Konfigurera avancerade funktioner i Defender för SlutpunktConfigure advanced features in Defender for Endpoint

Gäller för:Applies to:

Vill du använda Defender för Slutpunkt?Want to experience Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

Beroende på vilka Microsoft-säkerhetsprodukter du använder kan vissa avancerade funktioner vara tillgängliga för dig att integrera Defender för Slutpunkt med.Depending on the Microsoft security products that you use, some advanced features might be available for you to integrate Defender for Endpoint with.

Aktivera avancerade funktionerEnable advanced features

  1. I navigeringsfönstret väljer du Inställningar inställningar Avancerade > funktioner.In the navigation pane, select Preferences setup > Advanced features.
  2. Välj den avancerade funktion du vill konfigurera och växla inställningen mellan På och Av.Select the advanced feature you want to configure and toggle the setting between On and Off.
  3. Klicka på Spara inställningar.Click Save preferences.

Använd följande avancerade funktioner för att få bättre skydd från potentiellt skadliga filer och få bättre insyn under säkerhetsundersökningen.Use the following advanced features to get better protected from potentially malicious files and gain better insight during security investigations.

Automatiserad undersökningAutomated investigation

Aktivera den här funktionen för att dra nytta av tjänstens funktioner för automatisk undersökning och åtgärder.Turn on this feature to take advantage of the automated investigation and remediation features of the service. Mer information finns i Automatiserad undersökning.For more information, see Automated investigation.

LivesvarLive response

Aktivera den här funktionen så att användare med rätt behörighet kan starta en direkt svarssession på enheter.Turn on this feature so that users with the appropriate permissions can start a live response session on devices.

Mer information om rolltilldelningar finns i Skapa och hantera roller.For more information about role assignments, see Create and manage roles.

Live-svar för servrarLive response for servers

Aktivera den här funktionen så att användare med rätt behörighet kan starta en live-svarssession på servrar.Turn on this feature so that users with the appropriate permissions can start a live response session on servers.

Mer information om rolltilldelningar finns i Skapa och hantera roller.For more information about role assignments, see Create and manage roles.

Körning av skript som inte har signerats med Live ResponseLive response unsigned script execution

Om du aktiverar den här funktionen kan du köra osignerade skript i en svarssession i direktsändning.Enabling this feature allows you to run unsigned scripts in a live response session.

Åtgärda alltid PUAAlways remediate PUA

Potentiellt oönskade program (PUA) är en kategori av programvara som kan få datorn att köras långsamt, visa oväntade annonser eller i värsta fall installera annan programvara som kan vara oväntad eller oönskad.Potentially unwanted applications (PUA) are a category of software that can cause your machine to run slowly, display unexpected ads, or at worst, install other software which might be unexpected or unwanted.

Aktivera den här funktionen så att potentiellt oönskade program (PUA) åtgärdas på alla enheter i klientorganisationen även om PUA-skyddet inte har konfigurerats på enheterna.Turn on this feature so that potentially unwanted applications (PUA) are remediated on all devices in your tenant even if PUA protection is not configured on the devices. Det här hjälper till att skydda användare från att oavsiktligt installera oönskade program på enheten.This will help protect users from inadvertently installing unwanted applications on their device. När den är inaktiverad beror åtgärder på enhetens konfiguration.When turned off, remediation is dependent on the device configuration.

Begränsa korrelationen till inom begränsade enhetsgrupperRestrict correlation to within scoped device groups

Den här konfigurationen kan användas för scenarier där lokala SOC-åtgärder vill begränsa korrelationer endast till enhetsgrupper som de kan komma åt.This configuration can be used for scenarios where local SOC operations would like to limit alert correlations only to device groups that they can access. Genom att aktivera den här inställningen kommer en incident som består av aviseringar som inte längre kan ses som en enda incident i en grupp av enheter.By turning this setting on, an incident composed of alerts that cross device groups will no longer be considered a single incident. Den lokala soc-datagruppen kan sedan vidta åtgärder för incidenten eftersom de har åtkomst till en av de berörda enhetsgrupper.The local SOC can then take action on the incident because they have access to one of the device groups involved. Globala SOC ser emellertid flera olika incidenter efter enhetsgrupp istället för ett incident.However, global SOC will see several different incidents by device group instead of one incident. Vi rekommenderar inte att du slår på den här inställningen om det inte gäller fördelarna med incidentrelationer i hela organisationenWe do not recommend turning this setting on unless doing so outweighs the benefits of incident correlation across the entire organization

Anteckning

Om du ändrar den här inställningen påverkas bara framtida korrelationer.Changing this setting impacts future alert correlations only.

