Endpoint detection and response (EDR) in block modeEndpoint detection and response (EDR) in block mode

Van toepassing op:Applies to:

Wilt u Defender voor Eindpunt ervaren?Want to experience Defender for Endpoint? Meld u aan voor een gratis proefabonnement.Sign up for a free trial.

Wat is EDR in de blokmodus?What is EDR in block mode?

Eindpuntdetectie en -respons (EDR) in de blokmodus biedt bescherming tegen schadelijke artefacten, zelfs wanneer Microsoft Defender Antivirus actief is in de passieve modus.Endpoint detection and response (EDR) in block mode provides protection from malicious artifacts, even when Microsoft Defender Antivirus is running in passive mode. Wanneer deze functie is ingeschakeld, EDR in de blokmodus schadelijke artefacten of gedragingen die op een apparaat worden gedetecteerd, geblokkeerd.When turned on, EDR in block mode blocks malicious artifacts or behaviors that are detected on a device. EDR in de blokmodus werkt achter de schermen om schadelijke artefacten te corrigeren die na een inbreuk worden gedetecteerd.EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post breach.

EDR in de blokmodus is ook geïntegreerd met bedreigingen & vulnerability management.EDR in block mode is also integrated with threat & vulnerability management. Het beveiligingsteam van uw organisatie krijgt een beveiligingsaanbeveling om de EDR in de blokmodus in te schakelen als dit nog niet is ingeschakeld.Your organization's security team will get a security recommendation to turn EDR in block mode on if it isn't already enabled.

aanbeveling om de EDR in te schakelen in de blokmodus

Notitie

Als u de beste beveiliging wilt, moet u Microsoft Defender voor eindpunten implementeren.To get the best protection, make sure to deploy Microsoft Defender for Endpoint baselines.

Wat gebeurt er wanneer er iets wordt gedetecteerd?What happens when something is detected?

Wanneer EDR in de blokmodus is ingeschakeld en er een schadelijk artefact wordt gedetecteerd, blokkeert en herstelt Microsoft Defender voor eindpunten dat artefact.When EDR in block mode is turned on, and a malicious artifact is detected, Microsoft Defender for Endpoint blocks and remediates that artifact. Uw beveiligingsbewerkingsteam ziet de detectiestatus als Geblokkeerd of Voorkomen in het Actiecentrum,weergegeven als voltooide acties.Your security operations team will see detection status as Blocked or Prevented in the Action center, listed as completed actions.

In de volgende afbeelding ziet u een exemplaar van ongewenste software die is gedetecteerd en geblokkeerd via EDR in de blokmodus:The following image shows an instance of unwanted software that was detected and blocked through EDR in block mode:

EDR in de blokmodus iets gedetecteerd

De EDR in de blokmodus inschakelenEnable EDR in block mode

Belangrijk

Zorg ervoor dat aan de vereisten wordt voldaan voordat u EDR in de blokmodus.Make sure the requirements are met before turning on EDR in block mode.

  1. Ga naar de Microsoft 365 Defender-portal en meld u aan.Go to the Microsoft 365 Defender portal and sign in.

  2. Kies Instellingen > Geavanceerde functies.Choose Settings > Advanced features.

  3. Schakel de EDR in de blokmodus in.Turn on EDR in block mode.

Notitie

EDR in de blokmodus kan alleen in de Microsoft Defender-beveiligingscentrum.EDR in block mode can be turned on only in the Microsoft Defender Security Center. U kunt registersleutels, Intune- of groepsbeleid niet gebruiken om de EDR in of uit te schakelen in de blokmodus.You cannot use registry keys, Intune, or group policies to enable or disable EDR in block mode.

