Forklar enhetshandlinger

  • 4 minutter

Når du undersøker en enhet, kan du utføre handlinger, samle inn data eller få ekstern tilgang til maskinen. Defender for EndPoint gir enhetskontrollen som kreves.

Du kan utføre følgende containment-handlinger:

  • Isolere enhet

  • Begrens appkjøring

  • Kjør antivirusskanning

Du kan utføre følgende undersøkelseshandlinger:

  • Start automatisert undersøkelse

  • Samle inn undersøkelsespakke

  • Start økt for direkte respons

Handlingssenteret gir informasjon om handlinger som ble utført på en enhet eller fil.

Isolere enheter fra nettverk

Avhengig av alvorlighetsgraden av angrepet og følsomheten til enheten, kan det være lurt å isolere enheten fra nettverket. Denne handlingen kan bidra til å forhindre at angriperen kontrollerer den kompromitterte enheten og utfører ytterligere aktiviteter som dataeksfiltrering og sideveksling.

Denne funksjonen for isolering av enheten kobler den kompromitterte enheten fra nettverket samtidig som tilkoblingen beholdes til Defender for Endpoint-tjenesten, som fortsetter å overvåke enheten.

I Windows 10, versjon 1709 eller nyere har du en annen kontroll over nettverksisolasjonsnivået. Du kan også velge å aktivere Outlook, Microsoft Teams og Skype for Business-tilkobling (også kalt Selektiv isolasjon).

Når du har valgt Isolate-enheten på enhetssiden, skriver du inn en kommentar og velger Bekreft. Handlingssenteret viser skanneinformasjonen, og tidslinjen for enheten inkluderer en ny hendelse.

Når en enhet isoleres, vises et varsel for å informere brukeren om at enheten er isolert fra nettverket.

Begrens appkjøring

I tillegg til å inneholde et angrep ved å stoppe skadelige prosesser, kan du også låse en enhet og forhindre at etterfølgende forsøk på potensielt skadelige programmer kjører.

Viktig

Denne handlingen er tilgjengelig for enheter i Windows 10, versjon 1709 eller nyere. Denne funksjonen er tilgjengelig hvis organisasjonen bruker Microsoft Defender Antivirus. Denne handlingen må oppfylle policyformatene for kodeintegritet for Windows Defender-programkontroll og signeringskrav. Hvis du vil begrense et program fra å kjøre, brukes en policy for kodeintegritet som bare gjør det mulig for filer å kjøre hvis de er signert av et Microsoft-utstedt sertifikat. Denne begrensningsmetoden kan bidra til å forhindre at en angriper kontrollerer kompromitterte enheter og utfører ytterligere skadelige aktiviteter.

Du kan når som helst reversere begrensningen for programmer fra å kjøre. Knappen på enhetssiden endres til å si Fjern appbegrensninger, og deretter utfører du de samme trinnene som å begrense kjøring av apper.

Når du har valgt Begrens kjøring av appen på enhetssiden, skriver du inn en kommentar og velger Bekreft. Handlingssenteret viser skanneinformasjonen, og tidslinjen for enheten inkluderer en ny hendelse.

Når en app er begrenset, vises et varsel for å informere brukeren om at en app er begrenset fra å kjøre.