Identifiering av slutpunkt och svar (Identifiering och åtgärd på slutpunkt) i blockeringsläge

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Vad är Identifiering och åtgärd på slutpunkt i blockläge?

Identifiering av slutpunkt och svar (Identifiering och åtgärd på slutpunkt) i blockeringsläge ger ytterligare skydd mot skadliga artefakter när Microsoft Defender Antivirus inte är det primära antivirusprogrammet och körs i passiv form. Identifiering och åtgärd på slutpunkt i blockläge arbetar bakom kulisserna för att åtgärda skadliga artefakter som har upptäckts Identifiering och åtgärd på slutpunkt funktion. Sådana artefakter kan ha missats av det primära antivirusprogrammet från Microsoft. För enheter som kör Microsoft Defender Antivirus som primärt antivirusprogram ger Identifiering och åtgärd på slutpunkt i blockläge ett extra skydd genom att Microsoft Defender Antivirus kan vidta automatiska åtgärder för intrång, beteende Identifiering och åtgärd på slutpunkt identifieringar.

Viktigt

Identifiering och åtgärd på slutpunkt i blockeringsläget ger inte allt skydd som är tillgängligt Microsoft Defender Antivirus realtidsskydd är aktiverat. Alla funktioner som är beroende Microsoft Defender Antivirus vara den aktiva antiviruslösningen fungerar inte, inklusive följande viktiga exempel:

Din antiviruslösning som inte är en Microsoft-antiviruslösning förväntas ge de här funktionerna.

Identifiering och åtgärd på slutpunkt i blockeringsläge är integrerat med hot & hantering av säkerhetsrisker. Din organisations säkerhetsteam får en säkerhetsrekommendationer om att aktivera Identifiering och åtgärd på slutpunkt i blockeringsläge om det inte redan är aktiverat.

rekommendation att aktivera Identifiering och åtgärd på slutpunkt i blockläge.

Tips

För att få det bästa skyddet bör du distribuera Microsoft Defender för slutpunktsbaslinjer.

Vad händer när något identifieras?

När Identifiering och åtgärd på slutpunkt i blockeringsläge är aktiverat och en skadlig artefakt upptäcks, blockerar och åtgärdar Microsoft Defender för Slutpunktsblock och åtgärdar artefakten. Ditt team för säkerhetsåtgärder ser identifieringsstatus som Blockerad eller Förhindrad i Åtgärdscenter , som visas som slutförda åtgärder.

Följande bild visar en instans av oönskad programvara som har upptäckts och blockerats i Identifiering och åtgärd på slutpunkt i blockeringsläge:

Identifiering och åtgärd på slutpunkt i blockläge upptäckte något.

Aktivera Identifiering och åtgärd på slutpunkt i blockläge

Tips

Se till att kraven uppfylls innan du Identifiering och åtgärd på slutpunkt i blockläge.

  1. Gå till Microsoft 365 Defender ( https://security.microsoft.com/ ) och logga in.
  2. Välj Inställningar > Allmänna avancerade funktioner > i > Slutpunkter.
  3. Rulla nedåt och aktivera aktivera Identifiering och åtgärd på slutpunkt i blockläge.

Viktigt

Identifiering och åtgärd på slutpunkt i blockeringsläge kan endast aktiveras i Microsoft 365 Defender-portalen eller den tidigare Microsoft Defender Säkerhetscenter ( ) och används https://securitycenter.windows.com för hela klientorganisationen. Du kan inte Identifiering och åtgärd på slutpunkt i blockeringsläge för specifika enhetsgrupper eller användare. Du kan inte använda registernycklar, Microsoft Intune eller grupprinciper för att aktivera eller Identifiering och åtgärd på slutpunkt i blockeringsläge.