Vereisten voor EDR in blokmodusRequirements for EDR in block mode

VereisteRequirement DetailsDetails
MachtigingenPermissions Globale beheerder of beveiligingsbeheerder die is toegewezen in Azure Active Directory.Global Administrator or Security Administrator role assigned in Azure Active Directory. Zie Basismachtigingen.See Basic permissions.
BesturingssysteemOperating system Een van de volgende versies:One of the following versions:
- Windows 10 (alle releases)- Windows 10 (all releases)
- Windows Server, versie 1803 of hoger- Windows Server, version 1803 or newer
- Windows Server 2019- Windows Server 2019
- Windows Server 2016 (alleen als Microsoft Defender Antivirus actief is)- Windows Server 2016 (only when Microsoft Defender Antivirus is in active mode)
Windows E5-inschrijvingWindows E5 enrollment Windows E5 is opgenomen in de volgende abonnementen:Windows E5 is included in the following subscriptions:
- Microsoft 365 E5- Microsoft 365 E5
- Microsoft 365 E3 samen met het aanbod voor identiteits- & bedreigingsbeveiliging- Microsoft 365 E3 together with the Identity & Threat Protection offering

Zie Onderdelen en functies en mogelijkheden voor elk abonnement.See Components and features and capabilities for each plan.
Microsoft Defender AntivirusMicrosoft Defender Antivirus Microsoft Defender Antivirus moet zijn geïnstalleerd en uitgevoerd in de actieve of passieve modus.Microsoft Defender Antivirus must be installed and running in either active mode or passive mode. (U kunt Microsoft Defender Antivirus naast een niet-Microsoft-antivirusoplossing gebruiken.) Bevestig Microsoft Defender Antivirus actief of passief is.(You can use Microsoft Defender Antivirus alongside a non-Microsoft antivirus solution.) Confirm Microsoft Defender Antivirus is in active or passive mode.
CloudbeveiligingCloud-delivered protection Zorg ervoor dat Microsoft Defender Antivirus zodanig is geconfigureerd dat beveiliging in de cloud is ingeschakeld.Make sure Microsoft Defender Antivirus is configured such that cloud-delivered protection is enabled.
Microsoft Defender Antivirus antimalwareclientMicrosoft Defender Antivirus antimalware client Zorg ervoor dat uw client up-to-date is.Make sure your client is up to date. Voer met PowerShell de cmdlet Get-MpComputerStatus uit als beheerder.Using PowerShell, run the Get-MpComputerStatus cmdlet as an administrator. In de REGEL AMProductVersion ziet u 4.18.2001.10 of hoger.In the AMProductVersion line, you should see 4.18.2001.10 or above.
Microsoft Defender Antivirus engineMicrosoft Defender Antivirus engine Zorg ervoor dat uw motor up-to-date is.Make sure your engine is up to date. Voer met PowerShell de cmdlet Get-MpComputerStatus uit als beheerder.Using PowerShell, run the Get-MpComputerStatus cmdlet as an administrator. In de REGEL AMEngineVersion ziet u 1.1.16700.2 of hoger.In the AMEngineVersion line, you should see 1.1.16700.2 or above.

Belangrijk

Als u de beste beschermingswaardewilt krijgen, moet u ervoor zorgen dat uw antivirusoplossing is geconfigureerd voor regelmatige updates en essentiële functies en dat uw uitsluitingen zijn geconfigureerd.To get the best protection value, make sure your antivirus solution is configured to receive regular updates and essential features, and that your exclusions are configured. EDR in de blokmodus respecteert uitsluitingen die zijn gedefinieerd voor Microsoft Defender Antivirus.EDR in block mode respects exclusions that are defined for Microsoft Defender Antivirus.

Veelgestelde vragenFrequently asked questions

Moet ik de EDR in de blokmodus inschakelen, zelfs wanneer ik Microsoft Defender Antivirus apparaten heb uitgevoerd?Do I need to turn EDR in block mode on even when I have Microsoft Defender Antivirus running on devices?