Aktivera Identifiering och åtgärd på slutpunkt i blockeringslägeEnable EDR in block mode

Identifiering och svar av slutpunkt (Identifiering och åtgärd på slutpunkt) i blockeringsläge ger skydd mot skadliga artefakter, även när Microsoft Defender Antivirus körs i passivt läge.Endpoint detection and response (EDR) in block mode provides protection from malicious artifacts, even when Microsoft Defender Antivirus is running in passive mode. När den är Identifiering och åtgärd på slutpunkt blockeras skadliga artefakter eller beteenden som upptäcks på en enhet.When turned on, EDR in block mode blocks malicious artifacts or behaviors that are detected on a device. Identifiering och åtgärd på slutpunkt i blockeringsläge fungerar bakom kulisserna för att åtgärda skadliga artefakter som upptäcks efter intrånget.EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post breach.

Åtgärdat autoresole-aviseringarAutoresolve remediated alerts

För klientprogram som skapats på eller efter Windows 10, version 1809, konfigureras automatisk undersökning och åtgärd som standard för att lösa varningar där status för automatisk analys är "Inga hot hittades" eller "Åtgärdat".For tenants created on or after Windows 10, version 1809, the automated investigation and remediation capability is configured by default to resolve alerts where the automated analysis result status is "No threats found" or "Remediated". Om du inte vill att aviseringarna ska matchas automatiskt måste du inaktivera funktionen manuellt.If you don't want to have alerts auto-resolved, you'll need to manually turn off the feature.

Tips

För klientorganisationen som skapats tidigare än den versionen måste du manuellt aktivera den här funktionen på sidan Avancerade funktioner.For tenants created prior to that version, you'll need to manually turn this feature on from the Advanced features page.

Anteckning

  • Resultatet av åtgärden för automatisk lösning kan påverka beräkningen av enhetrisknivå som baseras på de aktiva aviseringarna som finns på en enhet.The result of the auto-resolve action may influence the Device risk level calculation which is based on the active alerts found on a device.
  • Om en analytiker för säkerhetsåtgärder manuellt anger statusen för en avisering till "Pågår" eller "Löst" skriver funktionen för automatisk resolve inte över den.If a security operations analyst manually sets the status of an alert to "In progress" or "Resolved" the auto-resolve capability will not overwrite it.

Tillåta eller blockera filAllow or block file

Blockering är bara tillgängligt om din organisation uppfyller följande krav:Blocking is only available if your organization fulfills these requirements:

  • Använder Microsoft Defender Antivirus som den aktiva antimalwarelösningen ochUses Microsoft Defender Antivirus as the active antimalware solution and,
  • Den molnbaserade skyddsfunktionen är aktiveradThe cloud-based protection feature is enabled

Med den här funktionen kan du blockera potentiellt skadliga filer i nätverket.This feature enables you to block potentially malicious files in your network. När du blockerar en fil förhindrar du att den läses, skrivs eller körs på enheter i organisationen.Blocking a file will prevent it from being read, written, or executed on devices in your organization.

Aktivera Tillåt eller blockera filer:To turn Allow or block files on:

  1. Välj Tillåt eller blockera fil Inställningar avancerade funktioner i > > navigeringsfönstret.In the navigation pane, select Settings > Advanced features > Allow or block file.

  2. Ändra inställningen mellan På och Av.Toggle the setting between On and Off.

    Bild av avancerade inställningar för filblockeringsfunktionen

  3. Välj Spara inställningar längst ned på sidan.Select Save preferences at the bottom of the page.

När du har aktiverat den här funktionen kan du blockera filer via fliken Lägg till indikator på en fils profilsida.After turning on this feature, you can block files via the Add Indicator tab on a file's profile page.

Anpassade nätverksindikatorerCustom network indicators

Om du slår på den här funktionen kan du skapa indikatorer för IP-adresser, domäner och URL-adresser, som avgör om de tillåts eller blockeras baserat på en anpassad indikatorlista.Turning on this feature allows you to create indicators for IP addresses, domains, or URLs, which determine whether they will be allowed or blocked based on your custom indicator list.

Om du vill använda den här funktionen måste enheterna köra Windows 10 version 1709 eller senare.To use this feature, devices must be running Windows 10 version 1709 or later. De bör också ha nätverksskydd i blockläge och version 4.18.1906.3 eller senare av program mot skadlig programvara, se KB 4052623.They should also have network protection in block mode and version 4.18.1906.3 or later of the antimalware platform see KB 4052623.

Mer information finns i Hantera indikatorer.For more information, see Manage indicators.

Anteckning

Nätverksskydd utnyttjar ryktestjänster som bearbetar förfrågningar på platser som kan vara utanför den plats du har valt för Defender för Slutpunktsdata.Network protection leverages reputation services that process requests in locations that might be outside of the location you have selected for your Defender for Endpoint data.

Skydd mot manipuleringTamper protection

Under vissa typer av cyberattacker försöker dåliga aktör att inaktivera säkerhetsfunktioner, till exempel antivirusskydd, på dina datorer.During some kinds of cyber attacks, bad actors try to disable security features, such as anti-virus protection, on your machines. Dåliga aktör vill inaktivera dina säkerhetsfunktioner för att få enklare åtkomst till dina data, installera skadlig programvara eller på annat sätt utnyttja dina data, din identitet och dina enheter.Bad actors like to disable your security features to get easier access to your data, to install malware, or to otherwise exploit your data, identity, and devices.

Skydd mot manipulering låser Microsoft Defender Antivirus och förhindrar att säkerhetsinställningarna ändras genom appar och metoder.Tamper protection essentially locks Microsoft Defender Antivirus and prevents your security settings from being changed through apps and methods.

Den här funktionen är tillgänglig om din organisation Microsoft Defender Antivirus skydd och Molnbaserat skydd är aktiverat.This feature is available if your organization uses Microsoft Defender Antivirus and Cloud-based protection is enabled. Mer information finns i Använda nästa generations teknik i Microsoft Defender Antivirus skydd mot molnlösningar.For more information, see Use next-generation technologies in Microsoft Defender Antivirus through cloud-delivered protection.

Behåll skydd mot manipulering aktiverat för att förhindra oönskade ändringar i din säkerhetslösning och dess viktiga funktioner.Keep tamper protection turned on to prevent unwanted changes to your security solution and its essential features.

Visa användarinformationShow user details

Aktivera den här funktionen så att du kan se användarinformation som lagras i Azure Active Directory.Turn on this feature so that you can see user details stored in Azure Active Directory. Informationen omfattar en användares bild, namn, titel och avdelningsinformation när du undersöker enheter med användarkonton.Details include a user's picture, name, title, and department information when investigating user account entities. Användarkontoinformationen finns i följande vyer:You can find user account information in the following views:

  • Instrumentpanel för säkerhetsåtgärderSecurity operations dashboard
  • AviseringsköAlert queue
  • Sidan EnhetsinformationDevice details page

Mer information finns i Undersöka ett användarkonto.For more information, see Investigate a user account.

Skype för företag integrationSkype for Business integration

Genom att Skype för företag kan du kommunicera med användare via e-Skype för företag, e-post eller telefon.Enabling the Skype for Business integration gives you the ability to communicate with users using Skype for Business, email, or phone. Det kan vara praktiskt när du behöver kommunicera med användaren och minimera risker.This can be handy when you need to communicate with the user and mitigate risks.

