在適用於端點的 Defender 中設定進階功能

視您使用的 Microsoft 安全性產品而定，某些進階功能可能可供您整合適用於端點的 Defender。

啟用進階功能

1. 移至 Microsoft Defender 入口網站並登入。

2. 在導覽窗格中，選取 [設定]>[端點] [>進階功能]。

3. 選取您要設定的進階功能，並在「開啟」和「關閉」之間切換設定。

4. 選取 [儲存喜好設定]。

使用下列進階功能來更好地保護免受潛在惡意檔案的侵害，並在安全性調查期間獲得更好的見解。

將關聯限制為範圍裝置群組內

此設定可用於本機 SOC 作業想要將警示相互關聯限制為可存取之裝置群組的案例。 開啟此設定時，由跨裝置群組警示組成的事件將不再被視為單一事件。 然後，本機 SOC 可以對事件採取動作，因為他們可以存取其中一個涉及的裝置群組。 不過，全域 SOC 會依裝置群組看到數個不同的事件，而不是一個事件。 我們不建議開啟此設定，除非這樣做超過整個組織中事件相互關聯的好處。

在區塊模式中啟用 EDR

封鎖模式下 EDR) (端點偵測和回應可提供針對惡意成品的保護Microsoft Defender即使 Antivirus 以被動模式執行也是如此。 開啟時，封鎖模式下的 EDR 會封鎖在裝置上偵測到的惡意成品或行為。 封鎖模式下的 EDR 會在幕後運作，以修復在違規後偵測到的惡意成品。

自動解決警示

開啟此設定，可自動解決未找到威脅或已補救偵測到的威脅的警示。 如果您不想自動解決警報，則需要手動關閉該功能。

允許或封鎖檔案

只有在您的組織滿足以下要求時，才能使用封鎖：

• 使用 Microsoft Defender 防病毒軟體作為作用中的反惡意代碼解決方案，以及，
• 雲端式保護功能已啟用

此功能使您能夠阻止網路中潛在的惡意檔案。 封鎖檔案將阻止該檔案在組織中的裝置上讀取、寫入或執行。

若要開啟「允許或封鎖檔案」：

1. 在 Microsoft Defender 入口網站的導覽窗格中，選取 [設定>] [端點] [>一般]> [進階功能>] [允許或封鎖檔案]。

2. 在 開啟 和 關閉之間切換設定。

   

3. 選取頁面底部的 儲存偏好設定 。

開啟此功能後，您可以透過檔案設定檔頁面上的「新增指標」標籤來封鎖檔案。

隱藏潛在的重複裝置記錄

透過啟用此功能，您可以透過隱藏潛在的重複設備記錄來確保看到有關裝置的最準確資訊。 可能會發生重複的裝置記錄，例如，適用於端點的 Microsoft Defender 中的裝置探索功能可能會掃描您的網路，並探索已上線或最近已上線的裝置。

此功能將根據主機名和上次查看時間識別潛在的重複設備。 重複的裝置會從入口網站中的多個體驗中隱藏，例如裝置清查、Microsoft Defender 弱點管理頁面，以及機器資料的公用 API，讓最準確的裝置記錄可見。 不過，重複項目仍會顯示在全域搜尋、進階搜捕、警示和事件頁面中。

此設定預設為開啟，並套用至整個租用戶。 如果您不想隱藏潛在的重複設備記錄，則需要手動關閉該功能。

自訂網路指標

開啟此功能可讓您為 IP 位址、網域或 URL 建立指標，這些指標會根據您的自訂指標清單決定是否允許或封鎖它們。

若要使用此功能，裝置必須執行 Windows 10 版本 1709 或更新版本，或 Windows 11。

如需詳細資訊，請參閱 指標概觀。

篡改保護

在某些類型的網路攻擊期間，不良行為者會嘗試停用您電腦上的安全性功能，例如防毒保護。 不良行為者喜歡停用您的安全功能，以便更輕鬆地存取您的資料、安裝惡意軟體或以其他方式利用您的資料、身分和裝置。 竄改防護本質上會鎖定 Microsoft Defender 防病毒軟體，並防止透過應用程式和方法變更您的安全性設定。

如需詳細資訊，包括如何設定竄改保護，請參閱 使用竄改保護保護安全性設定。

顯示使用者詳細資料

開啟此功能，以便查看儲存在 Microsoft Entra ID 中的使用者詳細資料。 詳細資料包括調查使用者帳戶實體時使用者的圖片、姓名、職稱和部門資訊。 您可以在下列檢視中找到使用者帳戶資訊：

