beállítást tartalmaznak a Végponthoz készült Defender Eszközcímkék kategóriájához:
- Címke típusa – A GROUP címke a megadott értékkel jelöli meg az eszközt. A címke megjelenik az eszközoldal felügyeleti központjában, és az eszközök szűréséhez és csoportosításához használható.
- Címke értéke – Címkénként csak egy érték állítható be. A címke típusa egyedi, és nem szabad megismételni ugyanabban a profilban.
A végponthoz készült Defender macOS-hez elérhető beállításairól a Defender dokumentációjának Végponthoz készült Microsoft Defender beállításainak megadása macOS rendszeren című szakaszában talál további információt.
Windows – A Windows-eszközök EDR-jének kezeléséhez válassza a Windows 10, a Windows 11 és a Windows Server platformot. A következő profil érhető el:
Végpontészlelés és -válasz – Az Intune üzembe helyezi a szabályzatot a hozzárendelt csoportok eszközein. Ez a profil a következőkkel támogatja a használatát:
- Az Intune-ban regisztrált eszközök.
- A Végponthoz készült Microsoft Defender biztonsági felügyeletével felügyelt eszközök.
Megjegyzés:
2022. április 5-től a Windows 10 és újabb platformot a Windows 10, a Windows 11 és a Windows Server platform váltotta fel.
A Windows 10, a Windows 11 és a Windows Server platform támogatja a Microsoft Intune-on vagy a Végponthoz készült Microsoft Defenderen keresztül kommunikáló eszközöket. Ezek a profilok támogatják a Windows Server platformot is, amelyet a Microsoft Intune natív módon nem támogat.
Az új platform profiljai a Beállításkatalógusban található beállításformátumot használják. Az új platform minden új profilsablonja ugyanazokat a beállításokat tartalmazza, mint a korábbi profilsablon. Ezzel a módosítással már nem hozhatja létre a régi profilok új verzióit. A régi profil meglévő példányai továbbra is használhatók és szerkeszthetők maradnak.
A Végponthoz készültMicrosoft Defender ügyfélkonfigurációs csomagjának beállításai:
- Csak Windows-eszközökre vonatkozik
Miután konfigurálta az Intune és a Végponthoz készült Microsoft Defender közötti szolgáltatásközi kapcsolatot , az Összekötőből automatikus beállítás elérhetővé válik a Végponthoz készült Microsoft Defender ügyfélkonfigurációs csomagtípus beállításához. Ez a beállítás csak akkor érhető el, ha konfigurálja a kapcsolatot.
Ha az Összekötőből automatikus lehetőséget választja, az Intune automatikusan lekéri az előkészítési csomagot (blobot) a Végponthoz készült Defender üzemelő példányából. Ez a választás felülírja az előkészítési csomag manuális konfigurálásának szükségességét ehhez a profilhoz. Nincs lehetőség arra, hogy automatikusan konfiguráljon egy kivezetési csomagot.
A Configuration Manager által felügyelt eszközök
Végponti észlelés és reagálás
A Configuration Manager-eszközök végpontészlelési és válaszházirend-beállításainak kezelése bérlői csatolás használatakor.
Platform: Windows 10, Windows 11 és Windows Server (ConfigMgr)
Profil: Végpontészlelés és -válasz (ConfigMgr)
A Configuration Manager szükséges verziója:
- A Configuration Manager aktuális ágának 2002-es vagy újabb verziója a Configuration Manager 2002 gyorsjavítás konzolon belüli frissítésével (KB4563473)
- Configuration Manager Technical Preview 2003 vagy újabb
Támogatott Configuration Manager-eszközplatformok:
- Windows 8.1 (x86, x64), a Configuration Manager 2010-es verziójától kezdve
- Windows 10 újabb (x86, x64, ARM64)
- Windows 11 és újabb (x86, x64, ARM64)
- Windows Server 2012 R2 (x64), a Configuration Manager 2010-es verziójától kezdve
- Windows Server 2016 és újabb (x64)
Fontos
2022. október 22-én a Microsoft Intune megszüntette a Windows 8.1 rendszerű eszközök támogatását. Ezeken az eszközökön nem érhető el technikai segítség és automatikus frissítés.
