Eszközök előkészítése egyszerűsített kapcsolattal a Végponthoz készült Microsoft Defender
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Előfordulhat, hogy a Végponthoz készült Microsoft Defender szolgáltatás proxykonfigurációk használatát követeli meg a diagnosztikai adatok jelentéséhez és az adatok szolgáltatással való közléséhez. Az egyszerűsített csatlakozási módszer rendelkezésre állása előtt más URL-címekre volt szükség, és a Végponthoz készült Defender statikus IP-címtartományai nem támogatottak. A környezet előkészítésével kapcsolatos további információkért lásd: 1. LÉPÉS: A hálózati környezet konfigurálása a Végponthoz készült Defender szolgáltatással való kapcsolat biztosításához.
Ez a cikk az egyszerűsített eszközkapcsolati módszert és az új eszközök előkészítését ismerteti a Végponthoz készült Defender felhőkapcsolati szolgáltatásainak egyszerűbb üzembe helyezéséhez és felügyeletéhez. A korábban előkészített eszközök migrálásával kapcsolatos további információkért lásd: Eszközök migrálása az egyszerűsített kapcsolat érdekében.
A hálózati konfiguráció és a felügyelet egyszerűsítése érdekében mostantól lehetősége van az eszközöket a Végponthoz készült Defenderbe alacsonyabb URL-címkészlet vagy statikus IP-címtartományok használatával bevetni. Tekintse meg az egyszerűsített URL-listát.
A Végponthoz készült Defender által felismert egyszerűsített tartomány: *.endpoint.security.microsoft.com
a végponthoz készült Defender alábbi alapvető szolgáltatásait váltja fel:
- Cloud Protection/MAPS
- Kártevőminta beküldési tárolója
- Automatikus integrációs modul mintatárolója
- Végponthoz készült Defender parancs & Control
- EDR Cyberdata
Ha gazdagépnév-feloldás vagy helyettesítő karakteres támogatás nélküli hálózati eszközöket szeretne támogatni, konfigurálhatja a kapcsolatot dedikált Végponthoz készült Defender statikus IP-címtartományok használatával. További információ: Kapcsolat konfigurálása statikus IP-címtartományokkal.
Megjegyzés:
- Az egyszerűsített csatlakozási módszer nem változtatja meg az eszköz Végponthoz készült Microsoft Defender működését, és nem is változtatja meg a végfelhasználói élményt. Csak azok az URL-címek vagy IP-címek változnak meg, amelyeket az eszköz a szolgáltatáshoz való csatlakozáshoz használ.
- Jelenleg nincs terv a régi, konszolidált szolgáltatás URL-címeinek elavulására. A "standard" kapcsolattal előkészített eszközök továbbra is működni fognak. Fontos biztosítani, hogy a
*.endpoint.security.microsoft.com
csatlakozás lehetséges legyen és továbbra is lehetséges legyen, mivel a jövőbeli szolgáltatások megkövetelik. Ez az új URL-cím szerepel az összes szükséges URL-listában.
Összevont szolgáltatások
Az egyszerűsített tartományba konszolidált végponthoz készült Defender URL-címekre már nincs szükség a kapcsolathoz, ha *.endpoint.security.microsoft.com
engedélyezve van, és az eszközök előkészítése az egyszerűsített előkészítési csomag használatával történik. Fenn kell tartania a kapcsolatot a szervezet szempontjából nem konszolidált egyéb szükséges szolgáltatásokkal (például CRL, SmartScreen/Network Protection és Windows Update).
A szükséges URL-címek frissített listáját lásd: 1. LÉPÉS: A hálózati környezet konfigurálása a Végponthoz készült Defender szolgáltatással való kapcsolat biztosításához.
Fontos
Ha IP-tartományok használatával konfigurál, külön kell konfigurálnia az EDR cyberdata szolgáltatást. Ez a szolgáltatás ip-szinten nincs összesítve.
