Testa hur Microsoft Defender för slutpunktsfunktioner fungerar i granskningslägeTest how Microsoft Defender for Endpoint features work in audit mode

Gäller för:Applies to:

Du kan aktivera minskningsregler för attackytan, sårbarhetsskydd, nätverksskydd och kontrollerad mappåtkomst i granskningsläge.You can enable attack surface reduction rules, exploit protection, network protection, and controlled folder access in audit mode. I granskningsläget kan du se vad som skulle ha hänt om du hade aktiverat funktionen.Audit mode lets you see a record of what would have happened if you had enabled the feature.

Du kanske vill aktivera granskningsläge när du testar hur funktionerna fungerar i organisationen.You may want to enable audit mode when testing how the features will work in your organization. Det här hjälper till att säkerställa att dina verksamhetsbaserade appar inte påverkas.This will help make sure your line-of-business apps aren't affected. Du kan också få en uppfattning om hur många misstänkta filändringsförsök som görs under en viss tidsperiod.You can also get an idea of how many suspicious file modification attempts occur over a certain period of time.

Funktionerna blockerar eller förhindrar inte att appar, skript eller filer ändras.The features won't block or prevent apps, scripts, or files from being modified. Men i Windows-händelseloggen spelar du in händelser som om funktionerna var helt aktiverade.However, the Windows Event Log will record events as if the features were fully enabled. Med granskningsläge kan du granska händelseloggen och se vilken effekt funktionen skulle ha haft om den var aktiverad.With audit mode, you can review the event log to see what impact the feature would have had if it was enabled.

Du hittar de granskade posterna genom att gå till Program och tjänster > Microsoft > Windows > Defender > Drift.To find the audited entries, go to Applications and Services > Microsoft > Windows > Windows Defender > Operational.

Du kan använda Defender för Slutpunkt för att få mer information om varje händelse, särskilt för att undersöka regler för att minska attackytan.You can use Defender for Endpoint to get greater details for each event, especially for investigating attack surface reduction rules. Med Defender för slutpunktskonsolen kan du undersöka problem som en del av scenarierna för aviseringstid och undersökning.Using the Defender for Endpoint console lets you investigate issues as part of the alert timeline and investigation scenarios.

Du kan använda grupprinciper, PowerShell och konfigurationstjänster för att aktivera granskningsläge.You can use Group Policy, PowerShell, and configuration service providers (CSPs) to enable audit mode.

Tips

Du kan också gå till Windows Defender Testground-webbplatsen på demo.wd.microsoft.com för att bekräfta att funktionerna fungerar och se hur de fungerar.You can also visit the Windows Defender Testground website at demo.wd.microsoft.com to confirm the features are working and see how they work.

GranskningsalternativAudit options Så här aktiverar du granskningslägeHow to enable audit mode Så här visar du händelserHow to view events
Granskning gäller för alla händelserAudit applies to all events Aktivera kontrollerad mappåtkomstEnable controlled folder access Kontrollerade mappåtkomsthändelserControlled folder access events
Granskningen gäller för enskilda reglerAudit applies to individual rules Aktivera regler för minskning av attackytanEnable attack surface reduction rules Händelser för att minska attackytanAttack surface reduction rule events
Granskning gäller för alla händelserAudit applies to all events Aktivera nätverksskyddEnable network protection NätverksskyddshändelserNetwork protection events
Granskning gäller för enskilda åtgärderAudit applies to individual mitigations Aktivera exploateringsskyddEnable exploit protection SårbarhetsskyddshändelserExploit protection events