Slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt) i blockeringsläge

Gäller för:

Plattformar

  • Windows

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Vad är Identifiering och åtgärd på slutpunkt i blockeringsläge?

Slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt) i blockeringsläge ger ytterligare skydd mot skadliga artefakter när Microsoft Defender Antivirus inte är den primära antivirusprodukten och körs i passivt läge. Identifiering och åtgärd på slutpunkt i blockeringsläge fungerar i bakgrunden för att åtgärda skadliga artefakter som har identifierats av Identifiering och åtgärd på slutpunkt funktioner. Sådana artefakter kan ha missats av den primära antivirusprodukten som inte kommer från Microsoft. För enheter som kör Microsoft Defender Antivirus som sitt primära antivirusprogram ger Identifiering och åtgärd på slutpunkt i blockeringsläge ett extra skyddsnivå genom att tillåta Microsoft Defender Antivirus att vidta automatiska åtgärder efter intrång, beteende Identifiering och åtgärd på slutpunkt identifieringar.

Viktigt

Identifiering och åtgärd på slutpunkt i blockeringsläge ger inte allt skydd som är tillgängligt när Microsoft Defender Antivirus realtidsskydd är aktiverat. Alla funktioner som är beroende av Microsoft Defender Antivirus vara den aktiva antiviruslösningen fungerar inte, inklusive följande viktiga exempel:

Det förväntas att din antiviruslösning som inte kommer från Microsoft tillhandahåller dessa funktioner.

Identifiering och åtgärd på slutpunkt i blockeringsläge är integrerat med hot & hantering av säkerhetsrisker. Organisationens säkerhetsteam får en säkerhetsrekommendations för att aktivera Identifiering och åtgärd på slutpunkt i blockeringsläge om den inte redan är aktiverad.

Rekommendationen att aktivera Identifiering och åtgärd på slutpunkt i blockeringsläge

Tips

Se till att distribuera Microsoft Defender för Endpoint baslinjer för att få bästa möjliga skydd.

Titta på den här videon för att lära dig varför och hur du aktiverar identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt) i blockeringsläge, aktiverar beteendeblockering och inneslutning i varje steg från pre-breach till post-breach.

Vad händer när något identifieras?

När Identifiering och åtgärd på slutpunkt i blockeringsläge är aktiverat och en skadlig artefakt identifieras Microsoft Defender för Endpoint blockerar och åtgärdar artefakten. Säkerhetsåtgärdsteamet ser identifieringsstatusen Blockerad eller Förhindrad i åtgärdscentret, som visas som slutförda åtgärder.

Följande bild visar en instans av oönskad programvara som har identifierats och blockerats via Identifiering och åtgärd på slutpunkt i blockeringsläge:

Identifieringen av Identifiering och åtgärd på slutpunkt i blockeringsläge

Aktivera Identifiering och åtgärd på slutpunkt i blockeringsläge

Viktigt

Från och med plattformsversion 4.18.2202.X kan du nu ange Identifiering och åtgärd på slutpunkt i blockeringsläge som mål för specifika enhetsgrupper med hjälp av Intune CSP:er. Du kan fortsätta att ange Identifiering och åtgärd på slutpunkt i blockläge för hela klientorganisationen i Microsoft 365 Defender-portalen. Identifiering och åtgärd på slutpunkt i blockeringsläge rekommenderas främst för enheter som kör Microsoft Defender Antivirus i passivt läge (en antiviruslösning som inte kommer från Microsoft installeras och är aktiv på enheten).

Tips

Kontrollera att kraven är uppfyllda innan du aktiverar Identifiering och åtgärd på slutpunkt i blockeringsläge.

Säkerhetsportal

  1. Gå till Microsoft 365 Defender-portalen (https://security.microsoft.com/) och logga in.

  2. Välj Inställningar > Allmänna > avancerade funktioner för slutpunkter>.

  3. Rulla nedåt och aktivera aktivera aktivera Identifiering och åtgärd på slutpunkt i blockeringsläge.

Intune

Information om hur du skapar en anpassad princip i Intune finns i Distribuera OMA-URIs för att rikta en Molnlösningsleverantör via Intune och en jämförelse med lokalt.

Mer information om Defender-Molnlösningsleverantör som används för Identifiering och åtgärd på slutpunkt i blockeringsläge finns i "Configuration/PassiveRemediation" under Defender Molnlösningsleverantör.

