Jaa

VAIHE 3: Microsoft Defender for Endpoint palvelun URL-osoitteiden asiakasyhteyden tarkistaminen

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tarkista, että asiakkaat voivat muodostaa yhteyden Defender for Endpoint -palvelun URL-osoitteisiin Defender for Endpoint Client Analyzerin avulla varmistaakseen, että päätepisteet pystyvät viestimään telemetriasta palveluun.

Lisätietoja Defender for Endpoint Client Analyzerista on kohdassa Tunnistimen kunnon vianmääritys Microsoft Defender for Endpoint Client Analyzerin avulla.

Huomautus

Voit suorittaa Defender for Endpoint Client Analyzerin laitteissa ennen perehdytystä ja käyttöönoton jälkeen.

  • Kun testaat Defender for Endpointiin liitettyä laitetta, työkalu käyttää perehdytysparametreja.
  • Kun testaat laitetta, jota ei ole vielä otettu defender for Endpointiin, työkalu käyttää oletusarvoja Yhdysvallat, Yhdistynyt kuningaskunta ja EU.
    Suorita konsolidoiduissa palvelun URL-osoitteissa, jotka saadaan virtaviivaistetun yhteyden kautta (oletusarvo uusille vuokraajille), kun testaat laitteita, joita ei ole vielä otettu Defender for Endpointiin, käyttämällä komentoa mdeclientanalyzer.cmd-o <path to MDE onboarding package >. Komento käyttää käyttöönoton komentosarjan maantieteellistä parametria yhteyksien testaamiseen. Muussa tapauksessa esi perehdyttämisen oletustesti suoritetaan vakio-URL-joukkoa vasten. Lisätietoja on seuraavassa osiossa.

Varmista, että välityspalvelimen määritys on valmis. WinHTTP voi sitten etsiä ja kommunikoida ympäristösi välityspalvelimen kautta, ja välityspalvelin sallii liikenteen Defender for Endpoint -palvelun URL-osoitteisiin.

  1. Lataa Microsoft Defender for Endpoint Client Analyzer -työkalu, jossa Defender for Endpoint -tunnistin on käynnissä.

  2. Pura MDEClientAnalyzer.zip sisältö laitteessa.

  3. Avaa laajennettu komentorivi:

    1. Siirry Aloitus-kohtaan ja kirjoita cmd.
    2. Napsauta komentoriviä hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.

  4. Kirjoita seuraava komento ja paina Enter-näppäintä:

    HardDrivePath\MDEClientAnalyzer.cmd

    Korvaa HardDrivePath polulla, josta MDEClientAnalyzer-työkalu ladattiin. Esimerkki:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

  5. Työkalu luo ja purkaa kansiossa olevanMDEClientAnalyzerResult.zip-tiedoston HardDrivePathissa käytettäväksi.

  6. Avaa MDEClientAnalyzerResult.txt ja varmista, että olet suorittanut välityspalvelimen määritysvaiheet, jotta voit ottaa käyttöön palvelimen etsinnän ja palvelun URL-osoitteiden käytön.

    Työkalu tarkistaa Defenderin yhteyden päätepistepalvelun URL-osoitteisiin. Varmista, että Defender for Endpoint -asiakas on määritetty käyttämään. Työkalu tulostaa tuloksetMDEClientAnalyzerResult.txt-tiedostoon kullekin URL-osoitteelle, jota voidaan mahdollisesti käyttää kommunikointiin Defender for Endpoint -palveluiden kanssa. Esimerkki:

    Testing URL : https://xxx.microsoft.com/xxx
1 - Default proxy: Succeeded (200)
2 - Proxy auto discovery (WPAD): Succeeded (200)
3 - Proxy disabled: Succeeded (200)
4 - Named proxy: Doesn't exist
5 - Command line proxy: Doesn't exist

Jos jokin yhteysvaihtoehdoista palauttaa (200) -tilan, Defender for Endpoint -asiakas voi viestiä testatun URL-osoitteen kanssa oikein käyttämällä tätä yhteysmenetelmää.

Jos kuitenkin yhteystarkistustulokset ilmaisevat virheen, näyttöön tulee HTTP-virhe (katso HTTP-tilakoodit). Voit sitten käyttää URL-osoitteita välityspalvelimen Defenderin käytön salliminen päätepistepalvelun URL-osoitteille -kohdassa esitetyssä taulukossa. Käytettävissä olevat URL-osoitteet riippuvat käyttöönoton aikana valitusta alueesta.

Huomautus

Connectivity Analyzer -työkalun pilviyhteystarkistukset eivät ole yhteensopivia Attack Surface Reduction -säännön Estä prosessien luomiset, jotka ovat peräisin PSExec- ja WMI-komennoista. Yhteystyökalun suorittaminen edellyttää, että poistat tämän säännön tilapäisesti käytöstä. Vaihtoehtoisesti voit tilapäisesti lisätä ASR-poissulkemisia analysoinnin suorittamisen aikana.

Kun TelemetryProxyServer on määritetty rekisteriin tai ryhmäkäytäntö kautta, Defender for Endpoint palautuu, määritettyä välityspalvelinta ei voi käyttää.

Yhteyksien testaaminen virtaviivaistetun perehdyttämismenetelmän avulla

Jos testaat yhteyttä laitteessa, jota ei ole vielä otettu Defender for Endpointiin virtaviivaistetun lähestymistavan avulla (koskee sekä uusia että siirrettäviä laitteita):

  1. Lataa virtaviivaistettu perehdytyspaketti soveltuvalle käyttöjärjestelmälle.

  2. Poimi .cmd perehdytyspaketista.

  3. Lataa Asiakasanalysaattori noudattamalla edellisen osion ohjeita.

  4. Suorita mdeclientanalyzer.cmd -o <path to onboarding cmd file> MDEClientAnalyzer-kansiosta. Komento testaa yhdistettävyyttä käyttöönoton komentosarjan maantieteellisten parametrien avulla.

Jos testaat yhteyttä laitteessa, joka on otettu käyttöön Defender for Endpointiin virtaviivaistetun perehdyttämispaketin avulla, suorita Defender for Endpoint Client Analyzer normaalisti. Työkalu käyttää määritettyjä perehdytysparametreja yhteyksien testaamiseen.

Lisätietoja virtaviivaistetun perehdyttämiskomentosarjan käytöstä on kohdassa Laitteiden käyttöönotto virtaviivaistetun laiteyhteyden avulla.

Microsoftin valvonta-agentin (MMA) palvelun URL-yhteydet

Katso seuraavista ohjeista, miten voit poistaa yleismerkkivaatimuksen (*) tietystä ympäristöstäsi käyttäessäsi Microsoftin valvonta-agenttia (MMA) Windowsin aiemmissa versioissa.

  1. Lisää aiempi käyttöjärjestelmä Microsoft Monitoring Agentin (MMA) kanssa Defender for Endpointiin (lisätietoja on artikkelissa Windowsin aiempien versioiden käyttöönotto Defender for Endpointissa ja Onboard Windows -palvelimilla).

  2. Varmista, että tietokone raportoi Microsoft Defender portaaliin.

  3. Suorita TestCloudConnection.exe-työkalu kohteesta C:\Program Files\Microsoft Monitoring Agent\Agent yhteyden vahvistamiseksi ja tarvittavien URL-osoitteiden saamiseksi tietylle työtilalle.

  4. Tarkista alueesi täydellinen luettelo Microsoft Defender for Endpoint URL-osoitteiden luettelosta (katso palvelun URL-osoitteiden laskentataulukko).

Tämä on järjestelmänvalvoja PowerShell.

-, - ja *.agentsvc.azure-automation.net URL-päätepisteissä *.ods.opinsights.azure.com*.oms.opinsights.azure.comkäytetyt yleismerkit (*) voidaan korvata tietyllä työtilatunnuksella. Työtilan tunnus liittyy ympäristöösi ja työtilaasi. Se löytyy vuokraajan Perehdytys-osasta Microsoft Defender-portaalista.

*.blob.core.windows.net URL-päätepiste voidaan korvata testitulosten palomuurisäännön *.blob.core.windows.net URL-osoitteilla.

Huomautus

Jos kyseessä on perehdytys Microsoft Defender kautta pilvipalvelulle, voit käyttää useita työtiloja. Sinun on suoritettava TestCloudConnection.exe toimintosarja jokaisen työtilan perehdytetyssä tietokoneessa (selvittääksesi, onko työtilojen välisiin *.blob.core.windows.net URL-osoitteisiin tehty muutoksia).

Seuraavat vaiheet

Windows ClientOnboard Windows Server-laivalla muut kuin Windows-laitteet