Kategória | Összevont URL-címek |
---|---|
MAPS: felhőben biztosított védelem | *.wdcp.microsoft.com *.wd.microsoft.com |
Felhővédelmi & biztonságiintelligencia-frissítések macOS-hez és Linuxhoz |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.com x.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
Kártevőminta beküldési tárolója | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
Végponthoz készült Defender automatikus integrációs modul mintatárolója | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
Végponthoz készült Defender parancsa és vezérlése | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
Az első lépések
Az eszközöknek meg kell felelniük bizonyos előfeltételeknek a Végponthoz készült Defender egyszerűsített csatlakozási módszerének használatához. Az előkészítés megkezdése előtt győződjön meg arról, hogy teljesülnek az előfeltételek.
Előfeltételek
Engedély:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender Vállalati verzió
- A Microsoft Defender biztonságirés-kezelése
Minimális TUDÁSBÁZIS-frissítés (Windows)
- SENSE verzió: 10.8040.*/ 2022. március 8., vagy újabb (lásd a táblázatot)
Microsoft Defender víruskereső verziói (Windows)
- Kártevőirtó ügyfél:
4.18.2211.5
- Motor:
1.1.19900.2
- Víruskereső (biztonsági intelligencia):
1.391.345.0
Defender víruskereső verziók (macOS/Linux)
- macOS által támogatott verziók MDE 101.24022.*+ termékverzióval
- Linux által támogatott verziók MDE 101.24022.*+ termékverzióval
Támogatott operációs rendszerek
- Windows 10 1809-es vagy újabb verziót. Windows 10 1607,1703, 1709, 1803 verzió támogatott az egyszerűsített előkészítési csomagban, de más URL-listát igényel. Lásd: egyszerűsített URL-lap
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 vagy Windows Server 2016, a végponthoz készült Defender teljes mértékben frissített, egységesített megoldása (msi-n keresztüli telepítés).
- macOS által támogatott verziók MDE 101.24022.*+ termékverzióval
- Linux által támogatott verziók MDE 101.24022.*+ termékverzióval
Fontos
- Az MMA-ügynökön futó eszközök nem támogatottak az egyszerűsített csatlakozási módszeren, és továbbra is a szabványos URL-címkészletet kell használniuk (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 nem frissíthető modern egyesített ügynökre).
- Windows Server 2012 R2-nek és Server 2016-nak egységesített ügynökre kell frissítenie az új módszer használatához.
- Windows 10 1607, 1703, 1709, 1803 használhatja az új előkészítési lehetőséget, de hosszabb listát fog használni. További információ: egyszerűsített URL-lap.
Windows operációs rendszer | Minimális tudásbázis szükséges (2022. március 8.) |
---|---|
Windows 11 | KB5011493 (2022. március 8.) |
Windows 10 1809, Windows Server 2019 | KB5011503 (2022. március 8.) |
Windows 10 19H2 (1909) | KB5011485 (2022. március 8.) |
Windows 10 20H2, 21H2 | KB5011487 (2022. március 8.) |
Windows 10 22H2 | KB5020953 (2022. október 28.) |
Windows 10 1803* | < szolgáltatás megszűnése > |
Windows 10 1709* | < szolgáltatás megszűnése > |
Windows Server 2022 | KB5011497 (2022. március 8.) |
Windows Server 2012 R2, 2016* | Egyesített ügynök |
Egyszerűsített csatlakozási folyamat
Az alábbi ábra az egyszerűsített kapcsolódási folyamatot és a megfelelő szakaszokat mutatja be:
1. szakasz. A hálózati környezet konfigurálása a felhőkapcsolathoz
Az előfeltételek teljesülése után győződjön meg arról, hogy a hálózati környezet megfelelően van konfigurálva az egyszerűsített kapcsolati módszer támogatásához. Kövesse a Hálózati környezet konfigurálása a Végponthoz készült Defender szolgáltatással való kapcsolat biztosításához című cikkben ismertetett lépéseket.
A Végponthoz készült Defender szolgáltatás egyszerűsített tartományba konszolidált URL-címei már nem szükségesek a kapcsolathoz. Bizonyos URL-címek azonban nem szerepelnek az összesítésben.
