Konfigurera avancerade funktioner i Defender för Slutpunkt
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Beroende på vilka Microsoft-säkerhetsprodukter du använder kan vissa avancerade funktioner vara tillgängliga för dig att integrera Defender för Slutpunkt med.
Aktivera avancerade funktioner
- I navigeringsfönstret väljer du Inställningar > Avancerade > funktioner.
- Välj den avancerade funktion du vill konfigurera och växla inställningen mellan På och Av.
- Klicka på Spara inställningar.
Använd följande avancerade funktioner för att få bättre skydd från potentiellt skadliga filer och få bättre insyn under säkerhetsundersökningen.
Automatiserad undersökning
Aktivera den här funktionen för att dra nytta av tjänstens funktioner för automatisk undersökning och åtgärder. Mer information finns i Automatiserad undersökning.
Livesvar
Aktivera den här funktionen så att användare med rätt behörighet kan starta en live-svarssession på enheter.
Mer information om rolltilldelningar finns i Skapa och hantera roller.
Live-svar för servrar
Aktivera den här funktionen så att användare med rätt behörighet kan starta en live-svarssession på servrar.
Mer information om rolltilldelningar finns i Skapa och hantera roller.
Körning av skript som inte har signerats med Live Response
Om du aktiverar den här funktionen kan du köra osignerade skript i en svarssession i direktsändning.
Åtgärda alltid PUA
Potentiellt oönskade program (PUA) är en kategori med programvara som kan få datorn att köras långsamt, visa oväntade annonser eller som i värsta fall installera annan programvara, som kan vara oväntad eller oönskad.
Aktivera den här funktionen så att potentiellt oönskade program (PUA) åtgärdas på alla enheter i klientorganisationen även om PUA-skyddet inte har konfigurerats på enheterna. Det här hjälper till att skydda användare från att oavsiktligt installera oönskade program på enheten. När den är inaktiverad beror åtgärder på enhetens konfiguration.
Begränsa korrelationen till inom begränsade enhetsgrupper
Den här konfigurationen kan användas för scenarier där lokala SOC-åtgärder vill begränsa korrelationer endast till enhetsgrupper som de kan komma åt. Genom att aktivera den här inställningen kommer en incident som består av aviseringar som inte längre kan behandlas som en enda incident i en grupp av enheter. Den lokala soc-datagruppen kan sedan vidta åtgärder för incidenten eftersom de har åtkomst till en av de berörda enhetsgrupper. Globala SOC ser emellertid flera olika incidenter efter enhetsgrupp istället för ett incident. Vi rekommenderar inte att du inaktiverar den här inställningen om det inte innebär samma fördelar som med korrelationen med incidenter i hela organisationen.
Anteckning
Om du ändrar den här inställningen påverkas endast framtida korrelationer.
Aktivera Identifiering och åtgärd på slutpunkt i blockläge
Identifiering av slutpunkt och svar (Identifiering och åtgärd på slutpunkt) i blockeringsläge ger skydd mot skadliga artefakter, även när Microsoft Defender Antivirus körs i passivt läge. När funktionen är Identifiering och åtgärd på slutpunkt blockeras skadliga artefakter eller beteenden som upptäcks på en enhet. Identifiering och åtgärd på slutpunkt i blockeringsläge arbetar bakom kulisserna för att åtgärda skadliga artefakter som upptäcks efter intrånget.
Åtgärdat autoresole-aviseringar
För klientprogram som skapas på eller efter Windows 10 version 1809 konfigureras automatisk undersökning och åtgärdsfunktioner som standard för att lösa varningar där status för automatiserad analysresultat är "Inga hot hittades" eller "Åtgärdat". Om du inte vill att aviseringarna ska matchas automatiskt måste du inaktivera funktionen manuellt.
Tips
För klientorganisationen som skapats tidigare än den versionen måste du manuellt aktivera den här funktionen på sidan Avancerade funktioner.
Anteckning
- Resultatet av åtgärden för automatisk lösning kan påverka beräkningen av enhetrisknivå som baseras på de aktiva aviseringarna som finns på en enhet.
- Om en analytiker för säkerhetsåtgärder manuellt anger statusen för en avisering till "Pågår" eller "Löst" skriver funktionen för automatisk lösning inte över den.
Tillåta eller blockera fil
Blockering är bara tillgängligt om din organisation uppfyller följande krav:
- Använder Microsoft Defender Antivirus som den aktiva antimalwarelösningen och
- Den molnbaserade skyddsfunktionen är aktiverad
Med den här funktionen kan du blockera potentiellt skadliga filer i nätverket. När du blockerar en fil kan den inte läsas, skrivas eller utföras på enheter i organisationen.
Aktivera Tillåt eller blockera filer:
Välj Tillåt eller blockera fil Inställningar Allmänna avancerade funktioner i > > > > navigeringsfönstret.
Ändra inställningen mellan På och Av.
Välj Spara inställningar längst ned på sidan.
