Обнаружение и ответ конечной точки в режиме блокировки

Область применения:

Платформы

  • Windows

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этой статье описывается EDR в режиме блокировки, который помогает защитить устройства под управлением антивирусного решения сторонних разработчиков (с антивирусной программой в Microsoft Defender в пассивном режиме).

Что такое EDR в блочном режиме?

Обнаружение и ответ конечной точки (EDR) в режиме блока обеспечивает дополнительную защиту от вредоносных артефактов, если антивирусная программа Microsoft Defender не является основным антивирусным продуктом и работает в пассивном режиме. EDR в блочном режиме доступен в Defender для конечной точки плана 2.

Важно!

EDR в режиме блокировки не может обеспечить всю доступную защиту, если защита антивирусной программы Microsoft Defender в режиме реального времени находится в пассивном режиме. Некоторые возможности, которые зависят от антивирусной программы Microsoft Defender в качестве активного антивирусного решения, не будут работать, например в следующих примерах:

  • Защита в режиме реального времени, включая сканирование при доступе и запланированное сканирование, недоступна, если антивирусная программа Microsoft Defender находится в пассивном режиме. Дополнительные сведения о параметрах политики защиты в режиме реального времени см. в статье Включение и настройка постоянной защиты антивирусной программы Microsoft Defender.
  • Такие функции, как сетевая защита и сокращение направлений атак (хэш файлов, IP-адрес, URL-адрес и сертификаты), доступны только в том случае, если антивирусная программа Microsoft Defender работает в активном режиме. Ожидается, что антивирусное решение сторонних разработчиков включает в себя эти возможности.

EDR в блочном режиме работает в фоновом режиме для исправления вредоносных артефактов, обнаруженных EDR возможностями. Такие артефакты могли быть пропущены основным антивирусным продуктом сторонних разработчиков. EDR в режиме блокировки позволяет антивирусной программе Microsoft Defender принимать меры при обнаружении EDR после взлома.

EDR в блочном режиме интегрирован с возможностями управления угрозами & уязвимостями . Группа безопасности вашей организации получает рекомендацию по безопасности , чтобы включить EDR в режиме блокировки, если он еще не включен.

Рекомендация по включению EDR в режиме блокировки

Совет

Чтобы обеспечить оптимальную защиту, обязательно разверните базовые показатели Microsoft Defender для конечной точки.

Просмотрите это видео, чтобы узнать, почему и как включить обнаружение конечных точек и реагирование (EDR) в режиме блокировки, включить поведенческую блокировку и сдерживание на каждом этапе от предварительного нарушения до последующего нарушения.

Что происходит при обнаружении чего-либо?

Если EDR в блочном режиме включен и обнаружен вредоносный артефакт, Defender для конечной точки исправит этот артефакт. Ваша группа по операциям безопасности видит состояние обнаружения Заблокировано или Запрещено в центре уведомлений, в списке как выполненные действия. На следующем рисунке показан экземпляр нежелательного программного обеспечения, который был обнаружен и исправлен с помощью EDR в блочном режиме:

Обнаружение с помощью EDR в блочном режиме

Включение EDR в блочном режиме

Важно!

  • Убедитесь, что требования выполнены, прежде чем включать EDR в режиме блокировки.
  • Требуются лицензии Defender для конечной точки плана 2.
  • Начиная с версии платформы 4.18.2202.X, вы можете настроить EDR в блочном режиме для целевых групп устройств с помощью служб CSP Intune. Вы можете продолжить настройку EDR в блочном режиме на уровне клиента на портале Microsoft Defender.
  • EDR в режиме блокировки рекомендуется в первую очередь для устройств с антивирусной программой Microsoft Defender в пассивном режиме (на устройстве установлено и активно антивирусное решение сторонних разработчиков).

Портал Microsoft Defender

  1. Перейдите на портал Microsoft Defender (https://security.microsoft.com/) и выполните вход.

  2. Выберите Параметры Конечные>>точкиОбщие>дополнительные функции.

  3. Прокрутите вниз и включите параметр Включить EDR в режиме блокировки.

Intune

Сведения о создании настраиваемой политики в Intune см. в статье Развертывание OMA-URIs для целевого CSP через Intune и сравнение с локальной средой.

Дополнительные сведения о поставщике служб CSP Defender, используемом для EDR в блочном режиме, см. в разделе Configuration/PassiveRemediation в разделе CSP Defender.

Требования к EDR в блочном режиме

В следующей таблице перечислены требования к EDR в блочном режиме:

Требование Сведения
Разрешения Вам должна быть назначена роль глобального администратора или администратора безопасности в идентификаторе Microsoft Entra. Дополнительные сведения см. в разделе Базовые разрешения.
Операционная система Устройства должны работать под управлением одной из следующих версий Windows:
— Windows 11
— Windows 10 (все выпуски)
— Windows Server 2019 или более поздней версии
— Windows Server версии 1803 или более поздней
— Windows Server 2016 и Windows Server 2012 R2 (с новым унифицированным клиентским решением)
Microsoft Defender для конечной точки (план 2) Устройства должны быть подключены к Defender для конечной точки. См. следующие статьи:
- Минимальные требования к Microsoft Defender для конечной точки
- Подключение устройств и настройка возможностей Microsoft Defender для конечной точки
- Подключение серверов Windows к службе Defender для конечной точки
- Новые функции Windows Server 2012 R2 и 2016 в современном унифицированном решении
(См. раздел Поддерживается ли EDR в блочном режиме в Windows Server 2016 и Windows Server 2012 R2?)
Антивирусная программа в Microsoft Defender На устройствах должна быть установлена антивирусная программа Microsoft Defender и работать в активном или пассивном режиме. Убедитесь, что антивирусная программа Microsoft Defender находится в активном или пассивном режиме.
Облачная защита Антивирусная программа Microsoft Defender должна быть настроена таким образом, чтобы была включена облачная защита.
Антивирусная платформа Microsoft Defender Устройства должны быть обновлены. Чтобы подтвердить использование PowerShell, выполните командлет Get-MpComputerStatus от имени администратора. В строке AMProductVersion должен отображаться номер 4.18.2001.10 или более поздней версии.

Дополнительные данные см. в разделе Управление обновлениями антивирусной программы в Microsoft Defender и применение базовых показателей.
Подсистема антивирусной программы в Microsoft Defender Устройства должны быть обновлены. Чтобы подтвердить использование PowerShell, выполните командлет Get-MpComputerStatus от имени администратора. В строке AMEngineVersion должен отображаться 1.1.16700.2 или более поздней версии.

Дополнительные данные см. в разделе Управление обновлениями антивирусной программы в Microsoft Defender и применение базовых показателей.

Важно!

Чтобы получить наилучшее значение защиты, убедитесь, что антивирусное решение настроено для регулярного получения обновлений и основных функций, а также что исключения настроены. EDR в блочном режиме учитывает исключения, определенные для антивирусной программы в Microsoft Defender, но не индикаторы , определенные для Microsoft Defender для конечной точки.

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

См. также

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.