Wykrywanie punktów końcowych i reagowanie w trybie bloku

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR
• Program antywirusowy Microsoft Defender

Platformy

• System Windows

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

To zalecenie dotyczy głównie urządzeń korzystających z aktywnego rozwiązania antywirusowego innego niż Microsoft (z programem antywirusowym Microsoft Defender w trybie pasywnym). Włączenie środowiska EDR w trybie bloku jest niewielkie, gdy program antywirusowy Microsoft Defender jest podstawowym rozwiązaniem antywirusowym na urządzeniach.

Co to jest EDR w trybie bloku?

Wykrywanie i reagowanie na punkty końcowe (EDR) w trybie bloku zapewnia dodatkową ochronę przed złośliwymi artefaktami, gdy program antywirusowy Microsoft Defender nie jest podstawowym produktem antywirusowym i działa w trybie pasywnym. Środowisko EDR w trybie bloku jest dostępne w usłudze Defender for Endpoint Plan 2.

Ważna

Funkcja EDR w trybie bloku nie może zapewnić całej dostępnej ochrony, gdy Microsoft Defender ochrona antywirusowa w czasie rzeczywistym jest w trybie pasywnym. Niektóre funkcje, które zależą od tego, Microsoft Defender program antywirusowy jest aktywnym rozwiązaniem antywirusowym, nie będą działać, takie jak następujące przykłady:

• Ochrona w czasie rzeczywistym, w tym skanowanie przy dostępie i zaplanowane skanowanie, nie jest dostępna, gdy program antywirusowy Microsoft Defender jest w trybie pasywnym. Aby dowiedzieć się więcej na temat ustawień zasad ochrony w czasie rzeczywistym, zobacz Włączanie i konfigurowanie zawsze włączonej ochrony programu antywirusowego Microsoft Defender.
• Funkcje, takie jak reguły i wskaźniki zmniejszania obszaru podatnego na ataki i ochrony sieci (skrót pliku, adres IP, adres URL i certyfikaty) są dostępne tylko wtedy, gdy program antywirusowy Microsoft Defender działa w trybie aktywnym. Oczekuje się, że rozwiązanie antywirusowe firmy innej niż Microsoft obejmuje te możliwości.

EDR w trybie bloku działa w tle, aby korygować złośliwe artefakty, które zostały wykryte przez możliwości EDR. Takie artefakty mogły zostać pominięte przez podstawowy produkt antywirusowy spoza firmy Microsoft. Funkcja EDR w trybie bloku umożliwia programowi antywirusowemu Microsoft Defender podjęcie działań w przypadku wykrywania EDR po naruszeniu zabezpieczeń.

Funkcja EDR w trybie bloku jest zintegrowana z funkcjami zarządzania lukami w zabezpieczeniach & zagrożeń . Zespół ds. zabezpieczeń organizacji otrzymuje zalecenie dotyczące zabezpieczeń , aby włączyć funkcję EDR w trybie bloku, jeśli nie jest jeszcze włączona.

Porada

Aby uzyskać najlepszą ochronę, należy wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender punktów odniesienia.

Obejrzyj ten film wideo, aby dowiedzieć się, dlaczego i jak włączyć wykrywanie i reagowanie na punkty końcowe (EDR) w trybie bloku, włączać blokowanie zachowań i powstrzymywanie na każdym etapie od wstępnego naruszenia do stanu po naruszeniu zabezpieczeń.

Co się stanie, gdy coś zostanie wykryte?

Po włączeniu EDR w trybie bloku i wykryciu złośliwego artefaktu usługa Defender for Endpoint koryguje ten artefakt. Twój zespół ds. operacji zabezpieczeń widzi stan wykrywania jako Zablokowany lub Zablokowany w Centrum akcji, wymieniony jako ukończone akcje. Na poniższej ilustracji przedstawiono wystąpienie niechcianego oprogramowania, które zostało wykryte i skorygowane za pośrednictwem EDR w trybie bloku:

Włączanie EDR w trybie bloku

Ważna

• Przed włączeniem EDR w trybie bloku upewnij się, że wymagania zostały spełnione.
• Wymagane są licencje usługi Defender for Endpoint Plan 2.
• Począwszy od platformy w wersji 4.18.2202.X, można ustawić EDR w trybie bloku, aby była przeznaczona dla określonych grup urządzeń przy użyciu Intune dostawców CSP. Możesz nadal ustawiać EDR w trybie bloku dla całej dzierżawy w portalu Microsoft Defender.
• EDR w trybie blokowym jest zalecany głównie w przypadku urządzeń z uruchomionym programem antywirusowym Microsoft Defender w trybie pasywnym (na urządzeniu jest zainstalowane i aktywne rozwiązanie antywirusowe innej firmy niż Microsoft).

Portal usługi Microsoft Defender

1. Przejdź do portalu Microsoft Defender (https://security.microsoft.com/) i zaloguj się.

2. Wybierz pozycję Ustawienia>Punkty końcowe>Ogólne>funkcje zaawansowane.

3. Przewiń w dół, a następnie włącz opcję Włącz EDR w trybie bloku.

Intune

Aby utworzyć zasady niestandardowe w Intune, zobacz Deploy OMA-URIs to target a CSP through Intune and a comparison to on-premises (Wdrażanie OMA-URIs do celów dostawcy CSP za pośrednictwem Intune) oraz porównanie z lokalnymi.

Aby uzyskać więcej informacji na temat dostawcy CSP usługi Defender używanego dla EDR w trybie bloku, zobacz "Configuration/PassiveRemediation" w obszarze Dostawca CSP usługi Defender.

Wymagania dotyczące EDR w trybie bloku

W poniższej tabeli wymieniono wymagania dotyczące EDR w trybie bloku:

Wymóg	Szczegóły
Uprawnienia	W Tożsamość Microsoft Entra musisz mieć przypisaną rolę administratora globalnego lub administratora zabezpieczeń. Aby uzyskać więcej informacji, zobacz Podstawowe uprawnienia.
System operacyjny	Na urządzeniach musi działać jedna z następujących wersji systemu Windows: - Windows 11 - Windows 10 (wszystkie wersje) — Windows Server 2019 lub nowszy — Windows Server, wersja 1803 lub nowsza - Windows Server 2016 i Windows Server 2012 R2 (z nowym rozwiązaniem ujednoliconego klienta)
Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)	Urządzenia muszą być dołączone do usługi Defender for Endpoint. Zobacz następujące artykuły: - Minimalne wymagania dotyczące Ochrona punktu końcowego w usłudze Microsoft Defender - Dołączanie urządzeń i konfigurowanie możliwości Ochrona punktu końcowego w usłudze Microsoft Defender - Dołączanie serwerów z systemem Windows do usługi Defender for Endpoint - Nowe funkcje Windows Server 2012 R2 i 2016 w nowoczesnym ujednoliconym rozwiązaniu (Zobacz Czy funkcja EDR jest obsługiwana w trybie bloku w Windows Server 2016 i Windows Server 2012 R2?)
Program antywirusowy Microsoft Defender	Urządzenia muszą mieć zainstalowany program antywirusowy Microsoft Defender i działać w trybie aktywnym lub pasywnym. Upewnij się, Microsoft Defender program antywirusowy jest w trybie aktywnym lub pasywnym.
Ochrona dostarczana przez chmurę	Microsoft Defender program antywirusowy musi być skonfigurowany w taki sposób, aby włączono ochronę dostarczaną przez chmurę.
platforma antywirusowa Microsoft Defender	Urządzenia muszą być aktualne. Aby potwierdzić, używając programu PowerShell, uruchom polecenie cmdlet Get-MpComputerStatus jako administrator. W wierszu AMProductVersion powinna być widoczna wersja 4.18.2001.10 lub nowsza . Aby dowiedzieć się więcej, zobacz Zarządzanie aktualizacji programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia.
aparat antywirusowy Microsoft Defender	Urządzenia muszą być aktualne. Aby potwierdzić, używając programu PowerShell, uruchom polecenie cmdlet Get-MpComputerStatus jako administrator. W wierszu AMEngineVersion powinna zostać wyświetlona wartość 1.1.16700.2 lub nowsza. Aby dowiedzieć się więcej, zobacz Zarządzanie aktualizacji programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia.

Ważna

Aby uzyskać najlepszą wartość ochrony, upewnij się, że rozwiązanie antywirusowe jest skonfigurowane do otrzymywania regularnych aktualizacji i podstawowych funkcji oraz że wykluczenia są skonfigurowane. EDR w trybie bloku uwzględnia wykluczenia zdefiniowane dla programu antywirusowego Microsoft Defender, ale nie wskaźniki zdefiniowane dla Ochrona punktu końcowego w usłudze Microsoft Defender.

Zobacz też

• Wykrywanie i reagowanie na punkty końcowe (EDR) w trybie bloku — często zadawane pytania

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.