Geavanceerde functies voor de omgeving configureren
Het gebied Geavanceerde functies in het gebied Algemene instellingen biedt veel in-/uit-schakelaars voor functies binnen het product. Enkele van deze functies leert u in latere modules.
Afhankelijk van de Microsoft-beveiligingsproducten die u gebruikt, zijn er mogelijk enkele geavanceerde functies beschikbaar waarmee u Defender voor Eindpunt kunt integreren.
Selecteer in het navigatiedeelvenster Instellingen > Eindpunten > Geavanceerde functies.
Selecteer de geavanceerde functie die u wilt configureren en zet de instelling tussen Aan en Uit.
Selecteer Voorkeuren opslaan.
Gebruik de volgende geavanceerde functies om beter te worden beveiligd tegen potentieel schadelijke bestanden en beter inzicht te krijgen tijdens beveiligingsonderzoeken.
Geautomatiseerd onderzoek
Schakel deze functie in om te profiteren van de geautomatiseerde onderzoeks- en herstelfuncties van de service. Zie Geautomatiseerd onderzoek voor meer informatie.
Live-antwoord
Notitie
Voor liverespons moet geautomatiseerd onderzoek zijn ingeschakeld voordat u dit kunt inschakelen in de sectie Geavanceerde instellingen in de portal.
Schakel deze functie in, zodat gebruikers met de juiste machtigingen een live-antwoordsessie op apparaten kunnen starten.
Live-antwoord voor servers
Schakel deze functie in, zodat gebruikers met de juiste machtigingen een live-antwoordsessie op servers kunnen starten.
Uitvoer van niet-ondertekend liveantwoordscript
Als u deze functie inschakelt, kunt u niet-ondertekende scripts uitvoeren in een live-antwoordsessie.
PUA altijd verhelpen
Mogelijk ongewenste toepassingen (PUA) zijn een softwarecategorie die ervoor kan zorgen dat uw computer langzaam wordt uitgevoerd, onverwachte advertenties weergeeft of in het slechtste geval andere software installeert, wat onverwacht of ongewenst kan zijn.
Schakel deze functie in, zodat mogelijk ongewenste toepassingen (PUA) worden aangepakt op alle apparaten in uw tenant, zelfs als PUA-bescherming niet voor de apparaten is geconfigureerd. Deze activering van de functie helpt gebruikers te beschermen tegen onbedoelde installatie van ongewenste toepassingen op hun apparaat. Wanneer dit is uitgeschakeld, is herstel afhankelijk van de apparaatconfiguratie.
Correlatie beperken tot binnen bereikde apparaatgroepen
Deze configuratie kan worden gebruikt voor scenario's waarbij lokale SOC-bewerkingen alleen waarschuwingscorrelaties willen beperken tot apparaatgroepen waartoe ze toegang hebben. Door deze instelling in te schakelen, zal een incident dat is samengesteld uit waarschuwingen die groepen over verschillende apparaten heen doorkruisen, niet langer als één incident worden beschouwd. De lokale SOC kan vervolgens actie ondernemen op het incident omdat ze toegang hebben tot een van de betrokken apparaatgroepen. Globale SOC ziet echter verschillende incidenten per apparaatgroep in plaats van één incident. We raden u aan deze instelling niet in te schakelen, tenzij dit opweegt tegen de voordelen van incidentcorrelatie binnen de hele organisatie.
Notitie
Als u deze instelling wijzigt, is dit alleen van invloed op toekomstige waarschuwingscorrelaties.
EDR inschakelen in de blokmodus
Eindpuntdetectie en -respons (EDR) in de blokmodus biedt bescherming tegen schadelijke artefacten, zelfs wanneer Microsoft Defender Antivirus wordt uitgevoerd in de passieve modus. Wanneer EDR is ingeschakeld, blokkeert EDR in de blokmodus schadelijke artefacten of gedragingen die op een apparaat worden gedetecteerd. EDR in de blokmodus werkt achter de schermen om schadelijke artefacten te herstellen die na inbreuk worden gedetecteerd.
Automatisch opgeloste waarschuwingen
Voor tenants die zijn gemaakt op of na Windows 10, versie 1809, wordt het geautomatiseerde onderzoek en de herstelmogelijkheid standaard geconfigureerd om waarschuwingen op te lossen waarbij de status van het geautomatiseerde analyseresultaat 'Geen bedreigingen gevonden' of 'Hersteld' is. Als u geen waarschuwingen automatisch wilt oplossen, moet u de functie handmatig uitschakelen.
Tip
Voor tenants die vóór die versie zijn gemaakt, moet u deze functie handmatig inschakelen op de pagina Geavanceerde functies.
Notitie
Het resultaat van de actie voor automatisch oplossen kan van invloed zijn op de berekening van het risiconiveau van het apparaat, die is gebaseerd op de actieve waarschuwingen die op dat apparaat zijn gevonden. Als een beveiligingsanalist de status van een waarschuwing handmatig instelt op 'Wordt uitgevoerd' of 'Opgelost', overschrijft de functie voor automatisch oplossen deze niet.
Bestand toestaan of blokkeren
Blokkeren is alleen beschikbaar als uw organisatie aan deze vereisten voldoet:
- Maakt gebruik van Microsoft Defender Antivirus als de actieve antimalwareoplossing
- De cloudbeveiligingsfunctie is ingeschakeld
Met deze functie kunt u mogelijk schadelijke bestanden in uw netwerk blokkeren. Als u een bestand blokkeert, voorkomt u dat het wordt gelezen, geschreven of uitgevoerd op apparaten in uw organisatie.
Nadat u deze functie hebt ingeschakeld, kunt u bestanden blokkeren via het tabblad Indicator toevoegen op de profielpagina van een bestand.
Aangepaste netwerkindicatoren
Als u deze functie inschakelt, kunt u indicatoren maken voor IP-adressen, domeinen of URL's, die bepalen of ze worden toegestaan of geblokkeerd op basis van uw aangepaste indicatorlijst.
Als u deze functie wilt gebruiken, moeten apparaten windows 10 versie 1709 of hoger of Windows 11 gebruiken. Ze moeten ook netwerkbeveiliging hebben in de blokmodus en versie 4.18.1906.3 of hoger van het antimalwareplatform, zie KB 4052623.
Notitie
Netwerkbeveiliging maakt gebruik van reputatieservices die aanvragen verwerken op locaties die zich mogelijk buiten de locatie bevinden die u hebt geselecteerd voor uw Defender voor Eindpunt-gegevens.
Manipulatiebeveiliging
Tijdens sommige soorten cyberaanvallen proberen slechte actoren beveiligingsfuncties, zoals antivirusbeveiliging, uit te schakelen op uw computers. Slechte actoren willen graag uw beveiligingsfuncties uitschakelen om gemakkelijker toegang te krijgen tot uw gegevens, om malware te installeren of anderszins gebruik te maken van uw gegevens, identiteit en apparaten.
Manipulatiebeveiliging vergrendelt in wezen Microsoft Defender Antivirus en voorkomt dat uw beveiligingsinstellingen worden gewijzigd via apps en methoden.
Deze functie is beschikbaar als uw organisatie gebruikmaakt van Microsoft Defender Antivirus en cloudbeveiliging is ingeschakeld.
Laat manipulatiebeveiliging ingeschakeld om ongewenste wijzigingen in uw beveiligingsoplossing en de essentiële functies ervan te voorkomen.
Gebruikersdetails weergeven
Schakel deze functie in, zodat u gebruikersgegevens kunt zien die zijn opgeslagen in Microsoft Entra-id. Details omvatten de afbeelding, naam, titel en afdelingsinformatie van een gebruiker bij het onderzoeken van gebruikersaccountentiteiten. U vindt gebruikersaccountgegevens in de volgende weergaven:
- Dashboard voor beveiligingsbewerkingen
- Waarschuwingswachtrij
- Apparaatdetailspagina
integratie van Skype voor Bedrijven
Als u de integratie van Skype voor Bedrijven inschakelt, kunt u communiceren met gebruikers met behulp van Skype voor Bedrijven, e-mail of telefoon. Deze activering kan handig zijn wanneer u moet communiceren met de gebruiker en risico's wilt beperken.
Notitie
Wanneer een apparaat wordt geïsoleerd van het netwerk, is er een pop-upvenster waarin u outlook- en Skype-communicatie kunt inschakelen, zodat communicatie met de gebruiker mogelijk is terwijl de verbinding met het netwerk wordt verbroken. Deze instelling is van toepassing op skype- en Outlook-communicatie wanneer apparaten zich in de isolatiemodus bevinden.
Integratie van Microsoft Defender for Identity
Met de integratie met Microsoft Defender for Identity kunt u rechtstreeks naar een ander Microsoft Identity-beveiligingsproduct draaien. Microsoft Defender for Identity vergroot een onderzoek met meer inzichten over een verdacht account en gerelateerde resources. Door deze functie in te schakelen, verrijkt u de mogelijkheden voor apparaatgebaseerd onderzoek door vanuit een identiteitsperceptief naar het netwerk te kijken.
Notitie
U moet over de juiste licentie beschikken om deze functie in te schakelen.
Office 365 Threat Intelligence-verbinding
Deze functie is alleen beschikbaar als u een actieve Office 365 E5- of bedreigingsinformatie-invoegtoepassing hebt.
Wanneer u deze functie inschakelt, kunt u gegevens uit Microsoft Defender voor Office 365 opnemen in Microsoft Defender XDR om een uitgebreid beveiligingsonderzoek uit te voeren op Office 365-postvakken en Windows-apparaten.
Notitie
U moet over de juiste licentie beschikken om deze functie in te schakelen.
Als u contextuele apparaatintegratie in Office 365 Threat Intelligence wilt ontvangen, moet u de Instellingen van Defender voor Eindpunt inschakelen in het dashboard Beveiliging en naleving.
