Konfigurere avanserte miljøfunksjoner
Avanserte funksjoner-området i området Generelle innstillinger inneholder mange av/på-brytere for funksjoner i produktet. Noen av disse funksjonene vil du lære om i senere moduler.
Avhengig av hvilke Microsoft-sikkerhetsprodukter du bruker, kan det hende at noen avanserte funksjoner er tilgjengelige for integrering av Defender for endepunkt.
Velg Avanserte funksjoner for Innstillinger-endepunkter >> i navigasjonsruten.
Velg den avanserte funksjonen du vil konfigurere, og aktiver/deaktiver innstillingen mellom På og Av.
Velg Lagre innstillinger.
Bruk følgende avanserte funksjoner for å få bedre beskyttelse mot potensielt skadelige filer og få bedre innsikt under sikkerhetsundersøkelser.
Automatisert undersøkelse
Aktiver denne funksjonen for å dra nytte av tjenestens automatiserte undersøkelses- og utbedringsfunksjoner. Hvis du vil ha mer informasjon, kan du se Automatisert undersøkelse.
Direkte svar
Merk deg
Direkte svar krever at automatisert undersøkelse aktiveres før du kan aktivere den i delen avanserte innstillinger i portalen.
Slå på denne funksjonen slik at brukere med de riktige tillatelsene kan starte en økt med direkte respons på enheter.
Direkte svar for servere
Aktiver denne funksjonen slik at brukere med de nødvendige tillatelsene kan starte en økt med direkte respons på servere.
Kjøring av usignert skript i sanntid
Hvis du aktiverer denne funksjonen, kan du kjøre usignerte skript i en økt med direkte respons.
Utbedr alltid PUA
Potensielt uønskede programmer (PUA) er en kategori med programvare som kan føre til at maskinen kjører sakte, viser uventede annonser eller i verste fall installerer annen programvare, noe som kan være uventet eller uønsket.
Aktiver denne funksjonen slik at potensielt uønskede programmer (PUA) utbedres på alle enheter i leieren, selv om PUA-beskyttelse ikke er konfigurert på enhetene. Denne aktiveringen av funksjonen bidrar til å beskytte brukere mot utilsiktet installasjon av uønskede programmer på enheten. Når den er deaktivert, er utbedring avhengig av enhetskonfigurasjonen.
Begrense korrelasjonen til enhetsgrupper med omfang
Denne konfigurasjonen kan brukes for scenarioer der lokale SOC-operasjoner bare vil begrense varslingskorrelasjoner til enhetsgrupper de har tilgang til. Ved å aktivere denne innstillingen vil en hendelse som består av varsler om at grupper på tvers av enheter ikke lenger betraktes som én enkelt hendelse. Den lokale SOC kan deretter iverksette tiltak mot hendelsen fordi de har tilgang til en av de involverte enhetsgruppene. Global SOC ser imidlertid flere forskjellige hendelser etter enhetsgruppe i stedet for én hendelse. Vi anbefaler ikke å aktivere denne innstillingen med mindre dette oppveier fordelene ved hendelseskorrelasjon på tvers av hele organisasjonen.
Merk deg
Endring av denne innstillingen påvirker bare fremtidige varslingskorrelasjoner.
Aktiver EDR i blokkmodus
Gjenkjenning og respons for endepunkt (EDR) i blokkmodus gir beskyttelse mot skadelige artefakter, selv når Microsoft Defender Antivirus kjører i passiv modus. Når den er aktivert, blokkerer EDR i blokkmodus skadelige artefakter eller virkemåter som oppdages på en enhet. EDR i blokkmodus fungerer bak kulissene for å utbedre ondsinnede artefakter som oppdages etter brudd.
Autoresolve utbedrede varsler
For leiere som er opprettet på eller etter Windows 10, versjon 1809, konfigureres den automatiserte undersøkelses- og utbedringsfunksjonen som standard for å løse varsler der statusen for automatisert analyseresultat er «Ingen trusler funnet» eller «Utbedret». Hvis du ikke vil at varsler skal løses automatisk, må du deaktivere funksjonen manuelt.
Tips
For leiere som er opprettet før denne versjonen, må du aktivere denne funksjonen manuelt fra siden Avanserte funksjoner.
Merk deg
Resultatet av handlingen for automatisk løsning kan påvirke beregningen av enhetsrisikonivået, som er basert på de aktive varslene som finnes på en enhet. Hvis en sikkerhetsoperasjonsanalytiker manuelt angir statusen for et varsel til «Pågår» eller «Løst» overskrives ikke funksjonen for automatisk løsning.
