Ympäristön lisäominaisuuksien määrittäminen
Yleiset asetukset -alueen Lisäominaisuudet-alueella on monia tuotteen ominaisuuksiin kuuluvia on/ei käytössä -valitsimia. Myöhemmissä moduuleissa on joitakin näistä ominaisuuksista, joita opit lisää.
Käyttämistäsi Microsoftin suojaustuotteista riippuen voit integroida Defender for Endpointin joidenkin lisäominaisuuksien avulla.
Valitse siirtymisruudussa Asetukset > Päätepisteet Lisäominaisuudet > .
Valitse lisäominaisuus, jonka haluat määrittää, ja vaihda asetuksen tilaksi Käytössä ja Ei käytössä.
Valitse Tallenna asetukset.
Seuraavien kehittyneiden ominaisuuksien avulla voit suojautua paremmin mahdollisesti haitallisilta tiedostoilta ja saada entistä parempia tietoja suojaustutkimusten aikana.
Automaattinen tutkinta
Ota tämä ominaisuus käyttöön, jotta voit hyödyntää palvelun automaattisia tutkinta- ja korjausominaisuuksia. Lisätietoja on artikkelissa Automaattinen tutkinta.
Reaaliaikainen vastaus
Huomautus
Reaaliaikainen vastaus edellyttää, että automaattinen tutkinta on käytössä, ennen kuin voit ottaa sen käyttöön portaalin Lisäasetukset-osiossa.
Ota tämä ominaisuus käyttöön, jotta käyttäjät, joilla on tarvittavat käyttöoikeudet, voivat aloittaa reaaliaikaisen vastausistunnon laitteissa.
Reaaliaikainen vastaus palvelimille
Ota tämä ominaisuus käyttöön, jotta käyttäjät, joilla on tarvittavat käyttöoikeudet, voivat aloittaa reaaliaikaisen vastausistunnon palvelimilla.
Reaaliaikaisen vastauksen allekirjoittamaton komentosarjan suorittaminen
Kun otat tämän ominaisuuden käyttöön, voit suorittaa allekirjoittamattomia komentosarjoja reaaliaikaisessa vastausistunnossa.
Korjaa PUA aina
Mahdollisesti ei-toivotut sovellukset (PUA) ovat ohjelmistoluokka, joka voi saada koneesi toimimaan hitaasti, näyttämään odottamattomia mainoksia tai pahimmassa tapauksessa asentamaan muita ohjelmistoja, jotka saattavat olla odottamattomia tai ei-toivottuja.
Ota tämä ominaisuus käyttöön niin, että mahdollisesti ei-toivotut sovellukset (PUA) korjataan vuokraajan kaikissa laitteissa, vaikka PUA-suojausta ei olisi määritetty laitteissa. Tämä ominaisuuden aktivointi auttaa käyttäjiä epähuomiossa asentamasta ei-toivottuja sovelluksia laitteeseensa. Kun se on poistettu käytöstä, korjaaminen vaihtelee laitteen määrityksen mukaan.
Rajoita korrelaatio vaikutusalueen sisältämään laiteryhmään
Tätä määritystä voidaan käyttää tilanteissa, joissa paikalliset SOC-toiminnot haluavat rajoittaa ilmoitusten korrelaatiot vain laiteryhmiin, joita he voivat käyttää. Kun tämä asetus on käytössä, tapaus, joka koostuu hälytyksistä, joita laiteryhmien välillä ei enää pidetä yksittäisenä tapauksena. Paikallinen SOC voi sitten ryhtyä toimiin tapahtuman johdosta, koska heillä on pääsy johonkin mukana olleista laiteryhmistä. Maailmanlaajuinen SOC näkee kuitenkin useita eri tapauksia laiteryhmän mukaan yhden tapauksen sijaan. Emme suosittele tämän asetuksen käyttöönotusta, ellei se ole suurempi kuin tapausten korrelaation edut koko organisaatiossa.
Huomautus
Tämän asetuksen muuttaminen vaikuttaa vain tuleviin ilmoitusten korrelaatioihin.