Krav för Identifiering och åtgärd på slutpunkt i blockläge

Krav Information
Behörigheter Du måste ha rollen Global administratör eller Säkerhetsadministratör tilldelad i Azure Active Directory. Mer information finns i Grundläggande behörigheter.
Operativsystem Enheter måste köra någon av följande versioner av Windows:
- Windows 10 (alla versioner)
- Windows Server, version 1803 eller senare
- Windows Server 2019
- Windows Server 2022
- Windows Server 2016 (endast när Microsoft Defender Antivirus är i aktivt läge)
Microsoft Defender för Endpoint Enheter måste vara onboarded to Defender för Endpoint. Se Minimikraven för Microsoft Defender för Slutpunkt.
Microsoft Defender Antivirus Enheter måste ha Microsoft Defender Antivirus och köras i antingen aktivt läge eller passivt läge. Kontrollera Microsoft Defender Antivirus är i aktivt eller passivt läge.
Molnbaserat skydd Microsoft Defender Antivirus måste konfigureras så att moln levererat skydd är aktiverat.
Microsoft Defender Antivirus plattform Enheterna måste vara uppdaterade. Kontrollera att du använder PowerShell genom att köra cmdleten Get-MpComputerStatus som administratör. I raden AMProductVersion bör du se 4.18.2001.10 eller högre.

Mer information finns i Hantera uppdateringar för Microsoft Defender Antivirus och tillämpa baslinjer.

Microsoft Defender Antivirus motor Enheterna måste vara uppdaterade. Kontrollera att du använder PowerShell genom att köra cmdleten Get-MpComputerStatus som administratör. På raden AMEngineVersion bör du se 1.1.16700.2 eller högre.

Mer information finns i Hantera uppdateringar för Microsoft Defender Antivirus och tillämpa baslinjer.

Viktigt

För att få bästa möjliga skydd ser du till att antiviruslösningen är konfigurerad för att ta emot regelbundna uppdateringar och viktiga funktioner och att undantagen är konfigurerade. Identifiering och åtgärd på slutpunkt i blockeringsläge följer undantag som har definierats för Microsoft Defender Antivirus, men inte indikatorer som har definierats för Microsoft Defender för Slutpunkt.

Vanliga frågor och svar

Måste jag aktivera Identifiering och åtgärd på slutpunkt om jag har aktiverat Microsoft Defender Antivirus på enheter?

Det primära syftet med Identifiering och åtgärd på slutpunkt i blockeringsläget är att åtgärda identifieringar efter intrång som har missats av en antivirusprodukt som inte är en Microsoft-antivirusprodukt. Vi rekommenderar dock att du Identifiering och åtgärd på slutpunkt i blockeringsläge aktiverat, oavsett om Microsoft Defender Antivirus körs i passivt läge eller i aktivt läge.

  • När Microsoft Defender Antivirus i passiv form ger Identifiering och åtgärd på slutpunkt i blockläge ytterligare ett skyddslager tillsammans med Microsoft Defender för Endpoint.
  • När Microsoft Defender Antivirus är i aktivt läge ger Identifiering och åtgärd på slutpunkt i blockläge inte extra genomsökning men det gör att Microsoft Defender Antivirus kan vidta automatiska åtgärder vid efter intrång, beteende Identifiering och åtgärd på slutpunkt identifieringar.

Kommer Identifiering och åtgärd på slutpunkt i blockeringsläget att påverka antivirusskyddet för en användare?

Identifiering och åtgärd på slutpunkt i blockeringsläget påverkar inte antivirusskyddet från tredje part som körs på användarnas enheter. Identifiering och åtgärd på slutpunkt i blockeringsläge fungerar om den primära antiviruslösningen missar något, eller om det finns en identifiering efter intrång. Identifiering och åtgärd på slutpunkt i blockläge fungerar på samma sätt som Microsoft Defender Antivirus i passivt läge, förutom att Identifiering och åtgärd på slutpunkt i blockläge även blockerar och åtgärdar skadliga artefakter eller beteenden som upptäcks.

Varför måste jag hålla Microsoft Defender Antivirus mig uppdaterad?

Eftersom Microsoft Defender Antivirus identifierar och åtgärdar skadliga objekt är det viktigt att hålla den uppdaterad. För Identifiering och åtgärd på slutpunkt i blockläge används de senaste utbildningsmodellerna för enheter, funktionsidentifiering och heuristik. Defender för Slutpunkt-stacken med funktioner fungerar på ett integrerat sätt. För att få bästa möjliga skydd bör du Microsoft Defender Antivirus hålla dig uppdaterad. Se Hantera Microsoft Defender Antivirus uppdateringar och använda baslinjer.

Varför behöver vi molnskydd (KARTOR) på?

Molnskydd krävs för att aktivera funktionen på enheten. Molnskydd gör att Defender för Endpoint kan tillhandahålla det senaste och bästa skyddet baserat på vår bredd och djup av säkerhetsinformation, tillsammans med modeller för beteende och enhetsinlärning.

Vad är skillnaden mellan aktivt och passivt läge?

För slutpunkter som kör Windows 10, Windows 11, Windows Server, version 1803 eller senare, Windows Server 2019 eller Windows Server 2022 när Microsoft Defender Antivirus är i aktivt läge används det som primärt antivirusprogram på enheten. När den körs i passiv form är Microsoft Defender Antivirus inte det primära antivirusprogrammet. I det här fallet åtgärdas inte hoten av Microsoft Defender Antivirus i realtid.

Anteckning

Microsoft Defender Antivirus kan endast köras i passiv form när enheten är inbaserad till Microsoft Defender för Endpoint.

Mer information finns i Microsoft Defender Antivirus kompatibilitet.

Hur bekräftar jag att Microsoft Defender Antivirus är i aktivt eller passivt läge?

För att bekräfta Microsoft Defender Antivirus-program körs i aktivt eller passivt läge kan du använda Kommandotolken eller PowerShell på en enhet som kör Windows.



Metod Förfarande
PowerShell 1. Markera Start-menyn, börja skriva PowerShell och öppna Windows PowerShell i resultatet.

2. Skriv Get-MpComputerStatus .

3. Leta efter något av följande värden i resultatlistan på raden AMRunningMode:
- Normal
- Passive Mode

Mer information finns i Get-MpComputerStatus.
Kommandotolken 1. Markera Start-menyn, börja skriva Command Prompt och öppna Windows kommandotolken i resultatet.

2. Skriv sc query windefend .

3. I resultatlistan, på raden DELSTAT, bekräftar du att tjänsten körs.

Hur bekräftar jag att Identifiering och åtgärd på slutpunkt i blockeringsläge är aktiverat Microsoft Defender Antivirus i passivt läge?

Du kan använda PowerShell för att Identifiering och åtgärd på slutpunkt i blockläge är aktiverat Microsoft Defender Antivirus i passivt läge.

  1. Markera Start-menyn, börja skriva PowerShell och öppna Windows PowerShell i resultatet.

  2. Typ Get-MPComputerStatus|select AMRunningMode.

  3. Bekräfta att resultatet EDR Block Mode , visas.

    Tips

    Om Microsoft Defender Antivirus är i aktivt läge visas i stället Normal för EDR Block Mode . Mer information finns i Get-MpComputerStatus.

Stöds Identifiering och åtgärd på slutpunkt i blockeringsläge i Windows Server 2016?

Om Microsoft Defender Antivirus körs i aktivt läge eller passivt läge stöds Identifiering och åtgärd på slutpunkt i blockeringsläge av följande versioner av Windows:

  • Windows 10 (alla versioner)
  • Windows Server, version 1803 eller senare
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows 11

Anteckning

Windows Server 2016 och Windows Server 2012 R2 måste introduceras med hjälp av instruktionerna i Onboard Windows för att den här funktionen ska fungera.

Hur lång tid tar det för Identifiering och åtgärd på slutpunkt i blockeringsläget att inaktiveras?

Om du väljer att inaktivera Identifiering och åtgärd på slutpunkt i blockeringsläge kan det ta upp till 30 minuter för systemet att inaktivera den här funktionen.

Se även