Tillat eller blokker fil
Blokkering er bare tilgjengelig hvis organisasjonen oppfyller disse kravene:
- Bruker Microsoft Defender Antivirus som aktiv løsning for beskyttelse mot skadelig programvare
- Den skybaserte beskyttelsesfunksjonen er aktivert
Med denne funksjonen kan du blokkere potensielt skadelige filer i nettverket. Blokkering av en fil hindrer at den leses, skrives eller kjøres på enheter i organisasjonen.
Når du har aktivert denne funksjonen, kan du blokkere filer via fanen Legg til indikator på profilsiden til en fil.
Egendefinerte nettverksindikatorer
Hvis du aktiverer denne funksjonen, kan du opprette indikatorer for IP-adresser, domener eller nettadresser, som bestemmer om de skal tillates eller blokkeres basert på den egendefinerte indikatorlisten.
Hvis du vil bruke denne funksjonen, må enheter kjøre Windows 10 versjon 1709 eller nyere, eller Windows 11. De bør også ha nettverksbeskyttelse i blokkmodus og versjon 4.18.1906.3 eller nyere av antimalware-plattformen, se KB 4052623.
Merk deg
Nettverksbeskyttelse bruker omdømmetjenester som behandler forespørsler på steder som kan være utenfor plasseringen du har valgt for Defender for Endpoint-data.
Manipuleringsbeskyttelse
Under noen typer cyberangrep prøver dårlige aktører å deaktivere sikkerhetsfunksjoner, for eksempel antivirusbeskyttelse, på maskinene dine. Dårlige aktører liker å deaktivere sikkerhetsfunksjonene dine for å få enklere tilgang til dataene dine, installere skadelig programvare eller på annen måte utnytte data, identitet og enheter.
Manipuleringsbeskyttelse låser i hovedsak Microsoft Defender Antivirus og hindrer at sikkerhetsinnstillingene endres gjennom apper og metoder.
Denne funksjonen er tilgjengelig hvis organisasjonen bruker Microsoft Defender Antivirus og skybasert beskyttelse er aktivert.
La manipuleringsbeskyttelse være aktivert for å forhindre uønskede endringer i sikkerhetsløsningen og de grunnleggende funksjonene.
Vis brukerdetaljer
Aktiver denne funksjonen slik at du kan se brukerdetaljer som er lagret i Microsoft Entra ID. Detaljer omfatter en brukers bilde, navn, tittel og avdelingsinformasjon når du undersøker brukerkontoenheter. Du finner brukerkontoinformasjon i følgende visninger:
- Instrumentbord for sikkerhetsoperasjoner
- Varselkø
- Side for enhetsdetaljer
integrering av Skype for Business
Aktivering av Skype for Business-integrering gir deg muligheten til å kommunisere med brukere ved hjelp av Skype for Business, e-post eller telefon. Denne aktiveringen kan være nyttig når du trenger å kommunisere med brukeren og redusere risikoer.
Merk deg
Når en enhet isoleres fra nettverket, finnes det et popup-vindu der du kan velge å aktivere Outlook- og Skype-kommunikasjon som tillater kommunikasjon til brukeren mens de er koblet fra nettverket. Denne innstillingen gjelder for Skype- og Outlook-kommunikasjon når enhetene er i isolasjonsmodus.
Microsoft Defender for identitetsintegrering
Integreringen med Microsoft Defender for Identity gjør det mulig å dreie direkte inn i et annet Microsoft Identity-sikkerhetsprodukt. Microsoft Defender for Identity forsterker en undersøkelse med mer innsikt om en mistenkt kompromittert konto og relaterte ressurser. Ved å aktivere denne funksjonen vil du berike den enhetsbaserte undersøkelsesfunksjonen ved å dreie over nettverket fra et identitetssynspunkt.
Merk deg
Du må ha riktig lisens for å aktivere denne funksjonen.
tilkobling til Office 365 trusselintelligens
Denne funksjonen er bare tilgjengelig hvis du har et aktivt Office 365 E5- eller Threat Intelligence-tillegg.
Når du aktiverer denne funksjonen, kan du innlemme data fra Microsoft Defender for Office 365 i Microsoft Defender XDR for å gjennomføre en omfattende sikkerhetsundersøkelse på tvers av Office 365-postbokser og Windows-enheter.
Merk deg
Du må ha riktig lisens for å aktivere denne funksjonen.