Ota EDR käyttöön lohkotilassa
Päätepisteen tunnistaminen ja vastaus (EDR) estotilassa suojaa haitallisilta artefakteilta, vaikka Microsoft Defender virustentorjunta suoritetaan passiivitilassa. Kun EDR on käytössä lohkotilassa, se estää haitallisia artefakteja tai toimintoja, jotka tunnistetaan laitteessa. Estotilassa oleva EDR toimii taustalla, jotta voidaan korjata haitallisia artefakteja, jotka havaitaan murron jälkeen.
Korjaa korjaavat hälytykset automaattisesti
Vuokraajille, jotka on luotu Windows 10:n versiossa 1809 tai sen jälkeen, automaattinen tutkinta ja korjausominaisuus määritetään oletusarvoisesti ratkaisemaan hälytykset, joissa automatisoidun analyysin tulostila on "Ei uhkia löytynyt" tai "Korjaatu". Jos et halua, että ilmoitukset ratkaistaan automaattisesti, sinun on poistettava ominaisuus käytöstä manuaalisesti.
Vinkki
Ennen kyseistä versiota luotujen vuokraajien on otettava tämä ominaisuus käyttöön manuaalisesti Lisäominaisuudet-sivulta.
Huomautus
Automaattisen ratkaisutoiminnon tulos voi vaikuttaa Laitteen riskitason laskentaan, joka perustuu laitteesta löyty oleviin aktiivisiin hälytyksiin. Jos tietoturva-analyytikko määrittää manuaalisesti hälytyksen tilaksi "Keskeneräinen" tai "Ratkaistu", automaattinen ratkaisu -ominaisuus ei korvaa sitä.
Salli tai estä tiedosto
Estäminen on käytettävissä vain, jos organisaatiosi täyttää seuraavat vaatimukset:
- Käyttää Microsoft Defender Virustorjunta aktiivista haittaohjelmien torjuntaratkaisuna
- Pilvipohjainen suojausominaisuus on käytössä
Tämän ominaisuuden avulla voit estää mahdollisesti haitallisia tiedostoja verkossasi. Tiedoston estäminen estää sen lukemisen, kirjoittamisen tai suorittamisen organisaatiosi laitteissa.
Kun olet kytkenyt tämän ominaisuuden käyttöön, voit estää tiedostot tiedoston profiilisivun Lisää ilmaisin -välilehden kautta.
Mukautetut verkkoilmaisimet
Kun otat tämän ominaisuuden käyttöön, voit luoda IP-osoitteille, toimialueille tai URL-osoitteille ilmaisimia, jotka määrittävät, sallitaanko ne vai estetäänkö ne mukautetun ilmaisinluettelon perusteella.
Tämän ominaisuuden käyttäminen edellyttää, että laitteissa on käytössä Windows 10 versio 1709 tai uudempi versio tai Windows 11. Niiden verkon suojauksen tulisi olla myös lohkotilassa ja sen version 4.18.1906.3 tai uudempi tai uudempi haittaohjelmien torjuntaympäristöstä on KB 4052623.
Huomautus
Verkkosuojaus käyttää mainepalveluja, jotka käsittelevät pyyntöjä sijainneissa, jotka saattavat olla niiden sijaintien ulkopuolella, jotka olet valinnut Defender for Endpoint -tiedoillesi.
Peukaloinnin suojaus
Jonkinlaisen kyberhyökkäyksen aikana huonot näyttelijät yrittävät poistaa koneiden tietoturvaominaisuudet, kuten virussuojauksen, käytöstä. Huonot toimijat haluavat poistaa suojausominaisuudet käytöstä, jotta tietojasi voidaan käyttää helpommin, haittaohjelmia voidaan asentaa tai tietoja, käyttäjätietoja ja laitteita voidaan muuten hyödyntää.
Peukaloinnin suojaus lukitsee Microsoft Defender virustentorjuntaohjelman ja estää suojausasetusten muuttamisen sovelluksilla ja menetelmillä.
Tämä ominaisuus on käytettävissä, jos organisaatiosi käyttää Microsoft Defender Virustorjuntaa ja pilvipohjainen suojaus on käytössä.
