阻止模式下的终结点检测和响应
适用于:
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender 防病毒
平台
- Windows
希望体验 Defender for Endpoint? 注册免费试用版。
本文介绍处于块模式的 EDR,这有助于保护运行非 Microsoft 防病毒解决方案的设备, (处于被动模式的 Microsoft Defender 防病毒) 。
什么是块模式下的 EDR?
当Microsoft Defender防病毒不是主要防病毒产品且在被动模式下运行时,终结点检测和响应 (EDR) 可提供额外的恶意项目保护。 在阻止模式下的 EDR 在 Defender for Endpoint 计划 2 中可用。
重要
当Microsoft Defender防病毒实时保护处于被动模式时,块模式下的 EDR 无法提供所有可用的保护。 依赖于Microsoft Defender防病毒作为活动防病毒解决方案的某些功能将不起作用,例如以下示例:
- 当Microsoft Defender防病毒处于被动模式时,实时保护(包括按访问扫描)和计划扫描不可用。 若要详细了解实时保护策略设置,请参阅启用和配置Microsoft Defender防病毒始终启用保护。
- 网络保护和攻击面减少规则和指示器 (文件哈希、IP 地址、URL 和证书) 仅在Microsoft Defender防病毒在活动模式下运行时可用。 非 Microsoft 防病毒解决方案应包含这些功能。
块模式下的 EDR 在后台工作,以修正 EDR 功能检测到的恶意项目。 非 Microsoft 的主要防病毒产品可能错过了此类项目。 块模式下的 EDR 允许Microsoft Defender防病毒对违规后的行为 EDR 检测执行操作。
块模式下的 EDR 与 威胁 & 漏洞管理功能 集成。 如果尚未启用 EDR,则组织的安全团队会获得 安全建议 ,以在阻止模式下启用 EDR。
提示
若要获得最佳保护,请确保部署Microsoft Defender for Endpoint基线。
观看此视频,了解为何以及如何在阻止模式下启用终结点检测和响应 (EDR) ,在从入侵前到违规后的每个阶段启用行为阻止和遏制。
检测到某些内容时会发生什么情况?
当处于阻止模式的 EDR 处于打开状态时,检测到恶意项目时,Defender for Endpoint 会修正该项目。 安全运营团队在操作中心看到检测状态为“已阻止”或“已阻止”,并列为已完成的操作。 下图显示了在块模式下通过 EDR 检测到并修正的不需要的软件的实例:
在块模式下启用 EDR
重要
- 在块模式下打开 EDR 之前,请确保满足 要求 。
- Defender for Endpoint 计划 2 许可证是必需的。
- 从平台版本 4.18.2202.X 开始,可以在块模式下设置 EDR,以便使用 Intune CSP 面向特定设备组。 可以在Microsoft Defender门户中继续在租户范围内以块模式设置 EDR。
- 对于在被动模式下运行Microsoft Defender防病毒的设备,主要建议使用块模式的 EDR, (在设备上安装并激活非 Microsoft 防病毒解决方案,) 。
Microsoft Defender 门户
转到Microsoft Defender门户 (https://security.microsoft.com/) 并登录。
选择 “设置>终结点>常规>高级功能”。
向下滚动,然后打开“ 在块模式下启用 EDR”。
Intune
若要在 Intune 中创建自定义策略,请参阅通过Intune部署 OMA-URIs 以面向 CSP,以及与本地的比较。
有关在块模式下用于 EDR 的 Defender CSP 的详细信息,请参阅 Defender CSP 下的“配置/PassiveRemediation”。
块模式下 EDR 的要求
下表列出了块模式下 EDR 的要求:
| 要求 | 详细信息 |
|---|---|
| 权限 | 必须在 Microsoft Entra ID 中分配全局管理员或安全管理员角色。 有关详细信息,请参阅 基本权限。 |
| 操作系统 | 设备必须运行以下 Windows 版本之一: - Windows 11 - Windows 10 (所有版本) - Windows Server 2019 或更高版本 - Windows Server 版本 1803 或更高版本 - 使用新的统一客户端解决方案) Windows Server 2016和Windows Server 2012 R2 ( |
| Microsoft Defender for Endpoint计划 2 | 设备必须载入到 Defender for Endpoint。 另请参阅以下文章: - Microsoft Defender for Endpoint的最低要求 - 载入设备并配置Microsoft Defender for Endpoint功能 - 将 Windows 服务器载入 Defender for Endpoint 服务 - 新式统一解决方案中的新Windows Server 2012 R2 和 2016 功能 (请参阅 Windows Server 2016 和 Windows Server 2012 R2 是否支持块模式下的 EDR?) |
| Microsoft Defender 防病毒 | 设备必须安装Microsoft Defender防病毒并在主动模式或被动模式下运行。 确认防病毒Microsoft Defender处于主动或被动模式。 |
| 云端保护 | Microsoft Defender必须配置防病毒,以便启用云提供的保护。 |
| Microsoft Defender防病毒平台 | 设备必须是最新的。 若要确认,请使用 PowerShell,请以管理员身份运行 Get-MpComputerStatus cmdlet。 在 AMProductVersion 行中,应会看到 4.18.2001.10 或更高版本。 要了解详细信息,请参阅 管理 Microsoft Defender 防病毒更新和应用基线。 |
| Microsoft Defender防病毒引擎 | 设备必须是最新的。 若要确认,请使用 PowerShell,请以管理员身份运行 Get-MpComputerStatus cmdlet。 在 AMEngineVersion 行中,应会看到 1.1.16700.2 或更高版本。 要了解详细信息,请参阅 管理 Microsoft Defender 防病毒更新和应用基线。 |
重要
若要获得最佳保护价值,请确保防病毒解决方案配置为接收定期更新和基本功能,并且 已配置排除项。 块模式下的 EDR 遵循为防病毒Microsoft Defender定义的排除项,但不包含为Microsoft Defender for Endpoint定义的指示器。
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