Microsoft Threat Experts - Meldingen van gerichte aanvallen
U kunt de experts-on-demand-mogelijkheid alleen gebruiken als u een preview-versie hebt aangevraagd en uw toepassing is goedgekeurd. U kunt gerichte aanvalsmeldingen van Microsoft Threat Experts ontvangen via het waarschuwingendashboard van uw portal en via e-mail als u deze configureert.
Microsoft Defender voor Cloud Apps
Als u deze instelling inschakelt, worden Defender voor Eindpunt-signalen doorgestuurd naar Microsoft Defender voor Cloud Apps om meer inzicht te krijgen in het gebruik van cloudtoepassingen. Doorgestuurde gegevens worden opgeslagen en verwerkt op dezelfde locatie als uw Defender voor Cloud Apps-gegevens.
De Microsoft Defender voor Eindpunt-integratie inschakelen vanuit de Microsoft Defender for Identity-portal
Als u contextuele apparaatintegratie in Microsoft Defender for Identity wilt ontvangen, moet u de functie ook inschakelen in de Microsoft Defender for Identity-portal.
Filteren van webinhoud
Toegang tot websites met ongewenste inhoud blokkeren en webactiviteit bijhouden in alle domeinen. Als u de categorieën voor webinhoud wilt opgeven die u wilt blokkeren, maakt u een filterbeleid voor webinhoud. Zorg ervoor dat u netwerkbeveiliging in de blokkeringsmodus hebt bij het implementeren van de Microsoft Defender voor Eindpunt beveiligingsbasislijn.
Eindpuntwaarschuwingen delen met Microsoft Purview-nalevingsportal
Stuurt eindpuntbeveiligingswaarschuwingen en hun triagestatus door naar Microsoft Purview-nalevingsportal, zodat u intern risicobeheerbeleid kunt verbeteren met waarschuwingen en interne risico's kunt verhelpen voordat ze schade veroorzaken. Doorgestuurde gegevens worden verwerkt en opgeslagen op dezelfde locatie als uw Office 365-gegevens.
Na het configureren van de indicatoren voor schendingen van het beveiligingsbeleid in de instellingen voor intern risicobeheer, worden waarschuwingen van Defender voor Eindpunt gedeeld met intern risicobeheer voor relevante gebruikers.
Microsoft Intune-verbinding
Defender voor Eindpunt kan worden geïntegreerd met Microsoft Intune om voorwaardelijke toegang op basis van apparaatrisico's in te schakelen. Wanneer u deze functie inschakelt, kunt u apparaatgegevens van Defender voor Eindpunt delen met Intune, waardoor beleidsafdwinging wordt verbeterd.
Belangrijk
U moet de integratie inschakelen voor zowel Intune als Defender voor Eindpunt om deze functie te kunnen gebruiken.
Deze functie is alleen beschikbaar als u aan de volgende vereisten voldoet:
Een gelicentieerde tenant voor Enterprise Mobility + Security E3 en Windows E5 (of Microsoft 365 Enterprise E5)
Een actieve Microsoft Intune-omgeving met door Intune beheerde Windows-apparaten die zijn aangesloten op Microsoft Entra.
Beleid voor voorwaardelijke toegang
Wanneer u Intune-integratie inschakelt, maakt Intune automatisch een klassiek beleid voor voorwaardelijke toegang (CA). Dit klassieke CA-beleid is een vereiste voor het instellen van statusrapporten voor Intune. Het mag niet worden verwijderd.
Notitie
Het klassieke CA-beleid dat door Intune is gemaakt, verschilt van moderne beleidsregels voor voorwaardelijke toegang, die worden gebruikt voor het configureren van eindpunten.
Apparaatdetectie
Hiermee kunt u onbeheerde apparaten vinden die zijn verbonden met uw bedrijfsnetwerk zonder dat er extra apparaten of lastige proceswijzigingen nodig zijn. Met behulp van onboarded apparaten kunt u onbeheerde apparaten in uw netwerk vinden en beveiligingsproblemen en risico's beoordelen.
Notitie
U kunt altijd filters toepassen om onbeheerde apparaten uit te sluiten van de lijst met apparaatinventaris. U kunt ook de kolom onboardingstatus op API-query's gebruiken om niet-beheerde apparaten te filteren.
Preview functies
Meer informatie over nieuwe functies in de preview-versie van Defender voor Eindpunt. Probeer toekomstige functies door de preview-ervaring in te schakelen.
U hebt toegang tot toekomstige functies, waar u feedback over kunt geven om de algehele ervaring te verbeteren voordat functies algemeen beschikbaar zijn.
In quarantaine geplaatste bestanden downloaden
Back-up van in quarantaine geplaatste bestanden op een veilige en compatibele locatie, zodat ze rechtstreeks vanuit quarantaine kunnen worden gedownload. De knop Bestand downloaden is altijd beschikbaar op de bestandspagina. Deze instelling is standaard ingeschakeld.