Ha jelenleg a Windows 8.1-et használja, javasoljuk, hogy windowsos 10/11-eszközökre lépjen. A Microsoft Intune beépített biztonsági és eszközfunkciókkal rendelkezik, amelyek a Windows 10/11 ügyféleszközöket kezelik.
A Configuration Manager beállítása az EDR-szabályzat támogatásához
Mielőtt EDR-szabályzatokat telepíthet a Configuration Manager-eszközökre, végezze el a következő szakaszokban ismertetett konfigurációkat.
Ezek a konfigurációk a Configuration Manager-konzolon és a Configuration Manager üzemelő példányán belül készülnek. Ha nem ismeri a Configuration Managert, tervezze meg, hogy egy Configuration Manager-rendszergazdával együttműködve elvégzi ezeket a feladatokat.
A következő szakaszok a szükséges feladatokat ismertetik:
Tipp
Ha többet szeretne megtudni a Végponthoz készült Microsoft Defender Configuration Managerrel való használatáról, tekintse meg az alábbi cikkeket a Configuration Manager-tartalomban:
1. feladat: A Configuration Manager frissítésének telepítése
A Configuration Manager 2002-es verziójának frissítésre van szüksége a Microsoft Intune Felügyeleti központból telepített végpontészlelési és válaszszabályzatokkal való használat támogatásához.
Frissítés részletei:
- Configuration Manager 2002 gyorsjavítás (KB4563473)
Ez a frissítés a Configuration Manager 2002 konzolon belüli frissítéseként érhető el.
A frissítés telepítéséhez kövesse a Configuration Manager dokumentációjának Konzolon belüli frissítések telepítése című szakaszát.
A frissítés telepítése után térjen vissza ide, és folytassa a környezet konfigurálását az EDR-szabályzat támogatásához a Microsoft Intune Felügyeleti központban.
2. feladat: Bérlői csatolás konfigurálása és gyűjtemények szinkronizálása
A Bérlő csatolása beállítással megadhatja a Configuration Manager üzemelő példányából származó eszközök gyűjteményeit a Microsoft Intune felügyeleti központtal való szinkronizáláshoz. A gyűjtemények szinkronizálása után a felügyeleti központ segítségével megtekintheti az eszközökkel kapcsolatos információkat, és üzembe helyezheti az EDR-szabályzatokat az Intune-ból.
A bérlő csatolási forgatókönyvével kapcsolatos további információkért lásd: Bérlő csatolásának engedélyezése a Configuration Manager tartalmában.
Bérlői csatolás engedélyezése, ha a megosztott kezelés nincs engedélyezve
Tipp
A Bérlői csatolás engedélyezéséhez használja a Configuration Manager-konzol Megosztott kezelés konfigurálása varázslóját , de nem kell engedélyeznie a társfelügyeletet.
Ha a közös felügyelet engedélyezését tervezi, a folytatás előtt ismerkedjen meg a társfelügyelettel, annak előfeltételeivel és a számítási feladatok kezelésével. Lásd : Mi a megosztott kezelés a Configuration Manager dokumentációjában?
- A Configuration Manager felügyeleti konzolján lépjen a Felügyelet>áttekintése>Cloud Services>együttes felügyelethez.
- A varázsló megnyitásához válassza a menüszalag Megosztott kezelés konfigurálása elemét.
- A Bérlő előkészítése lapon válassza az AzurePublicCloud lehetőséget a környezetéhez. Az Azure Government-felhő nem támogatott.
- Válassza a Bejelentkezés lehetőséget. Jelentkezzen be a globális rendszergazdai fiókjával.
Az Intune-nal felügyelt eszközök esetében a következők támogatottak:
- Platform: Windows 10, Windows 11 és Windows Server – Az Intune telepíti a szabályzatot a Microsoft Entra-csoportokban lévő eszközökre.
- Profil: Végpontészlelés és -válasz
Előre konfigurált EDR-szabályzat használata
Az Intune támogatja az előre konfigurált EDR-szabályzat használatát az Intune által felügyelt Windows-eszközökhöz és a Configuration Managerhez a bérlő csatolási forgatókönyvén keresztül.
Az Intune végpontészlelési és -válaszszabályzatának EDR előkészítési állapot oldalán válassza az Előre konfigurált szabályzat üzembe helyezése lehetőséget, hogy az Intune létrehozhasson és üzembe helyezhesse az előre konfigurált szabályzatot a Végponthoz készült Microsoft Defender megfelelő eszközökön való telepítéséhez.