Az egyszerűsített kapcsolat lehetővé teszi, hogy az alábbi lehetőséggel konfigurálja a felhőkapcsolatot:
- 1. lehetőség: Az egyszerűsített tartomány használata
- 2. lehetőség: Statikus IP-tartományok használata
1. lehetőség: Kapcsolat konfigurálása az egyszerűsített tartomány használatával
Konfigurálja a környezetet úgy, hogy engedélyezze a kapcsolatokat az egyszerűsített Végponthoz készült Defender-tartománnyal: *.endpoint.security.microsoft.com
. További információ: A hálózati környezet konfigurálása a Végponthoz készült Defender szolgáltatással való kapcsolat biztosításához.
Fenn kell tartania a kapcsolatot a frissített listában felsorolt többi szükséges szolgáltatással. Ilyen például a visszavont tanúsítványok listája, a Windows Update és a SmartScreen.
2. lehetőség: Kapcsolat konfigurálása statikus IP-címtartományokkal
Az egyszerűsített kapcsolattal az IP-alapú megoldások az URL-címek alternatíváiként használhatók. Ezek az IP-címek a következő szolgáltatásokat fedik le:
- TÉRKÉPEK
- Kártevőminta beküldési tárolója
- Automatikus integrációs modul mintatárolója
- Végponthoz készült Defender parancsa és vezérlése
Fontos
Az EDR Cyber Data Service-t külön kell konfigurálni, ha az IP-módszert használja (ez a szolgáltatás csak URL-szinten van összesítve). Emellett fenn kell tartania a kapcsolatot más szükséges szolgáltatásokkal is, például a SmartScreen, a CRL, a Windows Update és más szolgáltatásokkal.
Az IP-címtartományok naprakészen tartásához ajánlott az alábbi Azure-szolgáltatáscímkéket Végponthoz készült Microsoft Defender-szolgáltatásokhoz. A legújabb IP-címtartományok a szolgáltatáscímkében találhatók. További információ: Azure IP-tartományok.
Szolgáltatáscímke neve | Végponthoz készült Defender-szolgáltatások belefoglalva |
---|---|
MicrosoftDefenderForEndpoint | MAPS, Malware Sample Submission Storage, Auto-IR Sample Storage, Command and Control. |
OneDsCollector | EDR Cyberdata Megjegyzés: A szolgáltatáscímke alatti forgalom nem korlátozódik a Végponthoz készült Defenderre, és más Microsoft-szolgáltatások diagnosztikai adatforgalmát is tartalmazhatja. |
Az alábbi táblázat az aktuális statikus IP-címtartományokat sorolja fel. A legújabb listát az Azure-szolgáltatáscímkékben találja.
Geo | IP-tartományok |
---|---|
HU | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/24 13.83.125.0/24 |
EU | 4.208.13.0/24 20.8.195.0/24 |
Egyesült Királyság | 20.26.63.224/28 20.254.173.48/28 |
AU | 68.218.120.64/28 20.211.228.80/28 |
Fontos
A Végponthoz készült Defender biztonsági és megfelelőségi szabványainak megfelelően az adatok feldolgozása és tárolása a bérlő fizikai helyének megfelelően történik. Az ügyfél helye alapján a forgalom ezen IP-régiók bármelyikén áthaladhat (amelyek az Azure adatközponti régióinak felelnek meg). További információ: Adattárolás és adatvédelem.
2. szakasz. Eszközök konfigurálása a Végponthoz készült Defender szolgáltatáshoz való csatlakozáshoz
Konfigurálja az eszközöket a kapcsolati infrastruktúrán keresztüli kommunikációhoz. Győződjön meg arról, hogy az eszközök megfelelnek az előfeltételeknek, és frissített érzékelővel és Microsoft Defender víruskereső verziókkal rendelkeznek. További információ: Eszközproxy és internetkapcsolat beállításainak konfigurálása .
3. szakasz. Az ügyfélkapcsolatok előléptetésének ellenőrzése
További információ: Ügyfélkapcsolat ellenőrzése.
Az alábbi elővizsgálati ellenőrzések Windows és Xplat MDE Ügyfélelemzőn is futtathatók: Töltse le az Végponthoz készült Microsoft Defender ügyfélelemzőt.
A Végponthoz készült Defenderhez még nem előkészített eszközök egyszerűsített kapcsolatának teszteléséhez használja a Windows ügyfélelemzőt a következő parancsokkal:
Futtassa a parancsot
mdeclientanalyzer.cmd -o <path to cmd file>
az MDEClientAnalyzer mappában. A parancs az előkészítési csomag paramétereit használja a kapcsolat teszteléséhez.Futtassa a parancsot
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
, ahol a paraméter értéke GW_US, GW_EU, GW_UK. A GW az egyszerűsített beállításra utal. Futtassa a parancsot a megfelelő bérlő földrajzi helyével.
Kiegészítő ellenőrzésként az ügyfélelemzővel is tesztelheti, hogy egy eszköz megfelel-e az előfeltételeknek: https://aka.ms/BetaMDEAnalyzer
Megjegyzés:
A Végponthoz készült Defenderbe még nem előkészített eszközök esetében az ügyfélelemző a szabványos URL-címeken fog tesztelni. Az egyszerűsített megközelítés teszteléséhez a jelen cikkben korábban felsorolt kapcsolókkal kell futtatnia.
4. szakasz. Az egyszerűsített kapcsolathoz szükséges új előkészítési csomag alkalmazása
Miután konfigurálta a hálózatot a szolgáltatások teljes listájával való kommunikációra, megkezdheti az eszközök előkészítését az egyszerűsített módszerrel.
Mielőtt továbblép, ellenőrizze, hogy az eszközök megfelelnek-e az előfeltételeknek, és frissítették az érzékelőt és Microsoft Defender víruskereső verziókat.
Az új csomag beszerzéséhez a Microsoft Defender XDR válassza a Beállítások > Végpontok > Eszközkezelés> Előkészítés lehetőséget.
Válassza ki a megfelelő operációs rendszert, és válassza a Kapcsolat típusa legördülő menü "Egyszerűsített" elemét.
Az ebben a módszerben támogatott (a Végponthoz készült Defenderhez nem előkészített) új eszközök esetén kövesse a korábbi szakaszokban ismertetett előkészítési lépéseket a frissített előkészített csomaggal az ön által előnyben részesített üzembehelyezési módszerrel:
- Windows-ügyfél előkészítése
- Windows Server előkészítése
- Nem windowsos eszközök bevezetése
- Futtasson egy észlelési tesztet egy eszközön annak ellenőrzéséhez, hogy megfelelően előkészítették-e a Végponthoz készült Microsoft Defender
- Zárja ki az eszközöket a standard előkészítési csomagot használó meglévő előkészítési szabályzatokból.
A végponthoz készült Defenderbe már előkészített eszközök migrálásához lásd: Eszközök migrálása az egyszerűsített kapcsolatra. Újra kell indítania az eszközt, és követnie kell az itt található útmutatást.
5. szakasz. Az alapértelmezett előkészítési csomag beállítása az egyszerűsített kapcsolathoz
Ha készen áll az alapértelmezett előkészítési csomag egyszerűsített beállítására, bekapcsolhatja a következő Speciális szolgáltatás beállítást a Microsoft Defender portálon (Beállítások > Végpontok > speciális szolgáltatások).
Ez a beállítás az alapértelmezett előkészítési csomagot "egyszerűsített" értékre állítja a megfelelő operációs rendszerekhez. A szokásos előkészítési csomagot továbbra is használhatja az előkészítési lapon, de kifejezetten ki kell választania a legördülő listában.
A felhőbeli Intune & Microsoft Defender való előkészítéshez aktiválnia kell a megfelelő beállítást. A már előkészített eszközök nem lesznek automatikusan újból regisztrálva; létre kell hoznia egy új szabályzatot a Intune, ahol ajánlott először hozzárendelni a szabályzatot egy teszteszközhöz, hogy ellenőrizze a kapcsolat sikerességét, mielőtt kibővítené a célközönséget. A Defender for Cloud eszközei a megfelelő előkészítési szkripttel újra regisztrálhatók.
Megjegyzés:
- Csak a 2024. május 8-án vagy azt megelőzően létrehozott bérlőknek van lehetőségük váltani a standard és az egyszerűsített kapcsolat között. Az újabb bérlők csak az egyszerűsített kapcsolatot támogatják.
- Mielőtt továbblépne ezzel a beállítással, ellenőrizze, hogy a környezet készen áll-e, és minden eszköz megfelel-e az előfeltételeknek.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: