Identifiering och svar av slutpunkt (Identifiering och åtgärd på slutpunkt) i blockeringslägeEndpoint detection and response (EDR) in block mode

Gäller för:Applies to:

Vill du använda Defender för Slutpunkt?Want to experience Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

Vad är Identifiering och åtgärd på slutpunkt i blockeringsläge?What is EDR in block mode?

Identifiering och svar av slutpunkt (Identifiering och åtgärd på slutpunkt) i blockeringsläge ger skydd mot skadliga artefakter, även när Microsoft Defender Antivirus körs i passiv form.Endpoint detection and response (EDR) in block mode provides protection from malicious artifacts, even when Microsoft Defender Antivirus is running in passive mode. När den är Identifiering och åtgärd på slutpunkt blockeras skadliga artefakter eller beteenden som upptäcks på en enhet.When turned on, EDR in block mode blocks malicious artifacts or behaviors that are detected on a device. Identifiering och åtgärd på slutpunkt i blockeringsläge fungerar bakom kulisserna för att åtgärda skadliga artefakter som upptäcks efter intrånget.EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post breach.

Identifiering och åtgärd på slutpunkt i blockeringsläge är också integrerat med & hantering av säkerhetsrisker.EDR in block mode is also integrated with threat & vulnerability management. Din organisations säkerhetsteam kommer att få en säkerhetsrekommendationer om att aktivera Identifiering och åtgärd på slutpunkt i blockeringsläge om det inte redan är aktiverat.Your organization's security team will get a security recommendation to turn EDR in block mode on if it isn't already enabled.

rekommendation att aktivera Identifiering och åtgärd på slutpunkt i blockläge

Anteckning

För att få det bästa skyddet bör du distribuera Microsoft Defender för slutpunktsbaslinjer.To get the best protection, make sure to deploy Microsoft Defender for Endpoint baselines.

Vad händer när något identifieras?What happens when something is detected?

När Identifiering och åtgärd på slutpunkt i blockeringsläge är aktiverat och en skadlig artefakt upptäcks, blockerar och åtgärdar Microsoft Defender för Slutpunktsblock och åtgärdar artefakten.When EDR in block mode is turned on, and a malicious artifact is detected, Microsoft Defender for Endpoint blocks and remediates that artifact. Ditt team för säkerhetsåtgärder ser identifieringsstatus som Blockerad eller Förhindrad i Åtgärdscenter , som visas som slutförda åtgärder. Your security operations team will see detection status as Blocked or Prevented in the Action center, listed as completed actions.

Följande bild visar en instans av oönskad programvara som har upptäckts och blockerats i Identifiering och åtgärd på slutpunkt i blockeringsläge:The following image shows an instance of unwanted software that was detected and blocked through EDR in block mode:

Identifiering och åtgärd på slutpunkt något i blockeringsläge

Aktivera Identifiering och åtgärd på slutpunkt i blockeringslägeEnable EDR in block mode

Viktigt

Kontrollera att kraven uppfylls innan du Identifiering och åtgärd på slutpunkt i blockläge.Make sure the requirements are met before turning on EDR in block mode.

  1. Gå till Microsoft Defender Säkerhetscenter ( https://securitycenter.windows.com ) och logga in.Go to the Microsoft Defender Security Center (https://securitycenter.windows.com) and sign in.

  2. Välj Inställningar > Avancerade funktioner.Choose Settings > Advanced features.

  3. Aktivera Identifiering och åtgärd på slutpunkt i blockläge.Turn on EDR in block mode.

Anteckning

Identifiering och åtgärd på slutpunkt i blockläge kan endast aktiveras i Microsoft Defender Säkerhetscenter.EDR in block mode can be turned on only in the Microsoft Defender Security Center. Du kan inte använda registernycklar, Intune eller grupprinciper för att aktivera eller Identifiering och åtgärd på slutpunkt i blockeringsläge.You cannot use registry keys, Intune, or group policies to enable or disable EDR in block mode.

Krav för Identifiering och åtgärd på slutpunkt i blocklägeRequirements for EDR in block mode

KravRequirement InformationDetails
BehörigheterPermissions Rollen global administratör eller säkerhetsadministratör tilldelad i Azure Active Directory.Global Administrator or Security Administrator role assigned in Azure Active Directory. Se Grundläggande behörigheter.See Basic permissions.
OperativsystemOperating system Någon av följande versioner:One of the following versions:
- Windows 10 (alla versioner)- Windows 10 (all releases)
- Windows Server, version 1803 eller senare- Windows Server, version 1803 or newer
- Windows Server 2019- Windows Server 2019
- Windows Server 2016 (endast när Microsoft Defender Antivirus är i aktivt läge)- Windows Server 2016 (only when Microsoft Defender Antivirus is in active mode)
Windows E5-registreringWindows E5 enrollment Windows E5 ingår i följande prenumerationer:Windows E5 is included in the following subscriptions:
- Microsoft 365 E5- Microsoft 365 E5
- Microsoft 365 E3 tillsammans med erbjudandet om & och skydd mot hot- Microsoft 365 E3 together with the Identity & Threat Protection offering

Se Komponenter och funktioner för varje abonnemang.See Components and features and capabilities for each plan.
Microsoft Defender AntivirusMicrosoft Defender Antivirus Microsoft Defender Antivirus måste installeras och köras i antingen aktivt läge eller passivt läge.Microsoft Defender Antivirus must be installed and running in either active mode or passive mode. (Du kan använda Microsoft Defender Antivirus tillsammans med en antiviruslösning som inte är en Microsoft-lösning.) Kontrollera Microsoft Defender Antivirus är i aktivt eller passivt läge.(You can use Microsoft Defender Antivirus alongside a non-Microsoft antivirus solution.) Confirm Microsoft Defender Antivirus is in active or passive mode.
Molnbaserat skyddCloud-delivered protection Se till Microsoft Defender Antivirus är konfigurerat så att moln levererat skydd är aktiverat.Make sure Microsoft Defender Antivirus is configured such that cloud-delivered protection is enabled.
Microsoft Defender Antivirus mot skadlig programvaraMicrosoft Defender Antivirus antimalware client Kontrollera att din klient är uppdaterad.Make sure your client is up to date. Med PowerShell kör du cmdleten Get-MpComputerStatus som administratör.Using PowerShell, run the Get-MpComputerStatus cmdlet as an administrator. I raden AMProductVersion bör du se 4.18.2001.10 eller högre.In the AMProductVersion line, you should see 4.18.2001.10 or above.
Microsoft Defender Antivirus motorMicrosoft Defender Antivirus engine Kontrollera att motorn är uppdaterad.Make sure your engine is up to date. Med PowerShell kör du cmdleten Get-MpComputerStatus som administratör.Using PowerShell, run the Get-MpComputerStatus cmdlet as an administrator. raden AMEngineVersion bör du se 1.1.16700.2 eller högre.In the AMEngineVersion line, you should see 1.1.16700.2 or above.

Viktigt

För att få bästa möjliga skydd ser du till att antiviruslösningen är konfigurerad för att ta emot regelbundna uppdateringar och viktiga funktioner och att undantagen är konfigurerade.To get the best protection value, make sure your antivirus solution is configured to receive regular updates and essential features, and that your exclusions are configured. Identifiering och åtgärd på slutpunkt i blockeringsläge följer undantag som har definierats för Microsoft Defender Antivirus.EDR in block mode respects exclusions that are defined for Microsoft Defender Antivirus.

Vanliga frågor och svarFrequently asked questions

Måste jag aktivera Identifiering och åtgärd på slutpunkt även när jag har aktiverat Microsoft Defender Antivirus på enheter?Do I need to turn EDR in block mode on even when I have Microsoft Defender Antivirus running on devices?

Vi rekommenderar att Identifiering och åtgärd på slutpunkt i blockeringsläge på, oavsett Microsoft Defender Antivirus körs i passiv form eller i aktivt läge.We recommend keeping EDR in block mode on, whether Microsoft Defender Antivirus is running in passive mode or in active mode. Identifiering och åtgärd på slutpunkt i blockläge ger ytterligare ett skyddslager med Microsoft Defender för Endpoint.EDR in block mode provides another layer of defense with Microsoft Defender for Endpoint. Det gör att Defender för Endpoint kan vidta åtgärder baserat på efterbrottsbeteenden Identifiering och åtgärd på slutpunkt identifieringar.It allows Defender for Endpoint to take actions based on post-breach behavioral EDR detections.

Kommer Identifiering och åtgärd på slutpunkt i blockeringsläge att ha någon inverkan på en användares antivirusskydd?Will EDR in block mode have any impact on a user's antivirus protection?

Identifiering och åtgärd på slutpunkt i blockeringsläget påverkar inte antivirusskyddet från tredje part som körs på användarnas enheter.EDR in block mode does not affect third-party antivirus protection running on users' devices. Identifiering och åtgärd på slutpunkt i blockeringsläge fungerar om den primära antiviruslösningen missar något, eller om det finns en identifiering efter intrång.EDR in block mode works if the primary antivirus solution misses something, or if there is a post-breach detection. Identifiering och åtgärd på slutpunkt i blockläge fungerar precis som Microsoft Defender Antivirus i passivt läge, förutom att det även blockerar och åtgärdar skadliga artefakter eller beteenden som upptäcks.EDR in block mode works just like Microsoft Defender Antivirus in passive mode, except it also blocks and remediates malicious artifacts or behaviors that are detected.

Varför måste jag hålla Microsoft Defender Antivirus mig uppdaterad?Why do I need to keep Microsoft Defender Antivirus up to date?

Eftersom Microsoft Defender Antivirus identifierar och åtgärdar skadliga objekt är det viktigt att hålla den uppdaterad.Because Microsoft Defender Antivirus detects and remediates malicious items, it's important to keep it up to date. För Identifiering och åtgärd på slutpunkt i blockläge är effektivt används de senaste utbildningsmodellerna för enheter, beteendeidentifiering och heuristik.For EDR in block mode to be effective, it uses the latest device learning models, behavioral detections, and heuristics. Defender för Slutpunkt-stacken med funktioner fungerar på ett integrerat sätt.The Defender for Endpoint stack of capabilities works in an integrated manner. För att få bästa möjliga skydd bör du Microsoft Defender Antivirus hålla dig uppdaterad.To get best protection value, you should keep Microsoft Defender Antivirus up to date. Se Hantera Microsoft Defender Antivirus uppdateringar och använda baslinjer.See Manage Microsoft Defender Antivirus updates and apply baselines.

Varför behöver vi molnskydd på?Why do we need cloud protection on?

Molnskydd krävs för att aktivera funktionen på enheten.Cloud protection is needed to turn on the feature on the device. Molnskydd gör att Defender för Endpoint kan tillhandahålla det senaste och bästa skyddet baserat på vår bredd och djup av säkerhetsinformation, tillsammans med modeller för beteende och enhetsinlärning.Cloud protection allows Defender for Endpoint to deliver the latest and greatest protection based on our breadth and depth of security intelligence, along with behavioral and device learning models.

Hur ställer jag in Microsoft Defender Antivirus passivt läge?How do I set Microsoft Defender Antivirus to passive mode?

När enheter som kör en lösning som inte är en Microsoft-antivirus-/antimalware-lösning förs in i Defender för Endpoint kan Microsoft Defender Antivirus automatiskt gå in i passivt läge.Depending on operating systems, when devices that are running a non-Microsoft antivirus/antimalware solution are onboarded to Defender for Endpoint, Microsoft Defender Antivirus can go into passive mode automatically. Mer information finns i Hur Microsoft Defender Antivirus påverkar Defender för Slutpunkt-funktioner.For more information, see How Microsoft Defender Antivirus affects Defender for Endpoint functionality.

Hur bekräftar jag att Microsoft Defender Antivirus i aktivt eller passivt läge?How do I confirm Microsoft Defender Antivirus is in active or passive mode?

Om du vill Microsoft Defender Antivirus i aktivt eller passivt läge kan du använda Kommandotolken eller PowerShell på en enhet som kör Windows.To confirm whether Microsoft Defender Antivirus is running in active or passive mode, you can use Command Prompt or PowerShell on a device running Windows.

MetodMethod FörfarandeProcedure
PowerShellPowerShell 1. Välj Start-menyn, börja PowerShell skriva och öppna Windows PowerShell i resultatet.1. Select the Start menu, begin typing PowerShell, and then open Windows PowerShell in the results.

2. Skriv Get-MpComputerStatus .2. Type Get-MpComputerStatus.

3. Leta efter något av följande värden i resultatlistan på raden AMRunningMode:3. In the list of results, in the AMRunningMode row, look for one of the following values:
- Normal
- Passive Mode
- SxS Passive Mode

Mer information finns i Get-MpComputerStatus.To learn more, see Get-MpComputerStatus.

KommandotolkenCommand Prompt 1. Välj Start-menyn, börja skriva och öppna Command Prompt Windows Kommandotolken i resultatet.1. Select the Start menu, begin typing Command Prompt, and then open Windows Command Prompt in the results.

2. Skriv sc query windefend .2. Type sc query windefend.

3. I resultatlistan, på raden DELSTAT, bekräftar du att tjänsten körs.3. In the list of results, in the STATE row, confirm that the service is running.

Hur lång tid tar det för Identifiering och åtgärd på slutpunkt i blockeringsläget att inaktiveras?How much time does it take for EDR in block mode to be disabled?

Om du väljer att Identifiering och åtgärd på slutpunkt i blockläge kan det ta upp till 30 minuter för systemet att inaktivera den här funktionen.If you chose to disable EDR in block mode, it can take up to 30 minutes for the system to disable this capability.

Stöds Identifiering och åtgärd på slutpunkt i blockeringsläge på Windows Server 2016?Is EDR in block mode supported on Windows Server 2016?

Om Microsoft Defender Antivirus i aktivt läge eller passivt läge stöds Identifiering och åtgärd på slutpunkt i blockeringsläge av följande versioner av Windows:If Microsoft Defender Antivirus is running in active mode or passive mode, EDR in block mode is supported of the following versions of Windows:

  • Windows 10 (alla versioner)Windows 10 (all releases)
  • Windows Server, version 1803 eller senareWindows Server, version 1803 or newer
  • Windows Server 2019Windows Server 2019

Om Windows Server 2016 har Microsoft Defender Antivirus i aktivt läge och slutpunkten är onboarded till Defender för Endpoint stöds Identifiering och åtgärd på slutpunkt i blockeringsläge tekniskt.If Windows Server 2016 has Microsoft Defender Antivirus running in active mode, and the endpoint is onboarded to Defender for Endpoint, then EDR in block mode is technically supported. Men funktionen Identifiering och åtgärd på slutpunkt i blockläge är avsedd att vara extra skydd när Microsoft Defender Antivirus inte är den primära antiviruslösningen på en slutpunkt.However, EDR in block mode is intended to be extra protection when Microsoft Defender Antivirus is not the primary antivirus solution on an endpoint. I sådana fall Microsoft Defender Antivirus i passiv form.In those cases, Microsoft Defender Antivirus runs in passive mode. För närvarande stöds Microsoft Defender Antivirus i passivt läge inte på Windows Server 2016.Currently, running Microsoft Defender Antivirus in passive mode is not supported on Windows Server 2016. Mer information finns i artikeln om Microsoft Defender Antivirus antivirus- och antimalwarelösningar från Microsoft.To learn more, see Microsoft Defender Antivirus and non-Microsoft antivirus/antimalware solutions.

Se ävenSee also