Etikett: EDR

  • Defender for Endpoint – Del 3: Antivirus & Intune-portalen

    Defender for Endpoint – Del 3: Antivirus & Intune-portalen

    Detta är del 3 i vår serie om Defender for Endpoint, och i den här delen ska vi titta närmare på antiviruspolicyer och Intune-portalen.

    Innan vi går in på själva inställningarna är det bra att reda ut hur och var policyerna hanteras, eftersom det kan skilja sig åt beroende på licens och konfiguration.

    Det finns flera sätt att arbeta med policyer, och i den här artikeln går vi igenom de vanligaste alternativen och hur de används i praktiken.

    • Direkt i Defender-portalen
    • Via Intune-portalen, genom att koppla ihop Defender for Endpoint med Microsoft Intune

    Delar i serien

    Här är en översikt över de delar som ingår i serien. Jag uppdaterar länkarna löpande allt eftersom nya inlägg blir publicerade.

    Konfiguration i Defender-portalen

    Om du använder en Enterprise-version (Defender for Endpoint Plan 1 eller Plan 2) finns möjlighet att konfigurera alla policyer direkt i Defender-portalen, till exempel:

    • Antivirus
    • Brandvägg
    • Attack Surface Reduction (ASR)
    • Device Control

    Dessutom går det att konfigurera policyer för både Windows, macOS och Linux.

    Du hittar policyinställningarna under menyn ”Endpoint → Configuration management → Endpoint security policies”.

    Använder du däremot en Business-version så ser menyerna lite annorlunda ut. I denna version hittar du policyinställningarna under ”Endpoint → Configuration management → Device configuration”.

    Denna sida är väldigt begränsad jämfört med Enterprise-varianten. I Defender for Business kan du via Defender-portalen bara konfigurera:

    • Antivirus
    • Brandvägg

    Och bara för Windows-enheter.

    Men Defender for Business har faktiskt stöd för flera funktioner, till exempel Attack Surface Reduction (ASR). Likaså finns stöd för macOS och Linux. Skillnaden är att dessa policyer inte går att konfigurera i Defender-portalen utan måste hanteras via Microsoft Intune.

    Man kan såklart nöja sig med att konfigurera antivirus- och brandväggspolicyer men det innebär att man går miste om flera viktiga säkerhetsfunktioner, framförallt Attack Surface Reduction, som är en central funktion i ett modernt skydd.

    Därför rekommenderar jag starkt att man kopplar ihop Defender for Endpoint med Microsoft Intune.
    Intune ger tillgång till fler typer av policyer och är dessutom ett väldigt kraftfullt verktyg för enhetshantering.

    ⚠️ Viktigt: Använder du en Enterprise-version kan samtliga policyer som beskrivs i den här guiden konfigureras direkt i Defender-portalen.

    I mitt fall använder jag Defender for Business, därför kommer jag koppla ihop Defender-portalen med Microsoft Intune och visa konfigurationen via Intune-portalen.

    Inställningarna och rekommendationerna är dock desamma, oavsett vilket alternativ du använder.

    Koppla ihop Defender-portalen med Microsoft Intune

    Steg 1: Aktivera Intune-kopplingen i Defender-portalen

    1. Logga in i Defender-portalen
    2. Scrolla ner i vänstermenyn till System
    3. Gå till Settings → Endpoints → Advanced features
    4. Scrolla ner på sidan och aktivera funktionen ”Microsoft Intune connection

    Steg 2: Aktivera integrationen i Intune-portalen

    1. Logga in i Intune-portalen
    2. Klicka på menyn Endpoint security
    3. Scrolla ner till sektion Setup och välj Microsoft Defender for Endpoint
    4. Verifiera att status är Available

    Om status inte är Available har Defender for Endpoint-konfigurationen inte slutförts. Vänta några minuter och uppdatera sidan.

    1. Aktivera inställningen Allow Microsoft Defender for Endpoint to enforce Endpoint Security Configurations

    Detta innebär att Defender for Endpoint kan läsa policyer från Intune och tillämpa dem på enheter som hanteras av MDE.

    Steg 3: Slutför konfigurationen i Defender-portalen

    1. Gå tillbaka till Defender-portalen
    2. Navigera till Settings
    3. Scrolla ner till Configuration management och klicka på Enforcement scope
    4. Aktivera inställningen Use MDE to enforce security configuration settings from Intune

    När du aktiverat denna funktion visas en lista över vilka operativsystem som ska kunna hanteras via Intune.

    I mitt fall klickar jag i:

    • Windows Client devices
    • Linux devices
    • macOS devices

    Men det finns även möjlighet att välja:

    • Windows Server devices
    • Windows Server Domain Controller devices

    När dessa inställningar är konfigurerade kan Defender for Endpoint och Microsoft Intune kommunicera med varandra. Detta innebär att enheter som onboardas i Defender-portalen även visas i Intune, samt att policyer som skapas i Intune kan tillämpas av Defender for Endpoint.

    Antiviruspolicy – inställningar och rekommendationer

    I detta avsnitt går vi igenom inställningarna i antiviruspolicyn. Jag har försökt beskriva varje funktion så tydligt och kortfattat som möjligt.

    För att göra det enklare har jag lagt in en översiktstabell. Du kan klicka på namnen i tabellen för att hoppa direkt till respektive avsnitt.

    ⚠️ Obs! Jag vill än en gång poängtera att detta inte är en “How to” som passar alla, utan snarare en “How I do”. Jag tror att mina rekommendationer fungerar bra för många, men det finns såklart situationer där du kan behöva anpassa inställningarna.

    Översikt över inställningar

    PolicyRekommendation
    Allow Archive Scanning🟢 På
    Allow Behavior Monitoring🟢 På
    Allow Cloud Protection🟢 På
    Allow Email Scanning🟢 På
    Allow Full Scan On Mapped Network Drives🔴 Av
    Allow Full Scan Removable Drive Scanning🟢 På
    [Deprecated] Allow Intrusion Prevention System🟠 Inte konfigurerad
    Allow scanning of all downloaded files and attachments🟢 På
    Allow Realtime Monitoring🟢 På
    Allow Scanning Network Files🟢 På
    Allow Script Scanning🟢 På
    Allow User UI Access🟢 På
    Avg CPU Load Factor🟢 25%
    Archive Max Depth🟢 0 (obegränsat)
    Archive Max Size🟢 0 (obegränsat)
    Check For Signatures Before Running Scan🟠 Inte konfigurerad (beror på uppdateringsfrekvens och miljö)
    Cloud Block Level🟢 High
    Cloud Extended Timeout🟢 50 sekunder
    Days To Retain Cleaned Malware🟢 30 dagar
    Disable Catchup Full Scan🟢 På
    Disable Catchup Quick Scan🟢 På
    Enable Low CPU Priority🟢 På
    Enable Network Protection🟢 Blockera
    Excluded Extensions / Paths / Processes⚠️ Använd endast vid behov
    PUA Protection🟢 På
    Real Time Scan Direction🟢 Bi-directional
    Scan Parameter🟢 Full scan (om prestanda tillåter)
    Schedule Quick Scan Time🟢 600 (kl. 10:00)
    Schedule Scan Day🟠 Valfri veckodag (om prestanda tillåter)
    Schedule Scan Time🟢 120 (kl. 02:00)
    Signature Update Fallback Order⚠️ Använd endast vid behov
    Signature Update File Shares Sources⚠️ Använd endast vid behov
    Signature Update Interval🟢 4 timmar
    Submit Samples Consent🟢 Safe
    Disable Local Admin Merge🔴 Inaktivera
    Allow On Access Protection🟢 På
    Remediation action for Severe / Moderate / Low / High threats🟢 Karantän
    Allow Network Protection Down Level🟢 På
    Allow Datagram Processing On Win Server🟡 På – efter test
    Disable Dns Over Tcp / Http / Ssh / Tls Parsing🟢 Av (aktivera protokollinspektion)
    [Deprecated] Enable Dns Sinkhole🟠 Inte konfigurerad
    Engine Updates Channel🟠 Inte konfigurerad
    Metered Connection Updates🟢 På
    Platform Updates Channel🟠 Inte konfigurerad (använd standardkanal)
    Security Intelligence Updates Channel🟠 Inte konfigurerad (använd standardkanal)
    Randomize Schedule Task Times🟠 Inte konfigurerad
    Scheduler Randomization Time🟠 Inte konfigurerad
    Disable Core Service ECS Integration🟢 Av (aktivera ECS-integration)
    Disable Core Service Telemetry🟠 Inte konfigurerad

    Allow Archive Scanning

    Tillåter skanning i arkivfiler, till exempel .ZIP eller .CAB-filer.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Allow Behavior Monitoring

    Denna inställning innebär att Defender övervakar beteenden i realtid för att identifiera misstänkt aktivitet.

    I stället för att enbart förlita sig på signaturer så analyserar Defender hur program, tjänster och filer beter sig. Detta gör det möjligt att upptäcka även nya och okända angrepp.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Allow Cloud Protection

    Denna inställning gör det möjligt att använda Microsofts molntjänster för att snabbt identifiera och blockera nya och okända hot.

    Detta ger ett modernare och mer effektivt skydd jämfört med att enbart använda lokala signaturer.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Allow Email Scanning

    Tillåter att Defender skannar e-postmeddelanden och bilagor efter skadligt innehåll.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Allow Full Scan On Mapped Network Drives

    Tillåter att schemalagda fullständiga skanningar även skannar nätverksenheter som är mappade på klienten.

    Detta kan innebära hög belastning på nätverket och påverka prestandan negativt.

    Rekommendation: 🔴 Av

    ⬆️ Tillbaka till översikten

    Allow Full Scan Removable Drive Scanning

    Tillåter att schemalagda fullständiga skanningar även skannar flyttbara medier, till exempel USB-minnen och externa hårddiskar.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    [Deprecated] Allow Intrusion Prevention System

    Inställningen är markerad som föråldrad och kan bli ändrad eller borttagen. Moderna funktioner som Network Protection och Attack Surface Reduction ersätter denna inställning.

    Jag brukar sätta denna till Not configured för att följa Microsofts rekommendationer och undvika beroenden till funktioner som kan bli ändrade.

    Rekommendation: 🟠 Inte konfigurerad

    ⬆️ Tillbaka till översikten

    Allow scanning of all downloaded files and attachments

    Denna inställning säkerställer att alla nedladdade filer och bilagor skannas innan de öppnas eller körs.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Allow Realtime Monitoring

    Aktiverar realtidsskydd, vilket innebär att filer, processer och aktiviteter skannas kontinuerligt medan de används. Detta är en grundläggande säkerhetsfunktion som alltid bör vara aktiverad.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Allow Scanning Network Files

    Tillåter att schemalagda och manuella skanningar även inkluderar filer som nås via nätverket.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Allow Script Scanning

    Tillåter att Defender skannar skript, till exempel PowerShell- och VBScript-filer efter skadligt innehåll innan de körs.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Allow User UI Access

    Tillåter att användaren får åtkomst till Defenders användargränssnitt och kan se skyddsstatus, historik och notifieringar.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Avg CPU Load Factor

    Anger hur mycket processorkraft som Defender får använda vid skanningar.

    Standardvärdet är 50% vilket kan påverka prestandan märkbart. På användarklienter sätter jag vanligtvis detta till 20–30%. Det blir bättre balans mellan skydd och prestanda.

    Rekommendation: 🟢 25%

    ⬆️ Tillbaka till översikten

    Archive Max Depth

    Anger hur djupt Defender ska packa upp och skanna arkiv.

    Rekommendation: 🟢 0 (obegränsat)

    ⬆️ Tillbaka till översikten

    Archive Max Size

    Anger maximal storlek på arkiv som Defender ska packa upp och skanna.

    Stora arkiv kan påverka prestandan, men i praktiken har jag inte upplevt att detta innebär några problem.

    Rekommendation: 🟢 0 (obegränsat)

    ⬆️ Tillbaka till översikten

    Check For Signatures Before Running Scan

    Anger om Defender ska söka efter nya signaturer innan en schemalagd eller manuell skanning startar.

    Om man uppdaterar skyddssignaturer regelbundet kan denna inställning vara överflödig. I miljöer där uppdateringar sker mer sällan kan det däremot vara bra att ha den aktiverad.

    Rekommendation: 🟠 Inte konfigurerad (beror på uppdateringsfrekvens och miljö)

    ⬆️ Tillbaka till översikten

    Cloud Block Level

    Anger hur aggressivt Defender ska blockera hot baserat på molnbaserad analys.

    Ju högre nivå desto hårdare blockering av nya och okända hot, men kan även öka risken för falska positiva träffar.

    I de flesta miljöer är High rätt balans mellan säkerhet och användbarhet.

    Rekommendation: 🟢 High

    ⬆️ Tillbaka till översikten

    Cloud Extended Timeout

    Anger hur länge systemet väntar på svar från molntjänsten innan den tillåter eller blockerar ett misstänkt hot.

    En längre timeout ger molntjänsten mer tid att fatta ett beslut, vilket förbättrar skyddet mot nya och okända hot.

    Rekommendation: 🟢 50 sekunder

    ⬆️ Tillbaka till översikten

    Days To Retain Cleaned Malware

    Anger hur många dagar Defender sparar objekt i karantän.

    Rekommendation: 🟢 30 dagar

    ⬆️ Tillbaka till översikten

    Disable Catchup Full Scan

    Anger om en missad schemalagd fullständig skanning automatiskt ska köras i efterhand. När inställningen är aktiverad körs ingen catch-up scan.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Disable Catchup Quick Scan

    Anger om en missad schemalagd snabbskanning automatiskt ska köras i efterhand. När inställningen är aktiverad körs ingen catch-up scan.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Enable Low CPU Priority

    Anger om Defender ska köra schemalagda skanningar med lägre CPU-prioritet för att minska påverkan för användaren.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Enable Network Protection

    Aktiverar Network Protection vilket innebär att kända skadliga domäner och IP-adresser blir blockerade.

    Rekommendation: 🟢 Blockera

    ⬆️ Tillbaka till översikten

    Excluded Extensions / Paths / Processes

    Används för att exkludera filer, mappar eller processer från skanning. Bör användas mycket restriktivt.

    Rekommendation: ⚠️ Använd endast vid behov

    ⬆️ Tillbaka till översikten

    PUA Protection

    Anger om Microsoft Defender ska blockera potentiellt oönskade program (Potentially Unwanted Applications).

    Jag rekommenderar att denna inställning är aktiverad. Potentiellt oönskade program kan innebära säkerhetsrisker. Om legitim programvara blir blockerad är det bättre att skapa ett undantag.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Real Time Scan Direction

    Anger om realtidsskyddet ska skanna filer som kommer in till systemet, filer som lämnar systemet, eller både och.

    Rekommendation: 🟢 Bi-directional

    ⬆️ Tillbaka till översikten

    Scan Parameter

    Anger vilken typ av skanning som ska köras vid schemalagda skanningar – snabbskanning eller fullständig skanning.

    Det finns en separat inställning för att konfigurera dagliga snabbskanningar. Därför ser jag denna inställning som ett komplement och använder den för att schemalägga fullständiga skanningar.

    Rekommendation: 🟢 Full scan

    ⬆️ Tillbaka till översikten

    Schedule Quick Scan Time

    Anger vilken tid den dagliga snabbskanningen ska köras.

    Värde 0 motsvarar kl. 00:00, värde 60 motsvarar kl. 01:00 och så vidare.

    Många guider rekommenderar att man kör denna skanning utanför arbetstid. Eftersom snabbskanning går fort och vanligtvis inte påverkar prestandan tycker jag att man ska köra den vid en tidpunkt då klienten sannolikt är på.

    Rekommendation: 🟢 600 (kl. 10:00)

    ⬆️ Tillbaka till översikten

    Schedule Scan Day

    Anger vilken veckodag den schemalagda skanningen ska köras. Typ av skanning beror på ”Scan Parameter”.

    Denna skanning är ett komplement till den dagliga snabbskanningen. Om det finns möjlighet att köra schemalagd fullständig skanning utan att påverka användarupplevelsen negativt är detta ett bra komplement.

    Rekommendation: 🟠 Valfri veckodag (om prestanda tillåter)

    ⬆️ Tillbaka till översikten

    Schedule Scan Time

    Anger vilken tid den schemalagda skanningen ska köras.

    Värde 0 motsvarar kl. 00:00, värde 60 motsvarar kl. 01:00 och så vidare.

    Om man kör fullständig skanning rekommenderar en tidpunkt utanför arbetstid för att minimera påverkan på användarna.

    Rekommendation: 🟢 120 (kl. 02:00)

    ⬆️ Tillbaka till översikten

    Signature Update Fallback Order

    Denna inställning låter dig konfigurera i vilken ordning Defender ska kontakta alternativa signaturkällor om den primära inte är tillgänglig.

    Rekommendation: ⚠️ Använd endast vid behov

    ⬆️ Tillbaka till översikten

    Signature Update File Shares Sources

    Anger sökvägar till delade mappar som Defender kan använda som alternativa signaturkällor för att hämta uppdateringar.

    Rekommendation: ⚠️ Använd endast vid behov

    ⬆️ Tillbaka till översikten

    Signature Update Interval

    Anger hur ofta Defender ska söka efter uppdaterade signaturer.

    Standardvärde är 8 timmar, vilket i praktiken innebär en gång om dagen. När nya signaturer finns tillgängliga vill jag få ut dem så snabbt som möjligt.

    Rekommendation: 🟢 4 timmar

    ⬆️ Tillbaka till översikten

    Anger om Defender får skicka misstänkta filer till Microsoft för vidare analys.

    Genom att tillåta automatisk insamling kan systemet analysera nya och okända hot snabbare. Denna inställning kan vara känslig ur integritetssynpunkt, därför rekommenderar jag ”Safe” som bara skickar nödvändig information och undviker känslig persondata.

    Rekommendation: 🟢 Safe

    ⬆️ Tillbaka till översikten

    Disable Local Admin Merge

    Anger om lokala administratörer kan påverka centralt konfigurerade Defender-policyer.

    Rekommendation: 🔴 Inaktivera

    ⬆️ Tillbaka till översikten

    Allow On Access Protection

    Anger om Defender ska skanna filer i realtid när de öppnas, körs eller ändras.

    Detta är en grundläggande skyddsfunktion och bör vara på i alla miljöer.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Remediation action for Severe / Moderate / Low / High threats

    Anger vilken åtgärd Defender vidtar när den identifierar ett hot. Jag rekommenderar att alltid placera hot i karantän, så att en säkerhetsanalytiker kan analysera hotet.

    Rekommendation: 🟢 Karantän

    ⬆️ Tillbaka till översikten

    Allow Network Protection Down Level

    Anger om Network Protection ska vara aktivt även på äldre Windows-versioner.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Allow Datagram Processing On Win Server

    Anger om Network Protection ska analysera UDP-trafik även på Windows Server.

    Som standard är denna inställning inaktiv eftersom den kan påverka prestandan negativt. Jag tycker man ska testa funktionen och se hur den fungerar på respektive server.

    Rekommendation: 🟡 På – efter test

    ⬆️ Tillbaka till översikten

    Disable Dns Over Tcp / Http / Ssh / Tls Parsing

    Dessa inställningar styr om Network Protection ska inaktivera analys av viss nätverkstrafik.

    Jag rekommenderar att låta all protokollinspektion vara aktiv för att få maximalt skydd. Märker man att någon av funktionerna påverkar prestandan kan man stänga av den specifika analysen.

    Rekommendation: 🟢 Av (aktivera protokollinspektion)

    ⬆️ Tillbaka till översikten

    [Deprecated] Enable Dns Sinkhole

    Inställningen är markerad som föråldrad och kan komma att ändras eller tas bort.

    Jag brukar sätta denna till Not configured för att följa Microsofts rekommendationer och undvika beroenden till funktioner som kan bli ändrade.

    Rekommendation: 🟠 Inte konfigurerad

    ⬆️ Tillbaka till översikten

    Engine Updates Channel

    Anger vilken kanal Defender ska använda för uppdateringar av antivirusmotorn.

    Rekommendation: 🟠 Inte konfigurerad (använd standardkanal)

    ⬆️ Tillbaka till översikten

    Metered Connection Updates

    Anger om Defender ska hämta uppdateringar även när enheten använder en anslutning med begränsad datamängd.

    Eftersom skyddssignaturer och uppdateringar är avgörande för säkerheten rekommenderar jag att man tillåter detta.

    Rekommendation: 🟢 På

    ⬆️ Tillbaka till översikten

    Platform Updates Channel

    Anger vilken kanal Defender ska använda för uppdateringar av plattformskomponenter.

    Rekommendation: 🟠 Inte konfigurerad (använd standardkanal)

    ⬆️ Tillbaka till översikten

    Security Intelligence Updates Channel

    Anger vilken kanal Defender ska använda för uppdateringar av signaturer och andra hotdefinitioner.

    Rekommendation: 🟠 Inte konfigurerad (använd standardkanal)

    ⬆️ Tillbaka till översikten

    Randomize Schedule Task Times

    Anger om Defender ska slumpa starttider för schemalagda skanningar.

    Denna inställning kan till exempel vara användbar i virtualiserade miljöer för att undvika att många virtuella gäster startar schemalagda jobb samtidigt.

    Rekommendation: 🟠 Inte konfigurerad

    ⬆️ Tillbaka till översikten

    Scheduler Randomization Time

    Anger hur stort tidsintervall Defender kan använda för att slumpa starttider för schemalagda uppgifter (om randomisering är aktiverad).

    Jag har inte haft behov av att justera denna inställning och har därför lämnat den okonfigurerad. Som standard innebär detta ett intervall på 4 timmar.

    Rekommendation: 🟠 Inte konfigurerad

    ⬆️ Tillbaka till översikten

    Disable Core Service ECS Integration

    Core Service är en relativt ny komponent i Defender som används för att förbättra stabilitet och prestanda.

    Denna inställning anger om Core Service får använda Experimentation and Configuration Service (ECS) för att snabbt hämta kritiska uppdateringar.

    Rekommendation: 🟢 Av (aktivera ECS-integration)

    ⬆️ Tillbaka till översikten

    Disable Core Service Telemetry

    Anger om Core Service ska skicka diagnostik- och telemetridata till Microsoft.

    Telemetri används för att förbättra funktionalitet, stabilitet och felsökning. Denna datadelning kan vara känslig ur integritetssynpunkt, beroende på organisationens krav och policyer.

    Rekommendation: 🟠 Inte konfigurerad

    ⬆️ Tillbaka till översikten

    Sammanfattning

    Det här var del 3 i serien om Defender for Endpoint och en genomgång av de antiviruspolicyer som går att konfigurera. Förhoppningsvis ger artikeln en tydligare bild av hur man bygger ett bra grundskydd utan att i onödan påverka prestanda eller användarupplevelse.

    Har du frågor eller arbetar du på ett annat sätt i din miljö? Dela gärna med dig i kommentarerna så hjälps vi åt att göra guiden ännu bättre 👍

  • Defender for Endpoint – Del 2: Advanced features

    Defender for Endpoint – Del 2: Advanced features

    I det förra inlägget gick vi igenom grunderna i Defender for Endpoint – bland annat vilka versioner som finns, vad som skiljer dem åt och hur du kommer igång via setup-guiden.

    I den här delen går vi igenom Advanced features. Jag vill redan nu flagga för att det är en hel del att gå igenom – men det beror på att det här är viktiga funktioner som förtjänar att få en ordentlig genomgång.

    Jag har försökt beskriva varje funktion så tydligt och kortfattat som möjligt. Och för att göra det ännu enklare har jag även lagt in en översiktstabell. Du kan klicka på namnen i tabellen för att hoppa direkt till respektive avsnitt.

    ⚠️ Obs! Jag vill poängtera att detta inte är en “How to” som passar alla, utan snarare en “How I do”. Jag tror att mina rekommendationer fungerar bra för många, men det finns såklart situationer där du kan behöva anpassa inställningarna.

    Delar i serien

    Här är en översikt över de delar som ingår i serien. Jag uppdaterar länkarna löpande allt eftersom nya inlägg blir publicerade.

    Översikt över Advanced features

    FunktionBeskrivningRekommendation
    EDR in block modeBlockerar skadliga aktiviteter som EDR upptäcker, även om annat antivirus används.🟢 På
    Allow or block fileBlockera eller tillåt specifika filer baserat på hash.🟢 På
    Hide potential duplicate device recordsDöljer dubblettposter när en enhet installeras om eller onboardas flera gånger.🟢 På
    Custom network indicatorsBlockera eller tillåt IP, URL:er och domäner.🟢 På
    Tamper protectionFörhindrar att inställningar ändras eller att Defender for Endpoint stängs av.🟢 På
    Show user detailsVisar användarinformation kopplad till enhet/incident.🟢 På (om inga särskilda integritetskrav)
    Skype for Business integrationVisar Skype-länk i portalen för att snabbt kunna kontakta användaren.🔴 Av
    Microsoft Defender for Cloud AppsIntegrerar MDE med Cloud Apps för att upptäcka skugg-IT.🟢 På (om du har licens)
    Web content filteringFiltrerar webbtrafik baserat på kategorier.🟢 På
    Device discoveryIdentifierar okända eller ohanterade enheter i nätverket.🟢 På
    Default to streamlined connectivity when onboarding devices in Defender portal​​Förenklar kommunikationen mellan enheten och Defender-portalen.🟢 På
    Apply streamlined connectivity settings to devices managed by Intune and Defender for CloudFörenklar kommunikationen för enheter som hanteras via Intune och Defender for Cloud.🟢 På
    Aggregated ReportingVisar fler händelser i aggregerad form och ger bättre helhetsbild.🟢 På (om inte loggvolym är kritisk)
    Isolation Exclusion RulesTillåter specifik nätverkstrafik även när en enhet är isolerad.🔴 Av (använd bara om det finns särskilda behov)
    Live ResponseTillåter fjärranslutning till enheter.🟢 På
    Live Response for ServersTillåter fjärranslutning till servrar.🔴 Av
    Live Response unsigned script executionTillåter osignerade skript i live response.🔴 Av
    Share endpoint alerts with Microsoft Compliance CenterDelar säkerhetslarm med Purview Compliance Center.🟢 På (om du använder Purview)
    Microsoft Intune connectionAktiverar koppling mellan Intune och Defender for Endpoint.🟢 På (om du använder Intune)
    Authenticated telemetryKräver att enheter verifierar sig när de skickar data till Defender-portalen.🟢 På
    Preview featuresGer tidig åtkomst till nya funktioner.🔴 Av (kan vara på i test)

    Så hittar du till Advanced features

    För att öppna Advanced features gör du så här:

    1. Logga in i Defender-portalen
    2. Gå till Settings → Endpoints → Advanced features

    Där hittar du alla funktioner som vi går igenom i detta inlägg.

    Genomgång av funktionerna

    Enable EDR in block mode

    Till att börja med är det viktigt att förstå att Defender for Endpoint består av flera olika delar. Antivirus är en funktion och EDR en annan, och du måste inte nödvändigtvis använda båda.

    EDR in block mode gör att Defender kan blockera skadliga aktiviteter som EDR-funktionen hittar, till exempel beteenden eller processer som tagit sig förbi det primära antiviruset.

    Denna funktion är särskilt värdefull om du använder ett antivirus från en annan leverantör. I sådana miljöer går Defender in i passive mode och analyserar bara attacker utan att blockera dem. Med EDR in block mode kan EDR-funktionen ändå blockera skadliga aktiviteter – utan konflikt med befintligt antivirus.

    Rekommendation: 🟢 Bör alltid vara påslagen.

    ⬆️ Tillbaka till översikten

    Allow or block file

    Med allow or block file kan du blockera eller tillåta filer baserat på filens hash. Du lägger till hashar manuellt under menyn Indicators.

    Funktionen är särskilt användbar vid en incident, till exempel om du snabbt behöver stoppa filer som antiviruset inte detekterat. Eller om en legitim fil blir blockerad av misstag.

    Rekommendation: 🟢 Bör vara påslagen – lägg till indicators vid behov.

    ⬆️ Tillbaka till översikten

    Hide potential duplicate device records

    Om en enhet installeras om eller onboardas flera gånger kan det resultera i att flera poster skapas för samma enhet.

    Denna inställning döljer dubbletter så att bara den aktiva posten blir synlig.

    Rekommendation: 🟢 Bör vara påslagen.

    ⬆️ Tillbaka till översikten

    Custom network indicators

    Liknar allow or block file, men låter dig blockera eller tillåta IP-adresser, URL:er och domäner.

    Detta är en bra funktion om du snabbt behöver blockera specifika adresser, till exempel vid en incident eller om du fått hotinformation från en leverantör, CERT-SE eller en säkerhetspartner. Den är också ett bra komplement till traditionella webbfilter eller brandväggsregler.

    Rekommendation: 🟢 Bör vara påslagen – lägg till indicators vid behov.

    ⬆️ Tillbaka till översikten

    Tamper protection

    Vid en cyberattack är det vanligt att angripare försöker stänga av antivirus och EDR för att kunna fortsätta attacken utan att bli upptäckt.

    Tamper protection hindrar en angripare från att ändra inställningar eller stänga av Defender for Endpoint, även om angriparen har lokala administratörsbehörigheter.

    Rekommendation: 🟢 Bör alltid vara påslagen.

    ⬆️ Tillbaka till översikten

    Show user details

    När du aktiverar den här inställningen visas detaljer om vilken användare som är kopplad till en specifik enhet eller incident. Det gör det enklare att förstå vem som är påverkad så att du kan kontakta rätt person.

    Rekommendation: 🟢 Bör vara påslagen, förutom i miljöer där du har särskilda krav på integritet och behöver anonymisera användare.

    ⬆️ Tillbaka till översikten

    Skype for Business integration

    Med den här inställningen får du en Skype for Business-länk bredvid användarinformation i Defender-portalen. På så sätt kan du snabbt kontakta användare direkt från portalen.

    Skype for Business är föråldrat. Om du använder Teams fyller inställningen ingen funktion.

    Rekommendation: 🔴 Stäng av.

    ⬆️ Tillbaka till översikten

    Microsoft Defender for Cloud Apps

    Den här inställningen integrerar Defender for Endpoint med Microsoft Defender for Cloud Apps. Då kan klienterna skicka information som hjälper dig att se vilka molntjänster dina användare nyttjar.

    Den här integrationen är bra för att upptäcka skugg-IT och riskabla eller otillåtna molntjänster.

    Rekommendation: 🟢 Bör vara påslagen (förutsatt att du har licens för Defender for Cloud Apps).

    ⬆️ Tillbaka till översikten

    Web content filtering

    Låter dig blockera webbplatser baserade på kategorier, till exempel sociala medier, spel eller vuxeninnehåll.

    Många organisationer har redan webbfilter i brandväggen men jag gillar att komplettera med denna funktion eftersom den blockerar direkt på klienten, oavsett vilket nätverk enheten är ansluten till.

    Rekommendation: 🟢 Bör vara påslagen.

    ⬆️ Tillbaka till översikten

    Device discovery

    Med Device discovery kan dina enheter som kör Defender for Endpoint hjälpa till att upptäcka och rapportera andra enheter i nätverket som ännu inte är onboardade.

    Syftet är att se vilka enheter som saknar skydd eller inte är hanterade av organisationen.

    ⚠️ Viktigt: Device discovery körs på det nätverk som enheten är ansluten till. Det innebär att även hemmaroutrar och annan utrustning i ett hemmanät kan dyka upp i listan. Jag tycker att fördelarna överväger nackdelarna – att kunna kartlägga nätverket är en fantastisk funktion – men det är viktigt att vara medveten om detta, särskilt i miljöer med höga integritetskrav.

    Rekommendation: 🟢 Bör vara påslagen.

    ⬆️ Tillbaka till översikten

    Default to streamlined connectivity when onboarding devices in Defender portal​​

    Den här inställningen förenklar kommunikationen mellan enheter och Defender-portalen. Särskilt bra om du har strikta brandväggsregler för utgående trafik.

    Rekommendation: 🟢 Bör vara påslagen.

    ⬆️ Tillbaka till översikten

    Apply streamlined connectivity settings to devices managed by Intune and Defender for Cloud

    Den här inställningen gör att enheter du hanterar via Intune eller Defender for Cloud använder samma förenklade kommunikationsinställningar som övriga enheter. Särskilt bra om du har strikta brandväggsregler för utgående trafik.

    Rekommendation: 🟢 Bör vara påslagen.

    ⬆️ Tillbaka till översikten

    Aggregated Reporting

    Defender for Endpoint gör sitt bästa för att filtrera bort händelser som är återkommande eller har lågt informationsvärde.

    Med Aggregated Reporting visas fler typer av händelser, även sådana som normalt filtreras bort. Men istället för att skicka tusentals likadana event skickas de i en sammanfattad, aggregerad form.

    Det innebär att du får mer data och bättre kontext, utan att mängden brus ökar. Däremot kan datavolymen bli större om du skickar vidare data till en SIEM-lösning.

    Rekommendation: 🟢 Bör vara påslagen – särskilt om du jobbar med advanced hunting eller använder SIEM.

    ⬆️ Tillbaka till översikten

    Isolation Exclusion Rules

    När du isolerar en enhet i Defender for Endpoint stoppar systemet all inkommande och utgående nätverkstrafik (förutom den trafik som Defender kräver). Med Isolation Exclusion Rules kan du lägga till undantag och tillåta specifika IP-adresser eller portar även när enheten är isolerad.

    Rekommendation: 🔴 Lämna avstängd – använd endast om du har ett tydligt och dokumenterat behov.

    ⬆️ Tillbaka till översikten

    Live Response

    Live response låter dig fjärransluta till en enhet via ett kommandogränssnitt i Defender-portalen. På så sätt kan du felsöka, samla loggar, analysera filer och utföra åtgärder direkt på enheten – utan behov av fjärrskrivbord eller andra verktyg.

    Funktionen är väldigt kraftfull vid incidenthantering, men du behöver tydliga rutiner eftersom kommandon körs med hög behörighet på enheten.

    Rekommendation: 🟢 Bör vara påslagen.

    ⬆️ Tillbaka till översikten

    Live Response for Servers

    Live response for servers fungerar på samma sätt som för klienter: du kan fjärransluta till en server via ett kommandogränssnitt i Defender-portalen och felsöka eller utföra åtgärder direkt på systemet.

    På servrar innebär detta en betydligt större risk, eftersom funktionen kringgår säkerhetsmodeller som tiering, krav på begränsade admin-konton eller dedikerade jumpstations.

    Rekommendation: 🔴 Stäng av – fjärrstyr servrar via kontrollerade metoder.

    ⬆️ Tillbaka till översikten

    Live Response unsigned script execution

    Med den här inställningen kan du köra osignerade PowerShell-skript via Live Response. Det innebär en tydlig säkerhetsrisk eftersom skript körs med hög behörighet.

    Rekommendation: 🔴 Stäng av.

    ⬆️ Tillbaka till översikten

    Share endpoint alerts with Microsoft Compliance Center

    Den här inställningen gör att Defender for Endpoint skickar sina säkerhetslarm till Microsoft Purview Compliance Center. Det innebär att du får larmen direkt i compliance-utredningar och att systemet samtidigt samlar all relevant information på ett ställe.

    Rekommendation: 🟢 På (om du använder Purview).

    ⬆️ Tillbaka till översikten

    Microsoft Intune connection

    Den här inställningen aktiverar kommunikationen mellan Intune och Defender for Endpoint.

    När den är på kan du använda Intune för att skapa policyer, compliance-regler och rapporter baserat på säkerhetsdata från Defender. En riktigt bra funktion om du använder Intune för att hantera dina enheter.

    Rekommendation: 🟢 Bör vara påslagen (om du använder Intune).

    ⬆️ Tillbaka till översikten

    Authenticated telemetry

    Authenticated telemetry innebär att enheter måste verifiera sig när de skickar data till Defender-portalen. På så vis minskar risken för spoofad eller felaktig telemetri.

    Rekommendation: 🟢 Bör vara påslagen.

    ⬆️ Tillbaka till översikten

    Preview features

    Preview features låter dig prova nya funktioner i Defender for Endpoint innan Microsoft släpper dem skarpt.

    ⚠️ Viktigt: Vissa förhandsversioner kan innebära att telemetri eller data behandlas i andra regioner än den du valt. Om ni har strikta krav på var data lagras bör denna funktion vara avstängd.

    Rekommendation: 🔴 Stäng av (kan vara på i testmiljöer).

    ⬆️ Tillbaka till översikten

    Sammanfattning

    Det var en genomgång av Advanced features i Defender for Endpoint. Förhoppningsvis ger det här dig en tydligare bild av vilka funktioner som är värda att aktivera – och varför.

    Har du frågor eller gör du på något annat sätt i din miljö? Dela gärna med dig i kommentarerna!

  • Defender for Endpoint – Del 1: Kom igång

    Defender for Endpoint – Del 1: Kom igång

    Microsoft Defender for Endpoint (MDE) är Microsofts lösning för att skydda klienter och servrar mot skadlig kod och cyberattacker. Dessutom är det en av de centrala byggstenarna i Microsofts säkerhetsplattform Defender XDR.

    I den här bloggserien går jag igenom hur du kommer igång med MDE och får en bra grundkonfiguration som passar de flesta organisationer. Fokus ligger på praktiska exempel, så att du snabbt kommer igång och kan stärka skyddet i din miljö.

    När vi har gått igenom MDE kommer jag även att titta närmare på andra delar i Defender XDR, till exempel Defender for Office 365 och Defender for Cloud Apps – och hur de tillsammans bildar en helhet för att bygga ett heltäckande skydd mot moderna hot.

    Delar i serien

    Här är en översikt över vad som kommer i resten av serien. Jag uppdaterar länkarna löpande allteftersom nya delar blir publicerade.

    Vilken version av Defender for Endpoint behöver du?

    Defender for Endpoint finns i tre olika versioner:

    • Plan 1 – Grundläggande skydd med antivirus och ASR
    • Defender for Business – Ingår i Microsoft 365 Business Premium (passar bra för små och medelstora företag)
    • Plan 2 – Avancerat skydd med samtliga säkerhetsfunktioner
    FunktionPlan 1Defender for BusinessPlan 2
    Next Gen Protection
    Attack Surface Reduction
    Endpoint Detection & Response (EDR)
    Threat Analytics
    Vulnerability Management
    Automated investigation and response (AIR)
    Advanced Hunting (KQL queries)

    Min erfarenhet är att många företag använder Plan 1 eftersom det ingår i Microsoft 365 E3. Det täcker de mest grundläggande delarna, men för att stå emot dagens attacker räcker det inte med antivirus. För ett komplett skydd behöver du EDR som analyserar beteenden och upptäcker mer avancerade hot.

    Endpoint Detection & Response hjälper till att upptäcka, analysera och åtgärda hot som tagit sig förbi traditionellt antivirus.

    Ett vanligt antivirus blockerar kända skadliga filer, medan en EDR analyserar beteenden och kontext — till exempel att ett Office-program plötsligt startar PowerShell och gör ovanliga nätverksanrop.

    I den här serien använder jag Defender for Business eftersom det ingår i Microsoft 365 Business Premium. Det är ett prisvärt alternativ som innehåller det mesta en mindre organisation behöver. Det enda jag saknar är möjligheten att köra avancerade KQL-frågor. Vill man ha den funktionen behöver man köpa till Defender for Endpoint Plan 2 som innehåller all funktionalitet.

    Kom igång med Defender

    Steg 1 – Logga in i Defender-portalen

    För att komma igång, öppna Defender-portalen och logga in. Vid första inloggningen kan det vara bra att använda ett konto med rollen Global Administrator eller Security Administrator. Det säkerställer att du har rätt behörighet för att köra den initiala setup-guiden.

    ⚠️ Obs: När du loggar in för första gången kan det hända att alla menyer inte visas direkt. Du kan även få upp felmeddelanden eller ett meddelande som liknar detta:

    Detta beror på att tjänsten håller på att startas upp för din organisation. Vanligtvis är detta klart på några minuter.

    När tjänsten är redo visas guiden ”Welcome to Microsoft Defender for Business”. Klicka på ”Get started” för att starta setup-guiden.

    Steg 2 – Tilldela behörigheter

    På sidan ”Let’s give people access” konfigurerar du vilka användare som ska få rollerna ”Security Administrator” eller ”Security Reader”.

    Dessa är fördefinierade roller i Microsoft Entra ID som ger generell behörighet till olika säkerhetsfunktioner. Utöver dessa har Defender XDR även sin egen RBAC-modell som ger möjlighet till mer detaljerad behörighetsstyrning. Men vi återkommer till detta senare under bloggserien.

    Security Administrator rekommenderas för den eller de som ska konfigurera Defender for Endpoint, hantera policys, onboarda enheter och agera på incidenter.

    Security Reader passar bra för helpdesk eller IT-tekniker som behöver kunna se incidenter och enheternas status, men som inte ska kunna vidta åtgärder.

    💡 Tips: Om du inte är säker på vilka användare eller grupper som ska ha vilken behörighet kan du enkelt justera dessa roller i efterhand via Entra ID.

    Steg 3 – Sätt upp e-postnotiser

    Jag rekommenderar att man sätter upp en delad postlåda, till exempel security@företag.se, så att flera i teamet blir notifierade när en incident uppstår. Den här lösningen fungerar bra för mindre organisationer som inte får så många incidenter.

    För större miljöer är e-post sällan tillräckligt. Då använder man ofta Microsoft Sentinel eller andra SIEM-lösningar för att integrera notiser med till exempel Teams, Slack eller ett ärendehanteringssystem.

    Steg 4 – Hoppa över onboarding tills vidare

    Därefter finns det möjlighet att börja med onboarding. Jag avvaktar med detta och väljer att slutföra alla grundläggande inställningar först. Del tre i bloggserien kommer att fokusera helt på olika alternativ för onboarding.

    💡 Tips: I guiden kan du bara lägga till Windows-enheter. Vill du lägga till andra operativsystem måste du göra det efter att guiden är slutförd.

    Steg 5 – Aktivera standardpolicys

    Sista steget är att aktivera standardpolicys för antivirus och brandvägg. Klicka på ”Continue” för att låta guiden skapa dessa automatiskt.

    💡 Tips: Standardpolicys fungerar ofta bra för de flesta miljöer. Du kan antingen använda dem som de är, eller använda dem som en grund när du vill skapa egna policys.

    När konfigurationen är klar kan det hända att följande felmeddelande visas:

    Something went wrong, and we couldn’t complete your setup process. There’s an integration issue between Defender for Business and Microsoft Endpoint Manager.

    Detta felmeddelande innebär att det inte finns någon koppling mellan Defender for Business och Microsoft Intune, vilket är helt rimligt eftersom vi inte satt upp den integrationen än. Vi återkommer till detta i nästa del av serien.

    Vad är nästa steg?

    Setup-guiden täcker det mest grundläggande, men det finns fler inställningar som är värda att se över. I nästa inlägg i bloggserien går jag igenom ”Advanced features” där du kan anpassa Defender for Endpoint efter dina behov. Det handlar bland annat om:

    • EDR in block mode
    • Tamper Protection
    • Web content filtering
    • Device discovery
    • Live response
    • Microsoft Defender for Cloud Apps
    • Custom indicators
    • … och flera andra funktioner som är bra att känna till

    Där går jag igenom vad du bör aktivera, varför — och vad du kan låta vara avstängt beroende på hur din organisation arbetar.