Jätä suojaus päälle, jotta suojausratkaisuun ja sen olennaisiin ominaisuuksiin ei tarvitse tehdä ei-toivottuja muutoksia.
Näytä käyttäjätiedot
Ota tämä ominaisuus käyttöön, jotta näet Microsoft Entra ID tallennetut käyttäjätiedot. Tiedot sisältävät käyttäjän kuvan, nimen, otsikon ja osaston tiedot, kun tutkitaan käyttäjätilin entiteettejä. Käyttäjätilin tiedot ovat seuraavissa näkymissä:
- Suojaustoimintojen koontinäyttö
- Ilmoitusjono
- Laitteen tietosivu
Skype for Business integrointi
kun otat käyttöön Skype for Business integroinnin, voit viestiä käyttäjien kanssa käyttämällä Skype for Business, sähköpostia tai puhelinta. Tämä aktivointi voi olla kätevä, kun sinun on viestittävä käyttäjän kanssa ja vähennettävä riskejä.
Huomautus
Kun laite eristetään verkosta, ponnahdusikkunassa on ponnahdusikkuna, jossa voit ottaa käyttöön Outlook- ja Skype-viestinnän, joka mahdollistaa viestinnän käyttäjälle, kun heidän verkkonsa on katkaistu. Tämä asetus koskee Skype- ja Outlook-tietoliikennettä, kun laitteet ovat eristystilassa.
Microsoft Defender for Identity -integrointi
Microsoft Defender for Identity -integraation avulla voit pivotoida suoraan toiseen Microsoft Identity Security -tuotteeseen. Microsoft Defender for Identity laajentaa tutkimusta ja sisältää lisää merkityksellisiä tietoja epäillystä vaarantuneesta tilistä ja siihen liittyvistä resursseista. Ottamalla tämän ominaisuuden käyttöön voit rikastaa laitepohjaista tutkimusominaisuutta pivotoimalla verkon kautta käyttäjätietojen näkökulmasta.
Huomautus
Sinulla on oltava asianmukainen käyttöoikeus, jotta voit ottaa tämän ominaisuuden käyttöön.
Office 365 Uhkatietoyhteys
Tämä ominaisuus on käytettävissä vain, jos sinulla on aktiivinen Office 365 E5 tai uhkatieto-lisäosa.
Kun otat tämän ominaisuuden käyttöön, pystyt sisällyttämään Microsoft Defender for Office 365:n tietoja Microsoft Defender XDR:ään suorittamaan kattavan suojaustutkinnan Office 365 -postilaatikoissa ja Windows-laitteissa.
Huomautus
Sinulla on oltava asianmukainen käyttöoikeus, jotta voit ottaa tämän ominaisuuden käyttöön.
Jos haluat saada tilannekohtaisen laiteintegraation Office 365 Threat Intelligenceen, sinun on otettava käyttöön Defender for Endpoint -asetukset Tietoturva ja yhteensopivuus -koontinäytössä.
Microsoft Threat -asiantuntijat – kohdennetut hyökkäysilmoitukset
Voit käyttää asiantuntijoiden tarvittaessa -ominaisuutta vain, jos olet hakenut esikatselua ja sovelluksesi on hyväksytty. Voit vastaanottaa kohdennettuja hyökkäysilmoituksia Microsoft Threat -asiantuntijoilta portaalin hälytysten koontinäytön kautta ja sähköpostitse, jos olet määrittänyt sen.
Microsoft Defender for Cloud Apps
Kun tämä asetus otetaan käyttöön, Defender for Endpoint -signaalit lähetetään edelleen Microsoft Defender for Cloud Apps, jotta pilvisovellusten käyttöön saadaan syvempi näkyvyys. Välitetyt tiedot tallennetaan ja käsitellään samassa sijainnissa kuin Defender for Cloud Apps tiedot.
Microsoft Defender for Endpoint -integroinnin ottaminen käyttöön Microsoft Defender for Identity -portaalista
Jos haluat saada tilannekohtaisen laiteintegroinnin Microsoft Defender for Identityssä, sinun on otettava ominaisuus käyttöön myös Microsoft Defender for Identity -portaalissa.
