Onboarding af enheder ved hjælp af strømlinet forbindelse til Microsoft Defender for Endpoint
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Den Microsoft Defender for Endpoint tjeneste kan kræve brug af proxykonfigurationer til at rapportere diagnosticeringsdata og kommunikere data til tjenesten. Før tilgængeligheden af den strømlinede forbindelsesmetode var der behov for andre URL-adresser, og statiske IP-intervaller i Defender for Endpoint understøttes ikke. Du kan finde flere oplysninger om, hvordan du forbereder dit miljø, i TRIN 1: Konfigurer dit netværksmiljø for at sikre forbindelse til Defender for Endpoint-tjenesten.
I denne artikel beskrives den strømlinede metode til enhedsforbindelse, og hvordan du onboarder nye enheder for at bruge en enklere udrulning og administration af Defender for Endpoint-cloudforbindelsestjenester. Du kan få flere oplysninger om overførsel af tidligere onboardede enheder under Overflytte enheder til strømlinet forbindelse.
For at forenkle netværkskonfiguration og -administration har du nu mulighed for at onboarde enheder til Defender for Endpoint ved hjælp af et reduceret URL-sæt eller statiske IP-intervaller. Se listen over strømlinede URL-adresser.
Det forenklede domæne, der genkendes af Defender for Endpoint: *.endpoint.security.microsoft.com
erstatter følgende kernetjenester for Defender for Endpoint:
- Cloud Protection/MAPS
- Lager til indsendelse af malwareeksempel
- Automatisk IR-eksempellager
- Defender for Endpoint Command & Control
- EDR Cyberdata
Hvis du vil understøtte netværksenheder uden værtsnavnopløsning eller understøttelse af jokertegn, kan du alternativt konfigurere forbindelsen ved hjælp af dedikerede statiske IP-intervaller for Slutpunkt ved hjælp af Defender for Endpoint. Du kan få flere oplysninger under Konfigurer forbindelse ved hjælp af statiske IP-intervaller.
Bemærk!
- Den strømlinede forbindelsesmetode ændrer ikke, hvordan Microsoft Defender for Endpoint fungerer på en enhed, og den ændrer heller ikke slutbrugeroplevelsen. Kun de URL-adresser eller IP-adresser, som en enhed bruger til at oprette forbindelse til tjenesten, ændres.
- Der er i øjeblikket ingen planer om at fraråde de gamle, konsoliderede tjeneste-URL-adresser. Enheder, der er onboardet med "standardforbindelse", vil fortsat fungere. Det er vigtigt at sikre, at forbindelsen til
*.endpoint.security.microsoft.com
er og forbliver mulig, da fremtidige tjenester kræver det. Denne nye URL-adresse er inkluderet på alle påkrævede URL-lister.
Konsoliderede tjenester
Følgende Defender for Endpoint-URL-adresser, der er konsolideret under det forenklede domæne, bør ikke længere være påkrævet for at oprette forbindelse, hvis *.endpoint.security.microsoft.com
er tilladt, og enheder er onboardet ved hjælp af den strømlinede onboardingpakke. Du skal bevare forbindelsen til andre påkrævede tjenester, der ikke er konsolideret, og som er relevante for din organisation (f.eks. CRL, SmartScreen/Network Protection og Windows Update).
Du kan finde den opdaterede liste over påkrævede URL-adresser i TRIN 1: Konfigurer dit netværksmiljø for at sikre forbindelse til Defender for Endpoint-tjenesten.
Vigtigt!
Hvis du konfigurerer ved hjælp af IP-intervaller, skal du konfigurere EDR-cyberdatatjenesten separat. Denne tjeneste er ikke konsolideret på et IP-niveau.
Kategori | Konsoliderede URL-adresser |
---|---|
KORT: skybaseret beskyttelse | *.wdcp.microsoft.com *.wd.microsoft.com |
Cloudbeskyttelse & sikkerhedsintelligensopdateringer til macOS og Linux |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.com x.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
Lager til indsendelse af malwareeksempel | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
Defender for Endpoint Auto-IR Sample Storage | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
Defender for Endpoint Command and Control | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
Før du begynder
Enheder skal opfylde specifikke forudsætninger for at kunne bruge den strømlinede forbindelsesmetode for Defender for Endpoint. Sørg for, at forudsætningerne er opfyldt, før du fortsætter med onboarding.
Forudsætninger
Licens:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defender Vulnerability Management
Minimum KB-opdatering (Windows)
- SENSE-version: 10.8040.*/ 8. marts 2022 eller nyere (se tabel)
Microsoft Defender Antivirus-versioner (Windows)
- Antimalwareklient:
4.18.2211.5
- Motor:
1.1.19900.2
- Antivirus (Security Intelligence):
1.391.345.0
Defender Antivirus-versioner (macOS/Linux)
- macOS-understøttede versioner med MDE produktversion 101.24022.*+
- Linux-understøttede versioner med MDE produktversion 101.24022.*+
Understøttede operativsystemer
- Windows 10 version 1809 eller nyere. Windows 10 version 1607, 1703, 1709, 1803 understøttes på den strømlinede onboardingpakke, men kræver en anden URL-liste. Se strømlinet URL-ark
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 eller Windows Server 2016, fuldt opdateret, der kører Defender for Endpoint moderne unified løsning (installation via MSI).
- macOS-understøttede versioner med MDE produktversion 101.24022.*+
- Linux-understøttede versioner med MDE produktversion 101.24022.*+
Vigtigt!
- Enheder, der kører på MMA-agent, understøttes ikke på den strømlinede forbindelsesmetode og skal fortsætte med at bruge standard-URL-sættet (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 er ikke opgraderet til moderne Unified Agent).
- Windows Server 2012 R2 og Server 2016 skal opgraderes til Unified Agent for at udnytte den nye metode.
- Windows 10 1607, 1703, 1709, 1803 kan udnytte den nye onboarding option, men vil bruge en længere liste. Du kan få flere oplysninger i det strømlinede URL-ark.
Windows OS | Minimum KB påkrævet (8. marts 2022) |
---|---|
Windows 11 | KB5011493 (8. marts 2022) |
Windows 10 1809, Windows Server 2019 | KB5011503 (8. marts 2022) |
Windows 10 19H2 (1909) | KB5011485 (8. marts 2022) |
Windows 10 20H2, 21H2 | KB5011487 (8. marts 2022) |
Windows 10 22H2 | KB5020953 (28. oktober 2022) |
Windows 10 1803* | < slutningen af tjenesten > |
Windows 10 1709* | < slutningen af tjenesten > |
Windows Server 2022 | KB5011497 (8. marts 2022) |
Windows Server 2012 R2, 2016* | Unified Agent |
Strømlinet forbindelsesproces
Følgende illustration viser den strømlinede forbindelsesproces og de tilsvarende faser:
Fase 1. Konfigurer dit netværksmiljø til cloudforbindelse
Når du har bekræftet, at forudsætningerne er opfyldt, skal du sikre, at dit netværksmiljø er konfigureret korrekt til at understøtte den strømlinede forbindelsesmetode. Følg de trin, der er beskrevet i Konfigurer dit netværksmiljø for at sikre forbindelse til Defender for Endpoint-tjenesten.
Url-adresser til Defender for Endpoint Service, der er konsolideret under et forenklet domæne, bør ikke længere være påkrævet for at oprette forbindelse. Nogle URL-adresser er dog ikke inkluderet i konsolideringen.
Strømlinet forbindelse giver dig mulighed for at bruge følgende indstilling til at konfigurere cloudforbindelse:
Mulighed 1: Konfigurer forbindelse ved hjælp af det forenklede domæne
Konfigurer dit miljø for at tillade forbindelser med det forenklede Defender for Endpoint-domæne: *.endpoint.security.microsoft.com
. Du kan finde flere oplysninger under Konfigurer dit netværksmiljø for at sikre forbindelse til Defender for Endpoint-tjenesten.
Du skal bevare forbindelsen til de resterende påkrævede tjenester, der er angivet under den opdaterede liste. Det kan f.eks. være listen over tilbagekaldte certificeringer, Windows Update, SmartScreen.
Mulighed 2: Konfigurer forbindelse ved hjælp af statiske IP-områder
Med strømlinet forbindelse kan IP-baserede løsninger bruges som et alternativ til URL-adresser. Disse IP-adresser dækker følgende tjenester:
- KORT
- Lager til indsendelse af malwareeksempel
- Automatisk IR-eksempellager
- Defender for Endpoint Command and Control
Vigtigt!
EDR Cyber-datatjenesten skal konfigureres separat, hvis du bruger IP-metoden (denne tjeneste er kun konsolideret på URL-niveau). Du skal også bevare forbindelsen til andre påkrævede tjenester, herunder SmartScreen, CRL, Windows Update og andre tjenester.
For at holde dig opdateret om IP-intervaller anbefales det at se følgende Azure-tjenestekoder for Microsoft Defender for Endpoint tjenester. De seneste IP-områder findes i tjenestekoden. Du kan få flere oplysninger under Azure IP-intervaller.
Navn på tjenestekode | Defender for Endpoint-tjenester er inkluderet |
---|---|
MicrosoftDefenderForEndpoint | MAPS, Lagring af eksempel på malware, lagring af eksempel på automatisk IR, kommando og kontrol. |
OneDsCollector | EDR Cyberdata Bemærk! Trafikken under denne tjenestekode er ikke begrænset til Defender for Endpoint og kan omfatte trafik til diagnosticeringsdata for andre Microsoft-tjenester. |
I følgende tabel vises de aktuelle statiske IP-områder. Du kan finde den seneste liste i Azure Service-mærkerne.
Geo | IP-områder |
---|---|
OS | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/24 13.83.125.0/24 |
EU | 4.208.13.0/24 20.8.195.0/24 |
UK | 20.26.63.224/28 20.254.173.48/28 |
AU | 68.218.120.64/28 20.211.228.80/28 |
Vigtigt!
I overensstemmelse med Defender for Endpoint-sikkerhed og overholdelse af angivne standarder behandles og gemmes dine data i overensstemmelse med din lejers fysiske placering. Baseret på klientens placering kan trafikken passere gennem et af disse IP-områder (som svarer til Azure-datacenterområder). Du kan få flere oplysninger under Datalagring og beskyttelse af personlige oplysninger.
Fase 2. Konfigurer dine enheder for at oprette forbindelse til Defender for Endpoint-tjenesten
Konfigurer enheder til at kommunikere via din forbindelsesinfrastruktur. Sørg for, at enhederne opfylder forudsætningerne, og at de har opdaterede sensor- og Microsoft Defender Antivirus-versioner. Du kan få flere oplysninger under Konfigurer indstillingerne for enhedsproxy og internetforbindelse .
Fase 3. Bekræft præonboarding for klientforbindelsen
Du kan finde flere oplysninger under Kontrollér klientforbindelsen.
Følgende preonboarding-kontroller kan køres på både Windows og Xplat MDE Client analyzer: Download Microsoft Defender for Endpoint-klientanalysen.
Hvis du vil teste strømlinet forbindelse for enheder, der endnu ikke er onboardet til Defender for Endpoint, kan du bruge Klientanalyse til Windows ved hjælp af følgende kommandoer:
Kør
mdeclientanalyzer.cmd -o <path to cmd file>
fra mappen MDEClientAnalyzer. Kommandoen bruger parametre fra onboardingpakken til at teste forbindelsen.Kør
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
, hvor parameteren er af GW_US, GW_EU GW_UK. GW refererer til den strømlinede indstilling. Kør med relevant geografisk lejer.
Som en supplerende kontrol kan du også bruge klientanalysen til at teste, om en enhed opfylder forudsætningerne: https://aka.ms/BetaMDEAnalyzer
Bemærk!
For enheder, der endnu ikke er onboardet til Defender for Endpoint, tester klientanalysen i forhold til standardsættet af URL-adresser. Hvis du vil teste den strømlinede tilgang, skal du køre med de parametre, der er angivet tidligere i denne artikel.
Fase 4. Anvend den nye onboardingpakke, der kræves til strømlinede forbindelser
Når du har konfigureret dit netværk til at kommunikere med den komplette liste over tjenester, kan du begynde at onboarde enheder ved hjælp af den strømlinede metode.
Før du fortsætter, skal du bekræfte, at enhederne opfylder forudsætningerne og har opdateret sensor- og Microsoft Defender Antivirus-versioner.
Hvis du vil hente den nye pakke, skal du i Microsoft Defender XDR vælge Indstillinger > Slutpunkter > Onboarding af enhedshåndtering>.
Vælg det relevante operativsystem, og vælg "Strømlinet" i rullemenuen Forbindelsestype.
For nye enheder (ikke onboardet til Defender for Endpoint), der understøttes under denne metode, skal du følge onboardingtrinnene fra tidligere afsnit ved hjælp af den opdaterede onboardede pakke med din foretrukne udrulningsmetode:
- Windows-klient om bord
- Onboard Windows Server
- Onboard ikke-Windows-enheder
- Kør en registreringstest på en enhed for at bekræfte, at den er onboardet korrekt til Microsoft Defender for Endpoint
- Udelad enheder fra eksisterende onboardingpolitikker, der bruger standard onboardingpakken.
Hvis du vil overføre enheder, der allerede er onboardet til Defender for Endpoint, skal du se Overflytte enheder til den strømlinede forbindelse. Du skal genstarte din enhed og følge specifik vejledning her.
Fase 5. Angiv standard onboardingpakken til strømlinet forbindelse
Når du er klar til at angive, at standard onboardingpakken skal strømlines, kan du aktivere følgende avancerede funktionsindstilling på Microsoft Defender portalen (Indstillinger > Slutpunkter > Avancerede funktioner).
Denne indstilling angiver standard onboardingpakken til "strømlinet" for relevante operativsystemer. Du kan stadig bruge standard onboardingpakken på onboardingsiden, men du skal specifikt vælge den på rullelisten.
Hvis du vil onboarde via Intune & Microsoft Defender til Cloud, skal du aktivere den relevante indstilling. Enheder, der allerede er onboardet, om bord igen ikke automatisk. du skal oprette en ny politik i Intune, hvor det anbefales først at tildele politikken til et sæt testenheder for at bekræfte, at forbindelsen er oprettet, før målgruppen udvides. Enheder i Defender for Cloud kan om bord ved hjælp af det relevante onboardingscript.
Bemærk!
- Det er kun lejere, der er oprettet den 8. maj 2024 eller før den 8. maj 2024, der har mulighed for at skifte mellem standardforbindelse og strømlinet forbindelse. Nyere lejere understøtter kun strømlinet forbindelse.
- Før du går videre med denne indstilling, skal du validere, at dit miljø er klar, og at alle enheder opfylder forudsætningerne.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under:Indsend og få vist feedback om