När du har aktiverat den här funktionen kan du blockera filer via fliken Lägg till indikator på en fils profilsida.
Anpassade nätverksindikatorer
Om du slår på den här funktionen kan du skapa indikatorer för IP-adresser, domäner och URL-adresser, som avgör om de tillåts eller blockeras baserat på en anpassad indikatorlista.
Om du vill använda den här funktionen måste enheterna köra Windows 10 version 1709 eller senare eller Windows 11. De bör också ha nätverksskydd i blockeringsläge och version 4.18.1906.3 eller senare av program mot skadlig programvara, se KB 4052623.
Mer information finns i Hantera indikatorer.
Anteckning
Nätverksskydd utnyttjar ryktestjänster som bearbetar förfrågningar på platser som kan vara utanför den plats du har valt för Defender för Slutpunktsdata.
Skydd mot manipulering
Under vissa typer av cyberattacker försöker dåliga aktör att inaktivera säkerhetsfunktioner, till exempel antivirusskydd, på dina datorer. Dåliga aktör vill inaktivera dina säkerhetsfunktioner för att få enklare åtkomst till dina data, installera skadlig programvara eller på annat sätt utnyttja dina data, din identitet och dina enheter.
Skydd mot manipulering låser Microsoft Defender Antivirus och förhindrar att säkerhetsinställningarna ändras genom appar och metoder.
Den här funktionen är tillgänglig om din organisation Microsoft Defender Antivirus skydd och Molnbaserat skydd är aktiverat. Mer information finns i Använda nästa generations teknik i Microsoft Defender Antivirus skydd mot molnlösningar.
Behåll skydd mot manipulering aktiverat för att förhindra oönskade ändringar i din säkerhetslösning och dess viktiga funktioner.
Visa användarinformation
Aktivera den här funktionen så att du kan se användarinformation som lagras i Azure Active Directory. Informationen omfattar en användares bild, namn, titel och avdelningsinformation när du undersöker enheter med användarkonton. Användarkontoinformationen finns i följande vyer:
- Instrumentpanel för säkerhetsåtgärder
- Aviseringskö
- Sidan Enhetsinformation
Mer information finns i Undersöka ett användarkonto.
Skype för företag-integrering
Genom att Skype för företag kan du kommunicera med användare via e-Skype för företag, e-post eller telefon. Det kan vara praktiskt när du behöver kommunicera med användaren och minimera risker.
Anteckning
När en enhet isoleras från nätverket visas ett popup-fönster där du kan välja att aktivera Outlook- och Skype-kommunikationer som tillåter kommunikation till användaren medan de kopplas bort från nätverket. Den här inställningen gäller Skype och Outlook kommunikation när enheter är i avgränsningsläge.
Microsoft Defender för identitetsintegrering
Integreringen med Microsoft Defender för identitet gör att du kan pivotera direkt till en annan Microsoft Identity-säkerhetsprodukt. Microsoft Defender för identitet utökar en undersökning med fler insikter om ett misstänkt komprometterat konto och relaterade resurser. Genom att aktivera den här funktionen kan du utöka den enhetsbaserade undersökningsfunktionen genom att pivotera över nätverket från en synpunkt.
Anteckning
Du måste ha rätt licens för att aktivera den här funktionen.
Office 365 Threat Intelligence
Den här funktionen är endast tillgänglig om du har en aktiv Office 365 E5 eller tillägget Threat Intelligence. Mer information finns på sidan Office 365 Enterprise E5.
När du aktiverar den här funktionen kan du införliva data från Microsoft Defender för Office 365 i Microsoft 365 Defender för att genomföra en omfattande säkerhetsundersökning på alla Office 365 postlådor och Windows enheter.
Anteckning
Du måste ha rätt licens för att aktivera den här funktionen.
Om du vill få sammanhangsbaserad enhetsintegration i Office 365 Threat Intelligence måste du aktivera Defender för Slutpunktsinställningar i instrumentpanelen för & säkerhet och efterlevnad. Mer information finns i Undersökning av hot och svar.
Microsoft Hotexperter – riktade attackmeddelanden
Av de två Microsoft Threat Expert-komponenterna är riktade attackmeddelanden i allmän tillgänglighet. Experter på begäran är fortfarande i förhandsversion. Du kan bara använda funktionen för experter på begäran om du har använt för förhandsgranskning och programmet har godkänts. Du kan få riktade attackmeddelanden från Microsoft Hotexperter via Defender för Endpoint-portalens aviseringar-instrumentpanel och via e-post om du konfigurerar den.
Anteckning
Funktionen Microsoft Hotexperter Defender för Slutpunkt är tillgänglig med en E5-licens för Enterprise Mobility + Security.
Microsoft Defender for Cloud Apps
Aktivering av den här inställningen vidarebefordrar Defender för Endpoint-signaler till Microsoft Defender för molnappar för att bättre kunna se användningen av molnprogram. Vidarebefordrade data lagras och bearbetas på samma plats som dina Defender för molnappar-data.