Verkkosisällön suodatus
Estä ei-toivottua sisältöä sisältävien sivustojen käyttö ja seuraa kaikkien toimialueiden verkkotoimintaa. Jos haluat määrittää verkkosisältöluokat, jotka haluat estää, luo verkkosisällön suodatuskäytäntö. Varmista, että verkkosuojaus on lohkotilassa, kun otat käyttöön Microsoft Defender for Endpoint Securityn perustasoa.
Jaa päätepisteilmoitukset Microsoft Purview -yhteensopivuusportaalin avulla
Lähettää edelleen päätepisteiden suojausilmoitukset ja niiden triage-tilan Microsoft Purview -yhteensopivuusportaali, jolloin voit parantaa insider-riskinhallintakäytäntöjä hälytyksillä ja korjata sisäisiä riskejä ennen niiden aiheuttamaa haittaa. Välitetyt tiedot käsitellään ja tallennetaan samaan sijaintiin kuin Office 365 tiedot.
Kun tietoturvakäytännön rikkomusilmaisimet on määritetty sisäpiiririskinhallinta-asetuksissa, Defender for Endpoint -hälytykset jaetaan sisäpiirin riskienhallinnan kanssa soveltuville käyttäjille.
Microsoft Intune yhteys
Defender for Endpoint voidaan integroida Microsoft Intunen kanssa, mikä mahdollistaa laitteen riskipohjaisen ehdollisen käytön. Kun otat tämän ominaisuuden käyttöön, voit jakaa Defender for Endpoint -laitetietoja Intunen kanssa, mikä parantaa käytännön pakottamista.
Tärkeää
Sinun on otettava integrointi käyttöön sekä Intune että Defender for Endpointissa, jotta voit käyttää tätä ominaisuutta.
Tämä ominaisuus on käytettävissä vain, jos sinulla on seuraavat edellytykset:
Enterprise Mobility + Security E3 ja Windows E5:n (tai Microsoft 365 Enterprise E5:n) lisensoitu vuokraaja
Aktiivinen Microsoft Intune -ympäristö, johon on liitetty Intunen hallitsemia Windows-laitteita, johon Microsoft Entra on liitetty.
Ehdollisen käyttöoikeuden käytäntö
Kun otat Intune-integroinnin käyttöön, Intune luo automaattisesti perinteisen Ehdollisen käyttöoikeuden (CA) käytännön. Tämä perinteinen varmenteiden myöntäjän käytäntö on edellytys tilaraporttien määrittämiselle Intuneen. Sitä ei pitäisi poistaa.
Huomautus
Intunen luoma perinteinen varmenteiden myöntäjän käytäntö eroaa moderneista ehdollisten käyttöoikeuksien käytännöistä, joita käytetään päätepisteiden määrittämiseen.
Laitteiden etsintä
Auttaa löytämään hallitsemattomia laitteita, jotka on yhdistetty yrityksen verkkoon ilman ylimääräisiä laitteita tai hankalia prosessimuutoksia. Käyttämällä perehdyttämättömiä laitteita löydät verkostasi hallitsemattomia laitteita ja voit arvioida haavoittuvuuksia ja riskejä.
Huomautus
Voit aina käyttää suodattimia jättääksesi hallitsemattomat laitteet pois laitteen varastoluettelosta. Voit myös käyttää API-kyselyiden perehdyttämisen tilasaraketta hallitsemattomien laitteiden suodattamiseen pois.
Esikatseluominaisuudet
Lue lisätietoja Defender for Endpointin esikatseluversion uusista ominaisuuksista. Kokeile tulevia ominaisuuksia ottamalla käyttöön esikatselukokemus.
Voit käyttää tulevia ominaisuuksia, joista voit antaa palautetta yleisen käyttökokemuksen parantamiseksi, ennen kuin ominaisuudet ovat yleisesti saatavilla.
Lataa karanteeniin asetettuja tiedostoja
Varmuuskopioi karanteeniin asetetut tiedostot turvalliseen ja yhteensopivaan sijaintiin, jotta ne voidaan ladata suoraan karanteenista. Lataa tiedosto -painike on aina käytettävissä tiedostosivulla. Tämä asetus on oletusarvoisesti käytössä.