Anteckning

När en enhet isoleras från nätverket visas ett popup-fönster där du kan välja att aktivera Outlook- och Skype-kommunikationer som tillåter kommunikation till användaren medan de kopplas bort från nätverket.When a device is being isolated from the network, there's a pop-up where you can choose to enable Outlook and Skype communications which allows communications to the user while they are disconnected from the network. Den här inställningen gäller Skype och Outlook kommunikation när enheter är i avgränsningsläge.This setting applies to Skype and Outlook communication when devices are in isolation mode.

Microsoft Defender för identitetsintegreringMicrosoft Defender for Identity integration

Integreringen med Microsoft Defender för identitet gör att du kan pivotera direkt till en annan Microsoft Identity-säkerhetsprodukt.The integration with Microsoft Defender for Identity allows you to pivot directly into another Microsoft Identity security product. Microsoft Defender för identitet utökar en undersökning med ytterligare insikter om ett misstänkt komprometterat konto och relaterade resurser.Microsoft Defender for Identity augments an investigation with additional insights about a suspected compromised account and related resources. Genom att aktivera den här funktionen kan du utöka den enhetsbaserade undersökningsfunktionen genom att pivotera över nätverket från en synpunkt.By enabling this feature, you'll enrich the device-based investigation capability by pivoting across the network from an identify point of view.

Anteckning

Du måste ha rätt licens för att aktivera den här funktionen.You'll need to have the appropriate license to enable this feature.

Office 365 Anslutning till Threat IntelligenceOffice 365 Threat Intelligence connection

Den här funktionen är endast tillgänglig om du har en Office 365 E5 eller tillägget Threat Intelligence.This feature is only available if you have an active Office 365 E5 or the Threat Intelligence add-on. Mer information finns på sidan Office 365 Enterprise E5.For more information, see the Office 365 Enterprise E5 product page.

När du aktiverar den här funktionen kan du införliva data från Microsoft Defender för Office 365 i Microsoft Defender Säkerhetscenter för att genomföra en omfattande säkerhetsundersökning över alla Office 365 postlådor och Windows enheter.When you turn this feature on, you'll be able to incorporate data from Microsoft Defender for Office 365 into Microsoft Defender Security Center to conduct a comprehensive security investigation across Office 365 mailboxes and Windows devices.

Anteckning

Du måste ha rätt licens för att aktivera den här funktionen.You'll need to have the appropriate license to enable this feature.

Om du vill få sammanhangsbaserad enhetsintegration i Office 365 Threat Intelligence måste du aktivera Defender för Slutpunktsinställningar i instrumentpanelen för & säkerhet och efterlevnad.To receive contextual device integration in Office 365 Threat Intelligence, you'll need to enable the Defender for Endpoint settings in the Security & Compliance dashboard. Mer information finns i Undersökning av hot och svar.For more information, see Threat investigation and response.

Microsoft Hotexperter – riktade attackmeddelandenMicrosoft Threat Experts - Targeted Attack Notifications

Av de två Microsoft Threat Expert-komponenterna är riktade attackmeddelanden i allmän tillgänglighet.Out of the two Microsoft Threat Expert components, targeted attack notification is in general availability. Experter på begäran är fortfarande i förhandsversion.Experts-on-demand capability is still in preview. Du kan bara använda funktionen för experter på begäran om du har tillämpat en förhandsgranskning och programmet har godkänts.You can only use the experts-on-demand capability if you have applied for preview and your application has been approved. Du kan få riktade attackmeddelanden från Microsoft Hotexperter Via Defender för Endpoint-portalens aviseringar-instrumentpanel och via e-post om du konfigurerar den.You can receive targeted attack notifications from Microsoft Threat Experts through your Defender for Endpoint portal's alerts dashboard and via email if you configure it.

Anteckning

Funktionen Microsoft Hotexperter Defender för Slutpunkt är tillgänglig med en E5-licens för Enterprise Mobility + Security.The Microsoft Threat Experts capability in Defender for Endpoint is available with an E5 license for Enterprise Mobility + Security.