Ez a beállítás a lap tetején, a Végponthoz készült Defenderbe előkészített Windows-eszközök jelentés fölött található:
A beállítás kiválasztása előtt sikeresen konfigurálnia kell a Végponthoz készült Defender-összekötőt, amely szolgáltatásközi kapcsolatot létesít az Intune és a Végponthoz készült Microsoft Defender között. A szabályzat az összekötő használatával kér le egy Végponthoz készült Microsoft Defender előkészítési blobot az eszközök előkészítéséhez. További információ az összekötő konfigurálásáról: Végponthoz készült Microsoft Defender csatlakoztatása az Intune-hoz a Végponthoz készült Defender konfigurálása című cikkben.
Ha a bérlő csatolási forgatókönyvével támogatja a Configuration Manager által felügyelt eszközöket, állítsa be a Configuration Managert az EDR-szabályzat támogatásához a Microsoft Intune felügyeleti központban. Lásd: Bérlői csatolás konfigurálása végpontvédelmi szabályzatok támogatásához.
Az előre konfigurált EDR-szabályzat létrehozása
Az Előre konfigurált házirend üzembe helyezése beállítás használatakor nem módosíthatja a Végponthoz készült Microsoft Defender, a hatókörcímkék és a hozzárendelések telepítésének alapértelmezett házirend-konfigurációit. A szabályzat létrehozása után azonban szerkesztheti annak néhány részletét, beleértve a hozzárendelési szűrők konfigurálását is.
A szabályzat létrehozása:
A Microsoft Intune Felügyeleti központban lépjen a Végpontbiztonság>Végpontészlelés és -válasz> lapjára, és nyissa meg az EDR előkészítési állapota lapot > , és válassza az Előre konfigurált szabályzat üzembe helyezése lehetőséget.
A Profil létrehozása lapon adja meg az alábbi kombinációk egyikét, majd válassza a Létrehozás lehetőséget:
Az Intune által felügyelt eszközök esetén:
- Platform = Windows 10, Windows 11 és Windows Server
- Profil = Végpontészlelés és -válasz
A bérlői csatolási forgatókönyvön keresztül felügyelt eszközök esetén:
- Platform = Windows 10, Windows 11 és Windows Server (ConfigMgr)
- Profil = Végpontészlelés és -válasz (ConfigMgr)
Fontos
A bérlőhöz csatlakoztatott eszközökön való üzembe helyezéshez engedélyezni és szinkronizálni kell a Minden asztali és kiszolgáló ügyfélgyűjteményt a bérlőben.
Az Alapvető beállítások lapon adja meg a szabályzat nevét. Igény szerint hozzáadhat egy Leírást is.
A Felülvizsgálat és létrehozás lapon kibonthatja az elérhető kategóriákat a szabályzatkonfiguráció áttekintéséhez, de nem végezhet módosításokat. Az Intune csak a kiválasztott Platform és Profil kombináció alapján használja a megfelelő beállításokat. Az Intune által felügyelt eszközök esetében például a szabályzat a Minden eszköz csoportot célozza meg. A Minden asztali és kiszolgáló ügyfélcsoport a bérlőhöz csatlakoztatott eszközökre van megcélzva.
Válassza a Mentés lehetőséget az előre konfigurált szabályzat létrehozásához és üzembe helyezéséhez.
Előre konfigurált EDR-szabályzat szerkesztése
Miután létrehozott egy előre konfigurált szabályzatot, a Végpontészlelési és -válaszszabályzat Összegzés lapján találja. Egy szabályzat kiválasztásával kiválaszthatja, hogy szerkeszt-e néhányat, de nem minden házirendbeállítást. Intune-eszközök esetén például a következő lehetőségeket szerkesztheti:
- Alapszintű: A következő beállításokat szerkesztheti:
- Name (Név)
- Leírás
- Konfigurációs beállítás: A következő két beállítás módosítható az alapértelmezett Nincs konfigurálva értékről:
- Mintamegosztás
- [Elavult] Telemetriajelentés gyakorisága
- Hozzárendelések: A csoport-hozzárendelés nem módosítható, de hozzáadhat hozzárendelési szűrőket.