Het is raadzaam de EDR in de blokmodus aan te houden, ongeacht Microsoft Defender Antivirus actief is in de passieve modus of in de actieve modus.We recommend keeping EDR in block mode on, whether Microsoft Defender Antivirus is running in passive mode or in active mode. EDR in de blokmodus biedt een andere verdedigingslaag met Microsoft Defender voor Eindpunt.EDR in block mode provides another layer of defense with Microsoft Defender for Endpoint. Hiermee kan Defender voor Eindpunt acties uitvoeren op basis van gedragsproblemen na inbreuk EDR detecties.It allows Defender for Endpoint to take actions based on post-breach behavioral EDR detections.

Is EDR in de blokmodus van invloed op de antivirusbeveiliging van een gebruiker?Will EDR in block mode have any impact on a user's antivirus protection?

EDR in de blokmodus heeft geen invloed op antivirusbeveiliging van derden die wordt uitgevoerd op apparaten van gebruikers.EDR in block mode does not affect third-party antivirus protection running on users' devices. EDR in de blokmodus werkt als de primaire antivirusoplossing iets mist of als er een detectie na inbreuk is.EDR in block mode works if the primary antivirus solution misses something, or if there is a post-breach detection. EDR in de blokmodus werkt net als Microsoft Defender Antivirus in passieve modus, behalve dat schadelijke artefacten of gedragingen die worden gedetecteerd, ook worden geblokkeerd en gesaneerd.EDR in block mode works just like Microsoft Defender Antivirus in passive mode, except it also blocks and remediates malicious artifacts or behaviors that are detected.

Waarom moet ik mijn Microsoft Defender Antivirus up-to-date houden?Why do I need to keep Microsoft Defender Antivirus up to date?

Omdat Microsoft Defender Antivirus schadelijke items detecteert en herstelt, is het belangrijk om deze up-to-date te houden.Because Microsoft Defender Antivirus detects and remediates malicious items, it's important to keep it up to date. Om EDR in de blokmodus effectief te maken, worden de nieuwste leermodellen, gedragsdetecties en heuristische toepassingen gebruikt.For EDR in block mode to be effective, it uses the latest device learning models, behavioral detections, and heuristics. De stapel mogelijkheden van Defender voor eindpunten werkt op een geïntegreerde manier.The Defender for Endpoint stack of capabilities works in an integrated manner. Als u de beste beschermingswaarde wilt, moet u Microsoft Defender Antivirus up-to-date houden.To get best protection value, you should keep Microsoft Defender Antivirus up to date. Zie Het Microsoft Defender Antivirus updates beheren en basislijnen toepassen.See Manage Microsoft Defender Antivirus updates and apply baselines.

Waarom hebben we cloudbeveiliging nodig?Why do we need cloud protection on?

Cloudbeveiliging is nodig om de functie op het apparaat in te zetten.Cloud protection is needed to turn on the feature on the device. Met cloudbeveiliging kan Defender for Endpoint de nieuwste en beste beveiliging bieden op basis van onze uitgebreide en uitgebreide beveiligingsinformatie, samen met modellen voor het leren van gedrag en apparaten.Cloud protection allows Defender for Endpoint to deliver the latest and greatest protection based on our breadth and depth of security intelligence, along with behavioral and device learning models.

Hoe stel ik de Microsoft Defender Antivirus in op passieve modus?How do I set Microsoft Defender Antivirus to passive mode?

Afhankelijk van besturingssystemen kunnen apparaten die een niet-Microsoft-antivirus-/antimalware-oplossing uitvoeren, automatisch worden aangesloten bij Defender voor Eindpunt, Microsoft Defender Antivirus in de passieve modus gaan.Depending on operating systems, when devices that are running a non-Microsoft antivirus/antimalware solution are onboarded to Defender for Endpoint, Microsoft Defender Antivirus can go into passive mode automatically. Zie De werking van Defender Microsoft Defender Antivirus endpointvoor meer informatie.For more information, see How Microsoft Defender Antivirus affects Defender for Endpoint functionality.