Krav för Identifiering och åtgärd på slutpunkt i blockeringsläge

I följande tabell visas krav för Identifiering och åtgärd på slutpunkt i blockeringsläge:

Krav Information
Behörigheter Du måste ha rollen Global administratör eller Säkerhetsadministratör tilldelad i Azure Active Directory. Mer information finns i Grundläggande behörigheter.
Operativsystem Enheterna måste köra någon av följande versioner av Windows:
- Windows 11
– Windows 10 (alla versioner)
– Windows Server 2022
– Windows Server 2019
– Windows Server version 1803 eller senare
– Windows Server 2016 och Windows Server 2012 R2 (med den nya enhetliga klientlösningen)[1]
Microsoft Defender för Endpoint Enheter måste registreras i Defender för Endpoint. Se följande artiklar:
- Minimikrav för Microsoft Defender för Endpoint
- Registrera enheter och konfigurera Microsoft Defender för Endpoint funktioner
- Registrera Windows-servrar till Defender för Endpoint-tjänsten
- Nya funktioner Windows Server 2012 R2 och 2016 i den moderna enhetliga lösningen (förhandsversion)
Microsoft Defender Antivirus Enheterna måste ha Microsoft Defender Antivirus installerade och körs i antingen aktivt läge eller passivt läge. Bekräfta Microsoft Defender Antivirus är i aktivt eller passivt läge.
Molnbaserat skydd Microsoft Defender Antivirus måste konfigureras så att molnlevererat skydd är aktiverat.
Microsoft Defender Antivirus plattform Enheterna måste vara uppdaterade. Bekräfta genom att använda PowerShell genom att köra cmdleten Get-MpComputerStatus som administratör. På raden AMProductVersion bör du se 4.18.2001.10 eller senare.

Mer information finns i Hantera uppdateringar för Microsoft Defender Antivirus och tillämpa baslinjer.

Microsoft Defender Antivirus motor Enheterna måste vara uppdaterade. Bekräfta genom att använda PowerShell genom att köra cmdleten Get-MpComputerStatus som administratör. På raden AMEngineVersion bör du se 1.1.16700.2 eller senare.

Mer information finns i Hantera uppdateringar för Microsoft Defender Antivirus och tillämpa baslinjer.

(1) Se Stöds Identifiering och åtgärd på slutpunkt i blockeringsläge på Windows Server 2016 och Windows Server 2012 R2?

Viktigt

Kontrollera att antiviruslösningen är konfigurerad för att ta emot regelbundna uppdateringar och viktiga funktioner och att dina undantag är konfigurerade för att få bästa möjliga skydd. Identifiering och åtgärd på slutpunkt i blockeringsläge respekterar undantag som har definierats för Microsoft Defender Antivirus, men inte indikatorer som har definierats för Microsoft Defender för Endpoint.

Vanliga frågor och svar

Kan jag ange undantag för Identifiering och åtgärd på slutpunkt i blockeringsläge?

Om du får en falsk positiv identifiering kan du skicka filen för analys på Microsoft Säkerhetsinsikter sändningswebbplats.

Du kan också definiera ett undantag för Microsoft Defender Antivirus. Se Konfigurera och validera undantag för Microsoft Defender Antivirus genomsökningar.

Måste jag aktivera Identifiering och åtgärd på slutpunkt i blockeringsläge om jag har Microsoft Defender Antivirus körs på enheter?

Det främsta syftet med Identifiering och åtgärd på slutpunkt i blockeringsläge är att åtgärda identifieringar efter intrång som missats av en antivirusprodukt som inte kommer från Microsoft. Det finns minimala fördelar med att aktivera Identifiering och åtgärd på slutpunkt i blockeringsläge när Microsoft Defender Antivirus är i aktivt läge, eftersom realtidsskydd förväntas fånga upp och åtgärda identifieringar först. Vi rekommenderar att du aktiverar Identifiering och åtgärd på slutpunkt i blockeringsläge på slutpunkter där Microsoft Defender för antivirus körs i passivt läge. Identifiering och åtgärd på slutpunkt identifieringar kan automatiskt åtgärdas av PUA-skydd eller genom automatiserad undersökning & reparationsfunktioner i blockeringsläge.

Påverkar Identifiering och åtgärd på slutpunkt i blockeringsläge en användares antivirusskydd?

Identifiering och åtgärd på slutpunkt i blockeringsläge påverkar inte antivirusskydd från tredje part som körs på användarnas enheter. Identifiering och åtgärd på slutpunkt i blockeringsläge fungerar om den primära antiviruslösningen missar något, eller om det finns en identifiering efter intrång. Identifiering och åtgärd på slutpunkt i blockeringsläge fungerar precis som Microsoft Defender Antivirus i passivt läge, förutom att Identifiering och åtgärd på slutpunkt i blockeringsläge även blockerar och åtgärdar skadliga artefakter eller beteenden som identifieras.

