Gjenkjenning og svar for endepunkt i blokkmodus

  • Artikkel

Gjelder for:

Plattformer

  • Windows

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Denne artikkelen beskriver EDR i blokkmodus, som bidrar til å beskytte enheter som kjører en antivirusløsning som ikke er Fra Microsoft (med Microsoft Defender Antivirus i passiv modus).

Hva er EDR i blokkmodus?

Gjenkjenning og respons for endepunkt (EDR) i blokkmodus gir ekstra beskyttelse mot skadelige artefakter når Microsoft Defender Antivirus ikke er det primære antivirusproduktet og kjører i passiv modus. EDR i blokkmodus er tilgjengelig i Defender for Endpoint Plan 2.

Viktig

EDR i blokkmodus kan ikke gi all tilgjengelig beskyttelse når Microsoft Defender Antivirus sanntidsbeskyttelse er i passiv modus. Noen funksjoner som er avhengige av Microsoft Defender Antivirus for å være den aktive antivirusløsningen, vil ikke fungere, for eksempel følgende eksempler:

EDR i blokkmodus fungerer bak kulissene for å utbedre ondsinnede artefakter som ble oppdaget av EDR-funksjoner. Slike artefakter kan ha blitt savnet av det primære antivirusproduktet som ikke er fra Microsoft. EDR i blokkmodus gjør det mulig for Microsoft Defender Antivirus å utføre handlinger på EDR-gjenkjenninger etter brudd.

EDR i blokkmodus er integrert med trussel & funksjoner for sårbarhetsbehandling . Organisasjonens sikkerhetsteam får en sikkerhetsanbefaling om å aktivere EDR i blokkmodus hvis den ikke allerede er aktivert.

Anbefalingen om å slå på EDR i blokkmodus

Tips

Hvis du vil ha best mulig beskyttelse, må du sørge for å distribuere Microsoft Defender for endepunkt opprinnelige planer.

Se denne videoen for å finne ut hvorfor og hvordan du aktiverer gjenkjenning og respons for endepunkt (EDR) i blokkmodus, aktiverer atferdsblokkering og inneslutning i alle faser fra forhåndsbrudd til etterbrudd.

Hva skjer når noe oppdages?

Når EDR i blokkmodus er aktivert, og det oppdages en skadelig artefakt, vil Defender for Endpoint sende den artefakten på nytt. Sikkerhetsoperasjonsteamet ser registreringsstatusen blokkert eller forhindret i handlingssenteret, oppført som fullførte handlinger. Bildet nedenfor viser en forekomst av uønsket programvare som ble oppdaget og utbedret gjennom EDR i blokkmodus:

Gjenkjenning av EDR i blokkmodus

Aktiver EDR i blokkmodus

Viktig

  • Kontroller at kravene er oppfylt før du slår på EDR i blokkmodus.
  • Lisenser for endepunktplan 2 kreves for Defender for endepunktsplan 2.
  • Fra og med plattformversjon 4.18.2202.X kan du angi EDR i blokkmodus til å målrette mot bestemte enhetsgrupper ved hjelp av Intune CSP-er. Du kan fortsette å angi EDR i blokkmodus for hele leieren i Microsoft Defender-portalen.
  • EDR i blokkmodus anbefales hovedsakelig for enheter som kjører Microsoft Defender Antivirus i passiv modus (en antivirusløsning som ikke er Fra Microsoft, er installert og aktiv på enheten).

Microsoft Defender portal

  1. Gå til Microsoft Defender-portalen (https://security.microsoft.com/) og logg på.

  2. Velg Generelleavanserte funksjonerforinnstillinger-endepunkter>>>.

  3. Rull nedover, og aktiver deretter Aktiver EDR i blokkmodus.

Intune

Hvis du vil opprette en egendefinert policy i Intune, kan du se Distribuer OMA-URIs for å målrette en CSP gjennom Intune, og en sammenligning med lokale.

Hvis du vil ha mer informasjon om Defender CSP som brukes for EDR i blokkmodus, kan du se "Configuration/PassiveRemediation" under Defender CSP.

Krav til EDR i blokkmodus

Tabellen nedenfor viser krav for EDR i blokkmodus:

Kravet Detaljer
Tillatelser Du må enten ha rollen global administrator eller sikkerhetsadministrator logget på Microsoft Entra ID. Hvis du vil ha mer informasjon, kan du se Grunnleggende tillatelser.
Operativsystem Enheter må kjøre én av følgende versjoner av Windows:
- Windows 11
- Windows 10 (alle versjoner)
– Windows Server 2019 eller nyere
– Windows Server, versjon 1803 eller nyere
– Windows Server 2016 og Windows Server 2012 R2 (med den nye enhetlige klientløsningen)
Microsoft Defender for endepunkt plan 2 Enheter må være koblet til Defender for endepunkt. Se følgende artikler:
- Minimumskrav for Microsoft Defender for endepunkt
- Innebygde enheter og konfigurer Microsoft Defender for endepunkt funksjoner
- Om bord på Windows-servere til Defender for Endpoint-tjenesten
- Ny Windows Server 2012 R2- og 2016-funksjonalitet i den moderne enhetlige løsningen
(Se Støttes EDR i blokkmodus på Windows Server 2016 og Windows Server 2012 R2?)
Microsoft Defender Antivirus Enheter må ha Microsoft Defender Antivirus installert og kjøre i aktiv modus eller passiv modus. Bekreft Microsoft Defender Antivirus er i aktiv eller passiv modus.
Skybasert beskyttelse Microsoft Defender Antivirus må konfigureres slik at skylevert beskyttelse er aktivert.
antivirusplattform for Microsoft Defender Enhetene må være oppdaterte. Hvis du vil bekrefte, kan du kjøre cmdleten Get-MpComputerStatus som administrator ved hjelp av PowerShell. I AMProductVersion-linjen skal du se 4.18.2001.10 eller høyere.

Hvis du vil ha mer informasjon, kan du se Administrere Microsoft Defender Antivirus-oppdateringer og bruke opprinnelige grunnlinjer.
Microsoft Defender antivirusmotor Enhetene må være oppdaterte. Hvis du vil bekrefte, kan du kjøre cmdleten Get-MpComputerStatus som administrator ved hjelp av PowerShell. I AMEngineVersion-linjen skal du se 1.1.16700.2 eller høyere.

Hvis du vil ha mer informasjon, kan du se Administrere Microsoft Defender Antivirus-oppdateringer og bruke opprinnelige grunnlinjer.

Viktig

Hvis du vil ha den beste beskyttelsesverdien, må du kontrollere at antivirusløsningen er konfigurert til å motta regelmessige oppdateringer og viktige funksjoner, og at utelukkelsene er konfigurert. EDR i blokkmodus respekterer utelatelser som er definert for Microsoft Defender Antivirus, men ikke indikatorer som er definert for Microsoft Defender for endepunkt.

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.