Hvis du vil motta kontekstavhengig enhetsintegrering i Office 365 Threat Intelligence, må du aktivere innstillingene for Defender for Endpoint i instrumentbordet for sikkerhet og samsvar.
Microsoft Threat Experts – målrettede angrepsvarsler
Du kan bare bruke eksperter på forespørsel hvis du har søkt om forhåndsvisning og programmet er godkjent. Du kan motta målrettede angrepsvarsler fra Microsoft Trusseleksperter via instrumentbordet for portalen og via e-post hvis du konfigurerer det.
Microsoft Defender for skyapper
Aktivering av denne innstillingen videresender Defender for endepunktsignaler for å Microsoft Defender for Cloud Apps for å gi dypere innsyn i bruken av skyprogram. Videresendte data lagres og behandles på samme sted som Defender for Cloud Apps dataene.
Aktiver Integrering av Microsoft Defender for endepunkt fra Microsoft Defender for Identity-portalen
Hvis du vil motta kontekstavhengig enhetsintegrering i Microsoft Defender for Identity, må du også aktivere funksjonen i Microsoft Defender for Identity-portalen.
Filtrering av nettinnhold
Blokker tilgang til nettsteder som inneholder uønsket innhold, og spor nettaktivitet på tvers av alle domener. Hvis du vil angi nettinnholdskategoriene du vil blokkere, oppretter du en policy for filtrering av nettinnhold. Sørg for at du har nettverksbeskyttelse i blokkmodus når du distribuerer sikkerhetsgrunnlinjen for Microsoft Defender for endepunkt.
Dele endepunktvarsler med samsvarsportalen for Microsoft Purview
Videresender sikkerhetsvarsler for endepunkt og triagestatus til Microsoft Purview-samsvarsportal, slik at du kan forbedre policyer for insider risk management med varsler og utbedre interne risikoer før de forårsaker skade. Videresendte data behandles og lagres på samme sted som Office 365 dataene.
Når du har konfigurert indikatorene for brudd på sikkerhetspolicyer i innstillingene for innsiderisikobehandling, deles Defender for Endpoint-varsler med insider-risikostyring for gjeldende brukere.
Microsoft Intune tilkobling
Defender for Endpoint kan integreres med Microsoft Intune for å aktivere risikobasert betinget tilgang for enheten. Når du aktiverer denne funksjonen, kan du dele enhetsinformasjon for Defender for Endpoint med Intune, noe som forbedrer håndhevelse av policyer.
Viktig!
Du må aktivere integrering på både Intune og Defender for endepunkt for å bruke denne funksjonen.
Denne funksjonen er bare tilgjengelig hvis du har følgende forutsetninger:
En lisensiert tenant for Enterprise Mobility + Security E3 og Windows E5 (eller Microsoft 365 Enterprise E5)
Et aktivt Microsoft Intune-miljø, der Intune-administrerte Windows-enheter Microsoft Entra ble med.
Policy for betinget tilgang
Når du aktiverer Intune-integrering, oppretter Intune automatisk en klassisk policy for betinget tilgang (CA). Denne klassiske CA-policyen er en forutsetning for å konfigurere statusrapporter til Intune. Den skal ikke slettes.
Merk deg
Den klassiske CA-policyen som opprettes av Intune, er forskjellig fra moderne policyer for betinget tilgang, som brukes til å konfigurere endepunkter.
Enhetsoppdagelse
Hjelper deg med å finne uadministrerte enheter som er koblet til bedriftens nettverk uten behov for ekstra apparater eller tungvinte prosessendringer. Ved hjelp av innebygde enheter kan du finne uadministrerte enheter i nettverket og vurdere sårbarheter og risikoer.
Merk deg
Du kan alltid bruke filtre til å utelate uadministrerte enheter fra enhetslagerlisten. Du kan også bruke statuskolonnen for pålasting på API-spørringer til å filtrere ut uadministrerte enheter.
Forhåndsvisningsfunksjoner
Finn ut mer om nye funksjoner i versjonen Defender for Endpoint Preview. Prøv kommende funksjoner ved å slå på forhåndsvisningsopplevelsen.
Du får tilgang til kommende funksjoner, som du kan gi tilbakemelding om for å forbedre den generelle opplevelsen før funksjoner er generelt tilgjengelige.
Last ned filer som er satt i karantene
Sikkerhetskopierte filer i karantene på en sikker og kompatibel plassering, slik at de kan lastes ned direkte fra karantene. Last ned fil-knappen vil alltid være tilgjengelig på filsiden. Denne innstillingen er aktivert som standard.