I det förra inlägget gick vi igenom grunderna i Defender for Endpoint – bland annat vilka versioner som finns, vad som skiljer dem åt och hur du kommer igång via setup-guiden.
I den här delen går vi igenom Advanced features. Jag vill redan nu flagga för att det är en hel del att gå igenom – men det beror på att det här är viktiga funktioner som förtjänar att få en ordentlig genomgång.
Jag har försökt beskriva varje funktion så tydligt och kortfattat som möjligt. Och för att göra det ännu enklare har jag även lagt in en översiktstabell. Du kan klicka på namnen i tabellen för att hoppa direkt till respektive avsnitt.
⚠️ Obs! Jag vill poängtera att detta inte är en “How to” som passar alla, utan snarare en “How I do”. Jag tror att mina rekommendationer fungerar bra för många, men det finns såklart situationer där du kan behöva anpassa inställningarna.
Delar i serien
Här är en översikt över de delar som ingår i serien. Jag uppdaterar länkarna löpande allt eftersom nya inlägg blir publicerade.
- Del 1 – Kom igång
- Del 2 – Advanced features (den här artikeln)
- Del 3 – Antivirus & Intune-portalen
- Del 4 – ASR-regler
- Del 5 – Onboarding av enheter, device groups och RBAC-modellen
- Del 6 – EDR, AIR, advanced hunting och incidenthantering
Översikt över Advanced features
| Funktion | Beskrivning | Rekommendation |
|---|---|---|
| EDR in block mode | Blockerar skadliga aktiviteter som EDR upptäcker, även om annat antivirus används. | 🟢 På |
| Allow or block file | Blockera eller tillåt specifika filer baserat på hash. | 🟢 På |
| Hide potential duplicate device records | Döljer dubblettposter när en enhet installeras om eller onboardas flera gånger. | 🟢 På |
| Custom network indicators | Blockera eller tillåt IP, URL:er och domäner. | 🟢 På |
| Tamper protection | Förhindrar att inställningar ändras eller att Defender for Endpoint stängs av. | 🟢 På |
| Show user details | Visar användarinformation kopplad till enhet/incident. | 🟢 På (om inga särskilda integritetskrav) |
| Skype for Business integration | Visar Skype-länk i portalen för att snabbt kunna kontakta användaren. | 🔴 Av |
| Microsoft Defender for Cloud Apps | Integrerar MDE med Cloud Apps för att upptäcka skugg-IT. | 🟢 På (om du har licens) |
| Web content filtering | Filtrerar webbtrafik baserat på kategorier. | 🟢 På |
| Device discovery | Identifierar okända eller ohanterade enheter i nätverket. | 🟢 På |
| Default to streamlined connectivity when onboarding devices in Defender portal | Förenklar kommunikationen mellan enheten och Defender-portalen. | 🟢 På |
| Apply streamlined connectivity settings to devices managed by Intune and Defender for Cloud | Förenklar kommunikationen för enheter som hanteras via Intune och Defender for Cloud. | 🟢 På |
| Aggregated Reporting | Visar fler händelser i aggregerad form och ger bättre helhetsbild. | 🟢 På (om inte loggvolym är kritisk) |
| Isolation Exclusion Rules | Tillåter specifik nätverkstrafik även när en enhet är isolerad. | 🔴 Av (använd bara om det finns särskilda behov) |
| Live Response | Tillåter fjärranslutning till enheter. | 🟢 På |
| Live Response for Servers | Tillåter fjärranslutning till servrar. | 🔴 Av |
| Live Response unsigned script execution | Tillåter osignerade skript i live response. | 🔴 Av |
| Share endpoint alerts with Microsoft Compliance Center | Delar säkerhetslarm med Purview Compliance Center. | 🟢 På (om du använder Purview) |
| Microsoft Intune connection | Aktiverar koppling mellan Intune och Defender for Endpoint. | 🟢 På (om du använder Intune) |
| Authenticated telemetry | Kräver att enheter verifierar sig när de skickar data till Defender-portalen. | 🟢 På |
| Preview features | Ger tidig åtkomst till nya funktioner. | 🔴 Av (kan vara på i test) |
Så hittar du till Advanced features
För att öppna Advanced features gör du så här:
- Logga in i Defender-portalen
- Gå till Settings → Endpoints → Advanced features
Där hittar du alla funktioner som vi går igenom i detta inlägg.
Genomgång av funktionerna
Enable EDR in block mode
Till att börja med är det viktigt att förstå att Defender for Endpoint består av flera olika delar. Antivirus är en funktion och EDR en annan, och du måste inte nödvändigtvis använda båda.
EDR in block mode gör att Defender kan blockera skadliga aktiviteter som EDR-funktionen hittar, till exempel beteenden eller processer som tagit sig förbi det primära antiviruset.
Denna funktion är särskilt värdefull om du använder ett antivirus från en annan leverantör. I sådana miljöer går Defender in i passive mode och analyserar bara attacker utan att blockera dem. Med EDR in block mode kan EDR-funktionen ändå blockera skadliga aktiviteter – utan konflikt med befintligt antivirus.
Rekommendation: 🟢 Bör alltid vara påslagen.
Allow or block file
Med allow or block file kan du blockera eller tillåta filer baserat på filens hash. Du lägger till hashar manuellt under menyn Indicators.
Funktionen är särskilt användbar vid en incident, till exempel om du snabbt behöver stoppa filer som antiviruset inte detekterat. Eller om en legitim fil blir blockerad av misstag.
Rekommendation: 🟢 Bör vara påslagen – lägg till indicators vid behov.
Hide potential duplicate device records
Om en enhet installeras om eller onboardas flera gånger kan det resultera i att flera poster skapas för samma enhet.
Denna inställning döljer dubbletter så att bara den aktiva posten blir synlig.
Rekommendation: 🟢 Bör vara påslagen.
Custom network indicators
Liknar allow or block file, men låter dig blockera eller tillåta IP-adresser, URL:er och domäner.
Detta är en bra funktion om du snabbt behöver blockera specifika adresser, till exempel vid en incident eller om du fått hotinformation från en leverantör, CERT-SE eller en säkerhetspartner. Den är också ett bra komplement till traditionella webbfilter eller brandväggsregler.
Rekommendation: 🟢 Bör vara påslagen – lägg till indicators vid behov.
Tamper protection
Vid en cyberattack är det vanligt att angripare försöker stänga av antivirus och EDR för att kunna fortsätta attacken utan att bli upptäckt.
Tamper protection hindrar en angripare från att ändra inställningar eller stänga av Defender for Endpoint, även om angriparen har lokala administratörsbehörigheter.
Rekommendation: 🟢 Bör alltid vara påslagen.
Show user details
När du aktiverar den här inställningen visas detaljer om vilken användare som är kopplad till en specifik enhet eller incident. Det gör det enklare att förstå vem som är påverkad så att du kan kontakta rätt person.
Rekommendation: 🟢 Bör vara påslagen, förutom i miljöer där du har särskilda krav på integritet och behöver anonymisera användare.
Skype for Business integration
Med den här inställningen får du en Skype for Business-länk bredvid användarinformation i Defender-portalen. På så sätt kan du snabbt kontakta användare direkt från portalen.
Skype for Business är föråldrat. Om du använder Teams fyller inställningen ingen funktion.
Rekommendation: 🔴 Stäng av.
Microsoft Defender for Cloud Apps
Den här inställningen integrerar Defender for Endpoint med Microsoft Defender for Cloud Apps. Då kan klienterna skicka information som hjälper dig att se vilka molntjänster dina användare nyttjar.
Den här integrationen är bra för att upptäcka skugg-IT och riskabla eller otillåtna molntjänster.
Rekommendation: 🟢 Bör vara påslagen (förutsatt att du har licens för Defender for Cloud Apps).
Web content filtering
Låter dig blockera webbplatser baserade på kategorier, till exempel sociala medier, spel eller vuxeninnehåll.
Många organisationer har redan webbfilter i brandväggen men jag gillar att komplettera med denna funktion eftersom den blockerar direkt på klienten, oavsett vilket nätverk enheten är ansluten till.
Rekommendation: 🟢 Bör vara påslagen.
Device discovery
Med Device discovery kan dina enheter som kör Defender for Endpoint hjälpa till att upptäcka och rapportera andra enheter i nätverket som ännu inte är onboardade.
Syftet är att se vilka enheter som saknar skydd eller inte är hanterade av organisationen.
⚠️ Viktigt: Device discovery körs på det nätverk som enheten är ansluten till. Det innebär att även hemmaroutrar och annan utrustning i ett hemmanät kan dyka upp i listan. Jag tycker att fördelarna överväger nackdelarna – att kunna kartlägga nätverket är en fantastisk funktion – men det är viktigt att vara medveten om detta, särskilt i miljöer med höga integritetskrav.
Rekommendation: 🟢 Bör vara påslagen.
Default to streamlined connectivity when onboarding devices in Defender portal
Den här inställningen förenklar kommunikationen mellan enheter och Defender-portalen. Särskilt bra om du har strikta brandväggsregler för utgående trafik.
Rekommendation: 🟢 Bör vara påslagen.
Apply streamlined connectivity settings to devices managed by Intune and Defender for Cloud
Den här inställningen gör att enheter du hanterar via Intune eller Defender for Cloud använder samma förenklade kommunikationsinställningar som övriga enheter. Särskilt bra om du har strikta brandväggsregler för utgående trafik.
Rekommendation: 🟢 Bör vara påslagen.
Aggregated Reporting
Defender for Endpoint gör sitt bästa för att filtrera bort händelser som är återkommande eller har lågt informationsvärde.
Med Aggregated Reporting visas fler typer av händelser, även sådana som normalt filtreras bort. Men istället för att skicka tusentals likadana event skickas de i en sammanfattad, aggregerad form.
Det innebär att du får mer data och bättre kontext, utan att mängden brus ökar. Däremot kan datavolymen bli större om du skickar vidare data till en SIEM-lösning.
Rekommendation: 🟢 Bör vara påslagen – särskilt om du jobbar med advanced hunting eller använder SIEM.
Isolation Exclusion Rules
När du isolerar en enhet i Defender for Endpoint stoppar systemet all inkommande och utgående nätverkstrafik (förutom den trafik som Defender kräver). Med Isolation Exclusion Rules kan du lägga till undantag och tillåta specifika IP-adresser eller portar även när enheten är isolerad.
Rekommendation: 🔴 Lämna avstängd – använd endast om du har ett tydligt och dokumenterat behov.
Live Response
Live response låter dig fjärransluta till en enhet via ett kommandogränssnitt i Defender-portalen. På så sätt kan du felsöka, samla loggar, analysera filer och utföra åtgärder direkt på enheten – utan behov av fjärrskrivbord eller andra verktyg.
Funktionen är väldigt kraftfull vid incidenthantering, men du behöver tydliga rutiner eftersom kommandon körs med hög behörighet på enheten.
Rekommendation: 🟢 Bör vara påslagen.
Live Response for Servers
Live response for servers fungerar på samma sätt som för klienter: du kan fjärransluta till en server via ett kommandogränssnitt i Defender-portalen och felsöka eller utföra åtgärder direkt på systemet.
På servrar innebär detta en betydligt större risk, eftersom funktionen kringgår säkerhetsmodeller som tiering, krav på begränsade admin-konton eller dedikerade jumpstations.
Rekommendation: 🔴 Stäng av – fjärrstyr servrar via kontrollerade metoder.
Live Response unsigned script execution
Med den här inställningen kan du köra osignerade PowerShell-skript via Live Response. Det innebär en tydlig säkerhetsrisk eftersom skript körs med hög behörighet.
Rekommendation: 🔴 Stäng av.
Share endpoint alerts with Microsoft Compliance Center
Den här inställningen gör att Defender for Endpoint skickar sina säkerhetslarm till Microsoft Purview Compliance Center. Det innebär att du får larmen direkt i compliance-utredningar och att systemet samtidigt samlar all relevant information på ett ställe.
Rekommendation: 🟢 På (om du använder Purview).
Microsoft Intune connection
Den här inställningen aktiverar kommunikationen mellan Intune och Defender for Endpoint.
När den är på kan du använda Intune för att skapa policyer, compliance-regler och rapporter baserat på säkerhetsdata från Defender. En riktigt bra funktion om du använder Intune för att hantera dina enheter.
Rekommendation: 🟢 Bör vara påslagen (om du använder Intune).
Authenticated telemetry
Authenticated telemetry innebär att enheter måste verifiera sig när de skickar data till Defender-portalen. På så vis minskar risken för spoofad eller felaktig telemetri.
Rekommendation: 🟢 Bör vara påslagen.
Preview features
Preview features låter dig prova nya funktioner i Defender for Endpoint innan Microsoft släpper dem skarpt.
⚠️ Viktigt: Vissa förhandsversioner kan innebära att telemetri eller data behandlas i andra regioner än den du valt. Om ni har strikta krav på var data lagras bör denna funktion vara avstängd.
Rekommendation: 🔴 Stäng av (kan vara på i testmiljöer).
Sammanfattning
Det var en genomgång av Advanced features i Defender for Endpoint. Förhoppningsvis ger det här dig en tydligare bild av vilka funktioner som är värda att aktivera – och varför.
Har du frågor eller gör du på något annat sätt i din miljö? Dela gärna med dig i kommentarerna!