Anteckning
Den här funktionen är tillgänglig med en E5-licens för Enterprise Mobility + Security på enheter med Windows 10, version 1709 (OS-version 16299.1085 med KB4493441), Windows 10, version 1803 (OS-version 17134.704 med KB4493464), Windows 10 version 1809 (OS Version 17763.379 med KB4489899), senare Windows 10 versioner eller Windows 11.
Microsoft Secure Score
Vidarebefordrar Microsoft Defender för Endpoint-signaler till Microsoft Secure Score i Microsoft 365 Defender portalen. Om du slår på den här funktionen kan Microsoft Secure Score hålla ordning på enhetens säkerhetssystem. Vidarebefordrade data lagras och bearbetas på samma plats som dina Microsoft Secure Score-data.
Aktivera Microsoft Defender för slutpunktsintegrering från Microsoft Defender för identitetsportalen
Om du vill få en sammanhangsberoende enhetsintegration i Microsoft Defender för identitet måste du också aktivera funktionen i Microsoft Defender för identitetsportalen.
Logga in på Microsoft Defender för identitetsportalen med en global administratör eller säkerhetsadministratörsroll.
Klicka på Skapa din instans.
Ändra inställningen Integration till På och klicka på Spara.
När du har slutfört integrationsstegen på båda portalerna kan du se relevanta aviseringar på sidan med enhetsinformation eller användarinformation.
Filtrering av webbinnehåll
Blockera åtkomst till webbplatser som innehåller oönskat innehåll och spåra webbaktivitet i alla domäner. Skapa en princip för webbinnehållsfiltrering om du vill ange vilka kategorier av webbinnehållsom du vill blockera. Se till att du har nätverksskydd i blockläge när du distribuerar Microsoft Defender för slutpunktens säkerhetsbaslinje.
Dela slutpunktsaviseringar med Microsofts efterlevnadscenter
Vidarebefordrar säkerhetsvarningar för slutpunkter och deras status till Microsofts efterlevnadscenter, så att du kan förbättra principer för insiderriskhantering med varningar och åtgärda interna risker innan de kan orsaka skada. Vidarebefordrade data bearbetas och lagras på samma plats som dina Office 365 data.
När du har konfigurerat indikatorerna för brott mot säkerhetsprinciper i inställningarna för Insider-riskhantering delas Defender för Slutpunktsaviseringar med Insider-riskhantering för tillämpliga användare.
Microsoft Intune anslutning
Defender för Endpoint kan integreras med Microsoft Intune för att aktivera enhetsriskbaserad villkorlig åtkomst. När du aktiverar den här funktionenkan du dela Information om Endpoint-enheter med Intune och förbättra tvingande policy.
Viktigt
Du måste aktivera integreringen på både Intune och Defender för Endpoint om du vill använda den här funktionen. Mer information om specifika steg finns i Konfigurera villkorsstyrd åtkomst i Defender för slutpunkt.
Den här funktionen är endast tillgänglig om du har följande:
- En licensierad klientorganisation för Enterprise Mobility + Security E3 och Windows E5 (eller Microsoft 365 Enterprise E5)
- En aktiv Microsoft Intune med Intune-hanterade enheter Windows Azure AD-anslutna.
Princip för villkorsstyrd åtkomst
När du aktiverar Intune-integrering skapar Intune automatiskt en klassisk CA-princip (Conditional Access). Den här klassiska CA-principen är en förutsättning för att kunna konfigurera statusrapporter till Intune. Den ska inte tas bort.
Anteckning
Den klassiska CA-principen som skapas av Intune skiljer sig från moderna villkorsstyrdaåtkomstprinciper, som används för att konfigurera slutpunkter.
Enhetsidentifiering
Hjälper dig att hitta ohanterade enheter anslutna till företagsnätverket utan att behöva extra utrustning eller krångliga processändringar. Med onboarded-enheter kan du hitta ohanterade enheter i nätverket och bedöma svagheter och risker. Mer information finns i Enhetsidentifiering.
Anteckning
Du kan alltid använda filter för att utesluta ohanterade enheter från enhetsinventeringslistan. Du kan också använda kolumnen onboardingstatus i API-frågor för att filtrera bort ohanterade enheter.
Förhandsgranskningsfunktioner
Läs mer om nya funktioner i förhandsversionen av Defender för slutpunkt. Prova kommande funktioner genom att aktivera förhandsgranskningen.
Du har tillgång till kommande funktioner som du kan ge feedback på för att förbättra den övergripande upplevelsen innan funktionerna blir tillgängliga i allmänhet.
Ladda ned filer i karantän
Säkerhetskopior av filer i karantän på en säker och kompatibel plats så att de kan laddas ned direkt från karantän. Knappen Ladda ned fil är alltid tillgänglig på filsidan. Den här inställningen är aktiverad som standard. Läs mer om krav