Manuálisan létrehozott EDR-szabályzat használata
Az Intune végpontészlelési és -válaszszabályzatának EDR-összefoglalás lapján a Szabályzat létrehozása lehetőséget választva megkezdheti az EDR-szabályzat manuális konfigurálását az eszközök a Végponthoz készült Microsoft Defenderbe való előkészítéséhez.
Ez a beállítás a lap tetején, a Végponthoz készült Defenderbe előkészített Windows-eszközök jelentés fölött található:
Manuálisan konfigurált EDR-szabályzat létrehozása
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza a Végpontbiztonság>Végponti észlelés és reagálás>Házirend létrehozása elemet.
Válassza ki a szabályzat platformját és profilját. A következő információk azonosítják a lehetőségeket:
Intune – Az Intune üzembe helyezi a szabályzatot a hozzárendelt csoportok eszközein. A szabályzat létrehozásakor válassza a következőt:
- Platform: Linux, macOS vagy Windows 10, Windows 11 és Windows Server
- Profil: Végpontészlelés és -válasz
Configuration Manager – A Configuration Manager telepíti a szabályzatot a Configuration Manager-gyűjteményekben lévő eszközökre. A szabályzat létrehozásakor válassza a következőt:
- Platform: Windows 10, Windows 11 és Windows Server (ConfigMgr)
- Profil: Végponti észlelés és reagálás (ConfigMgr)
Válassza a Létrehozás lehetőséget.
Az Alapadatok lapon adja meg a profil nevét és leírását, majd válassza a Következő elemet.
A Konfigurációs beállítások lapon válassza az Auto from Connector for Microsoft Defender for Endpoint Client konfigurációs csomagtípust. Konfigurálja a profillal kezelni kívánt mintamegosztási és telemetriajelentési gyakoriság beállításait.
Megjegyzés:
Ha a Végponthoz készült Microsoft Defender portálon az előkészítési fájllal szeretne bérlőket be- vagy kijelentkeztetni, válassza az Előkészítés vagy a Kivezetés lehetőséget, és adja meg az előkészítési fájl tartalmát közvetlenül a kijelölés alatti bemenetnek.
Ha végzett a beállítások konfigurálásával, válassza a Tovább gombot.
Hatókörcímkék használata esetén a Hatókörcímkék lapon válassza a Hatókörcímkék kiválasztása lehetőséget a Címkék kiválasztása panel megnyitásához, hogy hatókörcímkéket rendeljen a profilhoz.
A folytatáshoz válassza Tovább lehetőséget.
A Hozzárendelések lapon válassza ki azokat a csoportokat vagy gyűjteményeket, amelyek megkapják ezt a szabályzatot. A választás a kiválasztott platformtól és profiltól függ:
- Az Intune-ban válassza ki a Microsoft Entra csoportjait.
- A Configuration Manager esetében válassza ki a Configuration Manager azon gyűjteményeit, amelyek szinkronizálva lettek a Microsoft Intune felügyeleti központtal, és engedélyezve vannak a Végponthoz készült Microsoft Defender-szabályzathoz.
Dönthet úgy, hogy jelenleg nem rendel hozzá csoportokat vagy gyűjteményeket, majd később szerkessze a szabályzatot a hozzárendelés hozzáadásához.
Ha készen áll a folytatásra, válassza a Következő lehetőséget.
Ha végzett, a Felülvizsgálat + létrehozás lapon válassza a Létrehozás elemet.
Az új profil megjelenik a listában, amikor kiválasztja a szabályzattípust a létrehozott profil számára.
Eszköz előkészítési állapotának frissítése
Előfordulhat, hogy a szervezeteknek frissítenie kell az eszköz előkészítési adatait a Microsoft Intune-on keresztül.
Erre a frissítésre szükség lehet a Végponthoz készült Microsoft Defender előkészítési hasznos adatainak változása vagy a Microsoft ügyfélszolgálata általi utasítása miatt.
Az előkészítési adatok frissítése arra utasítja az eszközt, hogy a következő újraindításkor kezdje el használni az új előkészítési hasznos adatokat.
