Die Endpoint Detection and Response (EDR)-Funktionalität aktivieren

Sie können die EDR-Funktionalität in jedem Schutzplan aktivieren.

So können Sie die EDR-Funktionalität aktivieren

  1. Gehen Sie in der Cyber Protect-Konsole zum Bereich Verwaltung –> Schutzpläne.
  2. Wählen Sie den entsprechenden Schutzplan aus der angezeigten Liste aus und klicken Sie in der rechten Seitenleiste auf Bearbeiten.

    Alternativ können Sie auch einen neuen Schutzplan erstellen und mit dem nächsten Schritt fortfahren. Weitere Informationen über die Verwendung von Schutzplänen finden Sie im Abschnitt „Schutzpläne und Module“.

  3. Aktivieren Sie in der Seitenleiste des Schutzplans das Modul Endpoint Detection and Response (EDR), indem Sie neben dem Modulnamen auf den Schalter klicken.

  4. Klicken Sie im angezeigten Dialog auf Aktivieren. Beachten Sie, dass Sie EDR aktivieren können, aber trotzdem jede der Antivirus & Antimalware-, Active Protection- und URL-Filterungsfunktionalitäten im Schutzplan deaktivieren können.

    Wenn Sie nicht über die erforderliche Lizenzierung verfügen, wird neben dem Schalter das Symbol für die Lizenzierung Warnung () angezeigt. Das Symbol für Detection and Response wird (wie unten gezeigt) zur Liste der Schutzpakete hinzugefügt, die für die Implementierung des Schutzplans erforderlich sind.

    Wenn Sie das Problem der Lizenzierung nicht beheben, wird die EDR-Funktionalität deaktiviert, sobald der Plan auf die Workloads angewendet wird.

  5. Wenn fortlaufend Daten für EDR-Ereignisse erfasst werden sollen, auch wenn keine besonderen Erkennungen vorliegen, müssen Sie das Erweiterte Monitoring aktivieren.

    Das erweiterte Monitoring verbraucht zusätzliche CPU-Ressourcen auf der geschützten Workload. Wir empfehlen daher, die Performance nach Aktivierung der Funktion zu überprüfen. Je nach Anzahl der erfassten Ereignisse kann sich auch die für die Kommunikation mit dem Datacenter verwendete Bandbreite erhöhen.

    Die gesammelten Daten über Sicherheitsereignisse werden 180 Tage im Datacenter aufbewahrt.

Wenn Sie Microsoft Defender Antivirus für den Echtzeitschutz aktivieren, wird das Echtzeitschutz-Modul automatisch deaktiviert, um Konflikte zu vermeiden. Die Erkennung und Quarantäne von Viren bzw. Malware wird dann von Microsoft Defender Antivirus übernommen, und alle EDR-Vorfälle, die mit der Erkennung von Viren bzw. Malware zusammenhängen, werden anhand der von Microsoft Defender Antivirus bereitgestellten Informationen erstellt. Die EDR-Funktionalität umfasst weitere Erkennungs-Engines, die andere Arten von Vorfällen erstellen können, ohne dass Microsoft Defender Antivirus involviert ist.

Und entsprechend wird das Microsoft Defender Antivirus-Modul automatisch deaktiviert, wenn Sie den Echtzeitschutz aktivieren.

Die Einstellungen für den Manipulationsschutz in Windows müssen ebenfalls deaktiviert sein, damit Microsoft Defender Antivirus ordnungsgemäß in Cyber Protect Cloud funktioniert. Weitere Informationen dazu finden Sie in diesem Knowledge Base-Artikel.

Wenn zudem die Behavior Engine oder die Antivirus & Antimalware Protection im Schutzplan deaktiviert sind, wenn EDR aktiviert ist, wird auch die Endpoint Detection and Response (EDR)-Funktionalität deaktiviert.