Hoe bevestig ik dat Microsoft Defender Antivirus actief of passief is?How do I confirm Microsoft Defender Antivirus is in active or passive mode?

U Microsoft Defender Antivirus kunt opdrachtprompt of PowerShell gebruiken op een apparaat met Windows.To confirm whether Microsoft Defender Antivirus is running in active or passive mode, you can use Command Prompt or PowerShell on a device running Windows.

MethodeMethod ProcedureProcedure
PowerShellPowerShell 1. Selecteer het menu Start, begin te typen PowerShell en open Windows PowerShell in de resultaten.1. Select the Start menu, begin typing PowerShell, and then open Windows PowerShell in the results.

2. Typ Get-MpComputerStatus .2. Type Get-MpComputerStatus.

3. Zoek in de lijst met resultaten in de rij AMRunningMode naar een van de volgende waarden:3. In the list of results, in the AMRunningMode row, look for one of the following values:
- Normal
- Passive Mode
- SxS Passive Mode

Zie Get-MpComputerStatusvoor meer informatie.To learn more, see Get-MpComputerStatus.

OpdrachtpromptCommand Prompt 1. Selecteer het menu Start, begin te typen en open Windows Command Prompt opdrachtprompt in de resultaten.1. Select the Start menu, begin typing Command Prompt, and then open Windows Command Prompt in the results.

2. Typ sc query windefend .2. Type sc query windefend.

3. Bevestig in de lijst met resultaten in de rij STATE dat de service wordt uitgevoerd.3. In the list of results, in the STATE row, confirm that the service is running.

Hoeveel tijd duurt het om de EDR in de blokmodus uit te schakelen?How much time does it take for EDR in block mode to be disabled?

Als u ervoor kiest om de EDR in de blokmodus uit te schakelen, kan het tot 30 minuten duren voordat het systeem deze mogelijkheid heeft uitgeschakeld.If you chose to disable EDR in block mode, it can take up to 30 minutes for the system to disable this capability.

Wordt EDR in de blokmodus ondersteund op Windows Server 2016?Is EDR in block mode supported on Windows Server 2016?

Als Microsoft Defender Antivirus in de actieve modus of passieve modus wordt uitgevoerd, wordt EDR in de blokmodus ondersteund van de volgende versies van Windows:If Microsoft Defender Antivirus is running in active mode or passive mode, EDR in block mode is supported of the following versions of Windows:

  • Windows 10 (alle releases)Windows 10 (all releases)
  • Windows Server, versie 1803 of hogerWindows Server, version 1803 or newer
  • Windows Server 2019Windows Server 2019

Als Windows Server 2016 in Microsoft Defender Antivirus modus actief is en het eindpunt is onboarded bij Defender voor Eindpunt, wordt EDR in de blokmodus technisch ondersteund.If Windows Server 2016 has Microsoft Defender Antivirus running in active mode, and the endpoint is onboarded to Defender for Endpoint, then EDR in block mode is technically supported. De EDR in de blokmodus is echter bedoeld als extra beveiliging wanneer Microsoft Defender Antivirus niet de primaire antivirusoplossing op een eindpunt is.However, EDR in block mode is intended to be extra protection when Microsoft Defender Antivirus is not the primary antivirus solution on an endpoint. In dat geval wordt Microsoft Defender Antivirus uitgevoerd in de passieve modus.In those cases, Microsoft Defender Antivirus runs in passive mode. Op dit moment wordt Microsoft Defender Antivirus in passieve modus niet ondersteund op Windows Server 2016.Currently, running Microsoft Defender Antivirus in passive mode is not supported on Windows Server 2016. Zie voor meer informatie Microsoft Defender Antivirus en niet-Microsoft antivirus-/antimalware-oplossingen.To learn more, see Microsoft Defender Antivirus and non-Microsoft antivirus/antimalware solutions.

Zie ookSee also