Microsoft Cloud App SecurityMicrosoft Cloud App Security

Om du aktiverar den här inställningen vidarebefordras Defender för Slutpunktssignaler Microsoft Cloud App Security bättre insyn i användningen av molnprogram.Enabling this setting forwards Defender for Endpoint signals to Microsoft Cloud App Security to provide deeper visibility into cloud application usage. Vidarebefordrade data lagras och bearbetas på samma plats som dina Cloud App Security data.Forwarded data is stored and processed in the same location as your Cloud App Security data.

Anteckning

Den här funktionen är tillgänglig med en E5-licens för Enterprise Mobility + Security på enheter med Windows 10, version 1709 (OS-version 16299.1085 med KB4493441),Windows 10, version 1803 (OS Version 17134.704 med KB4493464), Windows 10, version 1809 (OS Build 17763.379 med KB4489899) eller senare Windows 10 versioner.This feature will be available with an E5 license for Enterprise Mobility + Security on devices running Windows 10, version 1709 (OS Build 16299.1085 with KB4493441), Windows 10, version 1803 (OS Build 17134.704 with KB4493464), Windows 10, version 1809 (OS Build 17763.379 with KB4489899), or later Windows 10 versions.

Microsoft Secure ScoreMicrosoft Secure Score

Vidarebefordrar Microsoft Defender för Endpoint-signaler till Microsoft Secure Score Microsoft 365 säkerhetscenter.Forwards Microsoft Defender for Endpoint signals to Microsoft Secure Score in the Microsoft 365 security center. Om du slår på den här funktionen kan Microsoft Secure Score hålla ordning på enhetens säkerhetssystem.Turning on this feature gives Microsoft Secure Score visibility into the device's security posture. Vidarebefordrade data lagras och bearbetas på samma plats som dina Microsoft Secure Score-data.Forwarded data is stored and processed in the same location as your Microsoft Secure Score data.

Aktivera Microsoft Defender för slutpunktsintegrering från Microsoft Defender för identitetsportalenEnable the Microsoft Defender for Endpoint integration from the Microsoft Defender for Identity portal

Om du vill få en sammanhangsberoende enhetsintegration i Microsoft Defender för identitet måste du också aktivera funktionen i Microsoft Defender för identitetsportalen.To receive contextual device integration in Microsoft Defender for Identity, you'll also need to enable the feature in the Microsoft Defender for Identity portal.

  1. Logga in på Microsoft Defender för identitetsportalen med en global administratör eller säkerhetsadministratörsroll.Log in to the Microsoft Defender for Identity portal with a Global Administrator or Security Administrator role.

  2. Klicka på Skapa din instans.Click Create your instance.

  3. Ändra inställningen Integration till På och klicka på Spara.Toggle the Integration setting to On and click Save.

När du har slutfört integrationsstegen på båda portalerna kan du se relevanta aviseringar på sidan med enhetsinformation eller användarinformation.After completing the integration steps on both portals, you'll be able to see relevant alerts in the device details or user details page.

Filtrering av webbinnehållWeb content filtering

Blockera åtkomst till webbplatser som innehåller oönskat innehåll och spåra webbaktivitet i alla domäner.Block access to websites containing unwanted content and track web activity across all domains. Skapa en princip för webbinnehållsfiltrering om du vill ange vilka kategorier av webbinnehållsom du vill blockera.To specify the web content categories you want to block, create a web content filtering policy. Se till att du har nätverksskydd i blockeringsläge när du distribuerar Microsoft Defender för slutpunktens säkerhetsbaslinje.Ensure you have network protection in block mode when deploying the Microsoft Defender for Endpoint security baseline.

Dela slutpunktsaviseringar med Microsofts efterlevnadscenterShare endpoint alerts with Microsoft Compliance Center

Vidarebefordrar säkerhetsvarningar för slutpunkter och deras status till Microsofts efterlevnadscenter, så att du kan förbättra principer för insiderriskhantering med varningar och åtgärda interna risker innan de kan orsaka skada.Forwards endpoint security alerts and their triage status to Microsoft Compliance Center, allowing you to enhance insider risk management policies with alerts and remediate internal risks before they cause harm. Vidarebefordrade data bearbetas och lagras på samma plats som dina Office 365 data.Forwarded data is processed and stored in the same location as your Office 365 data.

När du har konfigurerat indikatorerna för brott mot säkerhetsprinciper i inställningarna för Insider-riskhantering delas Defender för Slutpunktsaviseringar med Insider-riskhantering för tillämpliga användare.After configuring the Security policy violation indicators in the insider risk management settings, Defender for Endpoint alerts will be shared with insider risk management for applicable users.

Microsoft Intune anslutningMicrosoft Intune connection

Defender för Endpoint kan integreras med Microsoft Intune för att aktivera enhetsriskbaserad villkorlig åtkomst.Defender for Endpoint can be integrated with Microsoft Intune to enable device risk-based conditional access. När du aktiverar den här funktionenkan du dela Information om Endpoint-enheter med Intune och förbättra tvingande policy.When you turn on this feature, you'll be able to share Defender for Endpoint device information with Intune, enhancing policy enforcement.

Viktigt

Du måste aktivera integreringen på både Intune och Defender för Endpoint om du vill använda den här funktionen.You'll need to enable the integration on both Intune and Defender for Endpoint to use this feature. Mer information om specifika steg finns i Konfigurera villkorsstyrd åtkomst i Defender för slutpunkt.For more information on specific steps, see Configure Conditional Access in Defender for Endpoint.

Den här funktionen är endast tillgänglig om du har följande:This feature is only available if you have the following:

  • En licensierad klientorganisation för Enterprise Mobility + Security E3 och Windows E5 (eller Microsoft 365 Enterprise E5)A licensed tenant for Enterprise Mobility + Security E3, and Windows E5 (or Microsoft 365 Enterprise E5)
  • En aktiv Microsoft Intune med Intune-hanterade enheter Windows 10 Azure AD-anslutna.An active Microsoft Intune environment, with Intune-managed Windows 10 devices Azure AD-joined.

Princip för villkorsstyrd åtkomstConditional Access policy

När du aktiverar Intune-integrering skapar Intune automatiskt en klassisk CA-princip (Conditional Access).When you enable Intune integration, Intune will automatically create a classic Conditional Access (CA) policy. Den här klassiska CA-principen är en förutsättning för att kunna konfigurera statusrapporter till Intune.This classic CA policy is a prerequisite for setting up status reports to Intune. Den ska inte tas bort.It should not be deleted.

Anteckning

Den klassiska CA-principen som skapas av Intune skiljer sig från moderna villkorsstyrdaåtkomstprinciper, som används för att konfigurera slutpunkter.The classic CA policy created by Intune is distinct from modern Conditional Access policies, which are used for configuring endpoints.

EnhetsidentifieringDevice discovery

Hjälper dig att hitta ohanterade enheter anslutna till företagsnätverket utan att behöva extra utrustning eller krångliga processändringar.Helps you find unmanaged devices connected to your corporate network without the need for extra appliances or cumbersome process changes. Med onboarded-enheter kan du hitta ohanterade enheter i nätverket och bedöma svagheter och risker.Using onboarded devices, you can find unmanaged devices in your network and assess vulnerabilities and risks. Mer information finns i Enhetsidentifiering.For more information, see Device discovery.

Anteckning

Du kan alltid använda filter för att utesluta ohanterade enheter från enhetsinventeringslistan.You can always apply filters to exclude unmanaged devices from the device inventory list. Du kan också använda kolumnen onboardingstatus i API-frågor för att filtrera bort ohanterade enheter.You can also use the onboarding status column on API queries to filter out unmanaged devices.

FörhandsgranskningsfunktionerPreview features

Läs mer om nya funktioner i förhandsversionen av Defender för slutpunkt.Learn about new features in the Defender for Endpoint preview release. Prova kommande funktioner genom att aktivera förhandsgranskningen.Try upcoming features by turning on the preview experience.

Du har tillgång till kommande funktioner som du kan ge feedback på för att förbättra den övergripande upplevelsen innan funktionerna blir tillgängliga i allmänhet.You'll have access to upcoming features, which you can provide feedback on to help improve the overall experience before features are generally available.