Megjegyzés:
Ezek az információk nem feltétlenül helyezik át az eszközt a bérlők között anélkül, hogy teljesen kivezetik az eszközt az eredeti bérlőből. Az eszközök végponthoz készült Microsoft Defender szervezetek közötti áttelepítésének lehetőségeiért forduljon a Microsoft ügyfélszolgálatához.
A hasznos adatok frissítésének folyamata
Töltse le az új Mobileszköz-kezelés Új előkészítési hasznos adatokat a Végponthoz készült Microsoft Defender konzolról.
Hozzon létre egy új csoportot az új szabályzatok hatékonyságának ellenőrzéséhez.
Zárja ki az Új csoportot a meglévő EDR-szabályzatból.
Hozzon létre egy új végpontészlelési és -válaszszabályzatot az EDR-szabályzatok létrehozása című témakörben leírtak szerint.
A szabályzat létrehozásakor válassza az Előkészítés lehetőséget az ügyfélcsomag konfigurációs típusából, és adja meg az előkészítési fájl tartalmát a Végponthoz készült Microsoft Defender konzolon.
Rendelje hozzá a szabályzatot az ellenőrzéshez létrehozott új csoporthoz.
Vegyen fel meglévő eszközöket az érvényesítési csoportba, és győződjön meg arról, hogy a módosítások a várt módon működnek.
Fokozatosan bontsa ki az üzembe helyezést, és végül szerelje le az eredeti szabályzatot.
Megjegyzés:
Ha korábban az Auto from connector (Automatikus összekötőből ) lehetőséget használta az előkészítési információk lekéréséhez, kérje meg a Microsoft ügyfélszolgálatát, hogy erősítse meg az új előkészítési információk használatát.
A Microsoft ügyfélszolgálatának útmutatása szerint az előkészítési információkat frissítő szervezetek esetében a Microsoft az összekötő frissítésekor fogja önt irányítani az új előkészítési hasznos adatok kihasználásához.
EDR-szabályzatjelentések és monitorozás
A microsoft intune felügyeleti központ végponttelepítési és válaszcsomópontján megtekintheti a használt EDR-szabályzatok részleteit.
A szabályzat részleteiért a Felügyeleti központban lépjen a Végpontbiztonsági>végpont üzembe helyezése és válasz>összegzése lapra, és válassza ki azt a szabályzatot, amelynek a megfelelőségi adatait meg szeretné tekinteni:
A Linux, macOS vagy Windows 10, Windows 11 és Windows Server platformokat (Intune) célzó szabályzatok esetében az Intune áttekintést nyújt a szabályzatnak való megfelelőségről. A diagramot kiválasztva megtekintheti a szabályzatot kapott eszközök listáját, és részletezheti az egyes eszközöket további részletekért.
Windows-eszközök esetén a Végponthoz készült Defenderbe előkészített Windows-eszközök diagramja azoknak az eszközöknek a számát jeleníti meg, amelyek sikeresen regisztrálva lettek a Végponthoz készült Microsoft Defenderbe, és amelyek még nem kerültek bevezetésre.
Annak érdekében, hogy teljes mértékben ábrázolja az eszközeit ebben a diagramban, helyezze üzembe az előkészítési profilt az összes eszközén. Azok az eszközök, amelyek külső eszközökkel, például csoportházirenddel vagy PowerShell-lel kerülnek a Végponthoz készült Microsoft Defenderbe, a Végponthoz készült Defender érzékelő nélküli eszközöknek számítanak.
A Windows 10, a Windows 11 és a Windows Server (ConfigMgr) platformot ( Configuration Manager) célzó szabályzatok esetében az Intune áttekintést nyújt a szabályzatnak való megfelelőségről, amely nem támogatja a részletezéseket a további részletek megtekintéséhez. A nézet korlátozott, mert a Felügyeleti központ korlátozott állapotadatokat kap a Configuration Managertől, amely felügyeli a szabályzat Configuration Manager-eszközökre való telepítését.
Az egyes eszközök részleteinek megtekintéséhez lépjen a Végpontbiztonsági>végpont üzembe helyezése és válasz>EDR előkészítési állapota lapra, és válasszon ki egy eszközt a listából az eszközspecifikus további részletek megtekintéséhez.
Következő lépések
- Végpontbiztonsági szabályzatok konfigurálása.
- A végpontészlelésről és a válaszról a Végponthoz készült Microsoft Defender dokumentációjában talál további információt.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: