適用於端點的 Microsoft Defender方案 1 概觀

適用於

適用於端點的 Microsoft Defender是一個企業端點安全性平臺,其設計目的是協助像您的組織一樣防止、偵測、調查及回應進階威脅。 我們很高興地宣佈適用于端點的 Defender 現已在兩個方案中提供:

下圖中的綠色方塊描述適用于端點的 Defender 方案 1 中包含的內容:

適用于端點的 Defender 方案 1 所桙取的內容

使用本指南來:

適用于端點的 Defender 方案 1 功能

適用于端點的 Defender 方案 1 包含下列功能:

  • 新一代保護 ,包括領先業界、強大的反惡意程式碼軟體和防病毒軟體保護
  • 手動回應動作,例如將檔案傳送至隔離區,安全性小組可以在偵測到威脅時對裝置或檔案採取這些動作
  • 強化裝置、防止零時差攻擊,並提供對端點存取和行為的細微控制 受攻擊面縮小功能
  • 使用 Microsoft 365 Defender入口網站進行集中式設定和管理,並與 Microsoft 端點管理員
  • 保護各種平臺,包括Windows、macOS、iOS和Android裝置

下列各節提供這些功能的更多詳細資料。

新一代保護

新一代保護包括強固的防毒軟體和反惡意程式碼防護。 透過新一代保護,您可以取得:

  • 行為型、啟發學習法和即時防病毒軟體保護
  • 雲端式保護,包括近乎即時的偵測和封鎖新的和新興威脅
  • 專用保護和產品更新,包括與Microsoft Defender 防毒軟體相關的更新

若要深入瞭解,請參閱 新一代保護概觀

手動回應動作

手動回應動作是安全性小組在端點或檔案中偵測到威脅時可採取的動作。 適用于端點的 Defender 包含特定 的手動回應動作,可以在 偵測到可能遭入侵或具有可疑內容的裝置上採取。 您也可以對偵測到為威脅的 檔案執行回應動作 。 下表摘要說明適用于端點的 Defender 方案 1 中可用的手動回應動作。

檔案/裝置 動作 描述
裝置 執行防毒掃描 啟動防毒軟體掃描。 如果在裝置上偵測到任何威脅,這些威脅通常會在防毒軟體掃描期間解決。
裝置 隔離裝置 中斷裝置與組織網路的連線,同時維持適用于端點的 Defender 連線能力。 此動作可讓您監視裝置,並視需要採取進一步的動作。
檔案 停止並隔離 停止進程執行和隔離相關聯的檔案。
檔案 新增指示器以封鎖或允許檔案 封鎖指標可防止在裝置上讀取、寫入或執行可攜式可執行檔。

允許指標防止檔案遭到封鎖或補救。

若要深入了解,請參閱下列文章:

受攻擊面縮小

貴組織的受攻擊面是您容易遭受網路攻擊的所有位置。 使用適用于端點的 Defender 方案 1,您可以保護組織使用的裝置和應用程式,以減少受攻擊面。 適用于端點的 Defender 方案 1 中包含的攻擊面縮小功能會在下列各節中說明。

若要深入瞭解適用于端點的 Defender 中的受攻擊面縮小功能,請參閱 受攻擊面縮小概觀

受攻擊面縮小規則

受攻擊面縮小規則會以某些被視為有風險的軟體行為為目標。 這類行為包括:

  • 啟動嘗試下載或執行其他檔案的可執行檔和腳本
  • 執行模糊化或其他可疑的指令碼
  • 在正常工作期間,應用程式通常不會起始的起始行為

合法的商務應用程式可以展現這類軟體行為;不過,這些行為通常會被視為有風險,因為攻擊者通常會透過惡意程式碼濫用這些行為。 受攻擊面縮小規則可以限制有風險的行為,並協助保護貴組織的安全。

若要深入瞭解,請 參閱使用受攻擊面縮小規則來防止惡意程式碼感染

勒索軟體防護功能

透過受控制的資料夾存取權,您可以獲得勒索軟體防護功能。 受控資料夾存取權只允許受信任的應用程式存取端點上受保護的資料夾。 應用程式會根據其普遍性和信譽,新增至受信任的應用程式清單。 您的安全性作業小組也可以從信任的應用程式清單中新增或移除應用程式。

若要深入瞭解,請參閱 使用受控資料夾存取權保護重要資料夾

裝置控制

有時候,對貴組織裝置的威脅會以卸載式磁片磁碟機上的檔案形式出現,例如 USB 磁片磁碟機。 適用于端點的 Defender 包含的功能可協助防止未經授權的週邊設備威脅危害您的裝置。 您可以設定適用于端點的 Defender 封鎖或允許卸載式裝置和卸載式裝置上的檔案。

若要深入瞭解,請 參閱控制 USB 裝置和抽取式媒體

Web 保護

透過 Web 保護,您可以保護組織的裝置免于遭受 Web 威脅和垃圾內容。 Web 保護包括 Web 威脅防護和 Web 內容篩選。

  • Web 威脅防護 可防止存取網路釣魚網站、惡意程式碼媒介、惡意探索網站、不受信任或低信譽的網站,以及您明確封鎖的網站。
  • Web 內容篩選 可防止根據特定網站的類別存取這些網站。 類別可以包括成人內容、遊樂網站、法律責任網站等等。

若要深入瞭解,請參閱 Web 保護

網路保護

透過網路保護,您可以防止組織存取可能在網際網路上裝載網路釣魚詐騙、惡意探索和其他惡意內容的危險的網域。

若要深入瞭解,請 參閱保護您的網路

網路防火牆

透過網路防火牆保護,您可以設定規則來決定允許哪些網路流量流入或流出組織的裝置。 使用適用于端點的 Defender 取得的網路防火牆和進階安全性,您可以.

  • 降低網路安全性威脅的風險
  • 保護敏感性資料和智慧財產權
  • 擴充您的安全性投資

若要深入瞭解,請參閱具有進階安全性的Windows Defender 防火牆

應用程式控制

應用程式控制只會在系統核心 (核心) 中執行信任的應用程式和程式碼,以保護Windows端點。 您的安全性小組可以定義應用程式控制規則,以考慮應用程式的屬性,例如其程式碼簽署憑證、信譽、啟動程式等等。 應用程式控制可在Windows 10或更新版本中使用。

若要深入瞭解,請參閱Windows 的應用程式控制

集中式管理

適用于端點的 Defender 方案 1 包含Microsoft 365 Defender入口網站,可讓您的安全性小組檢視目前偵測到的威脅資訊、採取適當的動作來降低威脅,以及集中管理組織的威脅防護設定。

若要深入了解,請參閱 Microsoft 365 Defender 入口網站概觀

角色型存取控制

使用角色型存取控制 (RBAC) ,您的安全性系統管理員可以建立角色和群組,以授與Microsoft 365 Defender入口網站 () https://security.microsoft.com 的適當存取權。 使用 RBAC,您可以更精細地控制誰可以存取適用於雲端的 Defender,以及他們可以看到和執行的動作。

若要深入瞭解,請 參閱使用角色型存取控制管理入口網站存取

報告

Microsoft 365 Defender入口網站 () https://security.microsoft.com 可讓您輕鬆存取偵測到的威脅和動作資訊,以解決這些威脅。

  • 頁包含一些卡片,可顯示哪些使用者或裝置有風險、偵測到多少威脅,以及已建立哪些警示/事件。
  • [ 事件&警示] 區段會列出因觸發的警示而建立的任何事件。 警示和事件會隨著跨裝置偵測到威脅而產生。
  • 控制 中心 會列出已採取的補救動作。 例如,如果檔案傳送至隔離區,或封鎖 URL,每個動作都會列在 [歷程記錄] 索引標籤的 [控制中心 ] 中。
  • [ 報告] 區段包含顯示偵測到的威脅及其狀態的報告。

若要深入瞭解,請參閱 適用於端點的 Microsoft Defender 方案 1 的開始

API

使用適用于端點的 Defender API,您可以將工作流程自動化,並與組織的自訂解決方案整合。

若要深入瞭解,請參閱 適用于端點的 Defender API

跨平台支援

大部分的組織都會使用各種裝置和作業系統。 目前,適用于端點的 Defender 方案 1 支援下列作業系統:

  • Windows需要 7 (ESU)
  • Windows 8.1
  • Windows 10版本 1709 或更新版本
  • Windows 10 企業版
  • Windows 10 企業版 LTSC 2016 (或更新版本) ] (/windows/whats-new/ltsc/)
  • Windows 10 企業版 IoT
  • macOS (支援三個最新版本)
  • iOS
  • Android OS

後續步驟