• 警示佇列
• 裝置詳細資料頁面

如需詳細資訊，請參閱 調查使用者帳戶。

商務用 Skype 整合

啟用商務商務用 Skype 整合可讓您使用商務商務用 Skype、電子郵件或電話與使用者通訊。 當您需要與使用者溝通並降低風險時，此啟動會很方便。

Microsoft Defender for Cloud Apps

啟用此設定會將適用於端點的 Defender 訊號轉送至適用於雲端的 Microsoft Defender for Cloud Apps，以更深入地瞭解雲端應用程式使用量。 轉送的資料會儲存和處理在與 Defender for Cloud Apps 資料相同的位置。

如需詳細資訊，請參閱 Microsoft Defender for Cloud Apps 概觀。

Web 內容篩選

阻止訪問包含不需要的內容的網站並跟踪所有域的網絡活動。 若要指定您要封鎖的 Web 內容類別，請建立 Web 內容篩選原則。 請確定您在部署適用於端點的 Microsoft Defender安全性基準時，具有封鎖模式的網路保護。

統一稽核記錄

在 Microsoft Purview 中搜尋可讓您的安全性與合規性小組檢視重要的稽核記錄事件數據，以取得深入解析並調查使用者活動。 每當使用者或系統管理員執行稽核活動時，都會產生稽核記錄，並將其儲存在組織的 Microsoft 365 稽核記錄中。 如需詳細資訊，請參閱 搜尋稽核記錄。

裝置探索

可協助尋找連接到公司網路的非受控裝置，而不需要額外的設備或麻煩的流程變更。 您可以使用上線的裝置在網路中尋找非受控裝置，並評估弱點和風險。 如需詳細資訊，請參閱 裝置探索。

下載隔離的檔案

將隔離的檔案備份在安全且合規的位置，以便可以直接從隔離區下載它們。 下載檔案按鈕將始終在檔案頁面中可用。 此設定預設為開啟。 進一步瞭解需求

預設為在 Defender 入口網站中上線裝置時簡化連線

此設定會將預設上線套件設定為適用作業系統的簡化連線。 您仍然可以選擇在上線頁面中使用標準上線套件，但您必須在下拉式清單中特別選取它。

即時回應

開啟此功能，讓具有適當權限的使用者可以在裝置上啟動即時回應工作階段。

如需角色指派的詳細資訊，請參閱 建立和管理角色。

伺服器的即時回應

開啟此功能，讓具有適當權限的使用者可以在伺服器上啟動即時回應工作階段。

如需角色指派的詳細資訊，請參閱 建立和管理角色。

即時回應未簽署指令碼執行

啟用此功能可讓您在即時回應工作階段中執行未簽署的指令碼。

自動攻擊中斷

自動攻擊中斷會自動包含攻擊者正在使用的遭入侵資產，以中斷攻擊。 它儘早限制橫向移動，從而減少攻擊對相關成本和生產力損失的整體影響。 同時，它使安全運營團隊能夠完全控制調查、修復和使資產恢復在線。 如需詳細資訊，請參閱 Microsoft Defender 全面偵測回應中的自動攻擊中斷。

與 Microsoft 合規性中心共用端點警示

將端點安全性警示及其分級狀態轉送至 Microsoft Purview 入口網站，可讓您使用警示增強內部風險管理原則，並在內部風險造成損害之前補救。 轉送的資料會處理並儲存在與 Office 365 資料相同的位置。

在測試人員風險管理設定中設定 安全性原則違規指標 之後，適用於端點的 Defender 警示將會與適用使用者的測試人員風險管理共用。

Microsoft Intune 連線

適用於端點的 Defender 可以與 Microsoft Intune 整合，以 啟用裝置風險型條件式存取。 當您 開啟這項功能時，您將能夠與 Intune 共用適用於端點的 Defender 裝置資訊，以增強原則強制執行。

只有在您具備下列必要條件時，才能使用此功能：

• 企業行動力 + 安全性 E3 的授權租用戶，以及 Windows E5 (或 Microsoft 365 企業版 E5)
• 作用中的 Microsoft Intune 環境，已加入 Intune 管理的 Windows 裝置 Microsoft Entra。

已驗證的遙測

您可以 開啟 已驗證的遙測，以防止將遙測詐騙到儀表板。

預覽功能

瞭解適用於端點的 Defender 預覽版中的新功能。

開啟預覽體驗，試用即將推出的功能。 您將可以存取即將推出的功能，您可以在功能正式推出之前提供意見反應，以協助改善整體體驗。

如果您已經開啟預覽功能，請從主要 Defender 全面偵測回應 設定管理您的設定。

如需詳細資訊，請參閱 Microsoft Defender 全面偵測回應預覽功能

端點攻擊通知

端點攻擊通知 可讓 Microsoft 主動搜捕重大威脅，以根據端點數據的緊急性和影響來排定優先順序。

如需跨 Microsoft Defender 全面偵測回應 的完整範圍進行主動搜捕，包括跨越電子郵件、共同作業、身分識別、雲端應用程式和端點的威脅，請深入瞭解 Microsoft Defender 專家。

相關主題

• 更新資料保留設定
• 設定警示通知