Varför måste jag hålla Microsoft Defender Antivirus uppdaterade?

Eftersom Microsoft Defender Antivirus identifierar och åtgärdar skadliga objekt är det viktigt att hålla det uppdaterat. För att Identifiering och åtgärd på slutpunkt i blockeringsläge ska vara effektivt använder den de senaste enhetsinlärningsmodellerna, beteendeidentifieringar och heuristik. Defender för Endpoint-stacken med funktioner fungerar på ett integrerat sätt. För att få bästa möjliga skyddsvärde bör du hålla Microsoft Defender Antivirus uppdaterade. Se Hantera Microsoft Defender Antivirus uppdateringar och tillämpa baslinjer.

Varför behöver vi molnskydd (MAPS) på?

Molnskydd krävs för att aktivera funktionen på enheten. Med molnskydd kan Defender för Endpoint leverera det senaste och bästa skyddet baserat på vår bredd och djup av säkerhetsinformation, tillsammans med beteende- och enhetsinlärningsmodeller.

Vad är skillnaden mellan aktivt och passivt läge?

För slutpunkter som kör Windows 10, Windows 11, Windows Server, version 1803 eller senare, Windows Server 2019 eller Windows Server 2022 när Microsoft Defender Antivirus är i aktivt läge används det som primärt antivirusprogram på enheten. När du kör i passivt läge är Microsoft Defender Antivirus inte den primära antivirusprodukten. I det här fallet åtgärdas inte hot av Microsoft Defender Antivirus i realtid.

Anteckning

Microsoft Defender Antivirus kan endast köras i passivt läge när enheten har registrerats för att Microsoft Defender för Endpoint.

Mer information finns i Microsoft Defender Antivirus kompatibilitet.

Hur gör jag för att bekräfta Microsoft Defender Antivirus är i aktivt eller passivt läge?

Om du vill kontrollera om Microsoft Defender Antivirus körs i aktivt eller passivt läge kan du använda Kommandotolken eller PowerShell på en enhet som kör Windows.

Metod Förfarande
PowerShell 1. Välj Start-menyn, börja skriva PowerShelloch öppna sedan Windows PowerShell i resultatet.

2. Skriv Get-MpComputerStatus.

3. Leta efter något av följande värden i resultatlistan på raden AMRunningMode :
- Normal
- Passive Mode

Mer information finns i Get-MpComputerStatus.
Kommandotolken 1. Välj Start-menyn, börja skriva Command Promptoch öppna sedan Windows kommandotolken i resultatet.

2. Skriv sc query windefend.

3. I resultatlistan på raden TILLSTÅND bekräftar du att tjänsten körs.

Hur gör jag för att bekräfta att Identifiering och åtgärd på slutpunkt i blockeringsläge är aktiverat med Microsoft Defender Antivirus i passivt läge?

Du kan använda PowerShell för att bekräfta att Identifiering och åtgärd på slutpunkt i blockeringsläge är aktiverat med Microsoft Defender Antivirus körs i passivt läge.

  1. Välj Start-menyn, börja skriva PowerShelloch öppna sedan Windows PowerShell i resultatet.

  2. Skriv Get-MPComputerStatus|select AMRunningMode.

  3. Bekräfta att resultatet, EDR Block Mode, visas.

    Tips

    Om Microsoft Defender Antivirus är i aktivt läge visas Normal i stället för EDR Block Mode. Mer information finns i Get-MpComputerStatus.

Stöds Identifiering och åtgärd på slutpunkt i blockeringsläge på Windows Server 2016 och Windows Server 2012 R2?

Om Microsoft Defender Antivirus körs i aktivt läge eller passivt läge stöds Identifiering och åtgärd på slutpunkt i blockeringsläge av följande versioner av Windows:

  • Windows 11
  • Windows 10 (alla versioner)
  • Windows Server version 1803 eller senare
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016 och Windows Server 2012 R2 (med den nya enhetliga klientlösningen)

Med den nya enhetliga klientlösningen för Windows Server 2016 och Windows Server 2012 R2 kan du köra Identifiering och åtgärd på slutpunkt i blockläge i antingen passivt läge eller aktivt läge.

Anteckning

Windows Server 2016 och Windows Server 2012 R2 måste registreras med hjälp av anvisningarna i Registrera Windows servrar för att den här funktionen ska fungera.

Hur lång tid tar det för Identifiering och åtgärd på slutpunkt i blockeringsläge att inaktiveras?

Om du väljer att inaktivera Identifiering och åtgärd på slutpunkt i blockeringsläge kan det ta upp till 30 minuter för systemet att inaktivera den här funktionen.

Se även