Végpontok védelme a Defender for Cloud integrált EDR-megoldásával, a Végponthoz készült Microsoft Defenderrel

  • Cikk
  • 13 perc alatt elolvasható

A Microsoft Defender for Servers segítségével üzembe helyezheti Végponthoz készült Microsoft Defender 2. csomagot a kiszolgáló erőforrásain. Végponthoz készült Microsoft Defender egy holisztikus, felhőalapú végpontbiztonsági megoldás. Fő jellemzői a következők:

  • Kockázatalapú sebezhetőség-kezelés és -értékelés
  • Támadási felület csökkentése
  • Viselkedésalapú és felhőalapú védelem
  • Végpontészlelés és -válasz (EDR)
  • Automatikus vizsgálat és szervizelés
  • Felügyelt vadászati szolgáltatások

Tipp

Eredetileg Windows Defender ATP néven indult, 2019-ben ezt az EDR-terméket a Microsoft Defender ATP-nek nevezték át.

Az Ignite 2020-ban elindítottuk a Microsoft Defender for Cloud XDR csomagot, és ezt az EDR-összetevőt átneveztük Végponthoz készült Microsoft Defender (MDE) névre.

Rendelkezésre állás

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Árképzés: A Microsoft Defender for Servers 1. vagy 2. csomagjának szükséges
Támogatott környezetek: Windows/Linux rendszerű Azure Arc-kompatibilis gépek
Linuxot futtató Azure-beli virtuális gépek (támogatott verziók)
Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop (korábbi nevén Windows Virtual Desktop) Windows 10 Enterprise több munkamenetes (korábban Enterprise for Virtual Desktops) rendszert futtató Azure-beli virtuális gépek
Windows 11 vagy Windows 10 futó Azure-beli virtuális gépek (kivéve, ha az Azure Virtual Desktopot vagy Windows 10 Enterprise több munkamenetet futtat)
Szükséges szerepkörök és engedélyek: * Az integráció engedélyezése/letiltása: biztonsági rendszergazda vagy tulajdonos
* A Defender for Endpoint riasztásainak megtekintése a Defender for Cloudban: biztonsági olvasó, olvasó, erőforráscsoport-közreműködő, erőforráscsoport-tulajdonos, biztonsági rendszergazda, előfizetés-tulajdonos vagy előfizetés-közreműködő
Felhők: Kereskedelmi felhők
Azure Government (csak Windows)
Azure China 21Vianet
Csatlakoztatott AWS-fiókok
Csatlakoztatott GCP-projektek

A Végponthoz készült Microsoft Defender és a Defender for Cloud integrálásának előnyei

Végponthoz készült Microsoft Defender 2. csomag védi a Windows- és Linux-gépeket, függetlenül attól, hogy azOkat az Azure-ban, hibrid felhőkben (helyszíni) vagy többfelhős környezetben üzemelteti. A védelem többek között a következőket tartalmazza:

  • Speciális incidens utáni észlelési érzékelők. A Defender for Endpoint érzékelői számos viselkedési jelet gyűjtenek a gépekről.

  • A Microsoft Veszélyforrás- és biztonságirés-kezelés megoldás sebezhetőségi felmérése. A telepített Végponthoz készült Microsoft Defender a Defender for Cloud képes megjeleníteni a Veszélyforrás- és biztonságirés-kezelés modul által felderített biztonsági réseket, és ezt a modult is kínálhatja támogatott sebezhetőségi felmérési megoldásként. További információ az Végponthoz készült Microsoft Defender Veszélyforrás- és biztonságirés-kezelés gyenge pontjainak vizsgálatával kapcsolatban.

    Ez a modul az Access szoftverleltárában leírt szoftverleltár-funkciókat is tartalmazza, és automatikusan engedélyezhető az automatikus üzembe helyezési beállításokkal rendelkező támogatott gépeken.

  • Elemzésalapú, felhőalapú, incidens utáni észlelés. A Defender for Endpoint gyorsan alkalmazkodik a változó fenyegetésekhez. Fejlett elemzéseket és big data-adatokat használ. Ezt az intelligens biztonsági gráfok a Windows, az Azure és az Office jeleivel felerősítve észlelik az ismeretlen fenyegetéseket. Végrehajtható riasztásokat biztosít, és lehetővé teszi a gyors válaszadást.

  • Fenyegetések felderítése. A Defender for Endpoint riasztásokat hoz létre, amikor azonosítja a támadó eszközöket, technikákat és eljárásokat. A Microsoft fenyegetésvadászai és biztonsági csapatai által létrehozott adatokat használja, amelyeket a partnerek által biztosított intelligencia bővít.

A Defender for Endpoint és a Defender for Cloud integrálásával a következő további képességeket használhatja:

  • Automatizált előkészítés. A Defender for Cloud automatikusan engedélyezi a Defender for Endpoint érzékelőt a Defender for Cloudhoz csatlakoztatott összes támogatott gépen.

  • Egyablakos üveg. A Defender for Cloud portál oldalain a Defender for Endpoint riasztásai jelennek meg. A további vizsgálatokhoz használhatók a Microsoft Defender for Endpoint saját portáloldalai is, ahol olyan további információk jelennek meg, mint a riasztásfeldolgozási fa és az incidens grafikonja. Itt megtalálható a gép részletes idővonala is, amelyen akár hat hónapra visszamenőleg megjeleníthető minden viselkedési előzmény.

    Végponthoz készült Microsoft Defender saját Security Centere

Milyen követelmények vonatkoznak a Végponthoz készült Microsoft Defender bérlőre?

Amikor a Defender for Cloud használatával figyeli a gépeket, a rendszer automatikusan létrehoz egy Defender for Endpoint-bérlőt.

  • Helyen: A Defender for Endpoint által gyűjtött adatokat a rendszer a bérlő földrajzi helyén tárolja a kiépítés során azonosított módon. Az ügyféladatok – álnevesített formában – a Egyesült Államok központi tárolási és feldolgozási rendszereiben is tárolhatók. Miután konfigurálta a helyet, nem módosíthatja. Ha saját licenccel rendelkezik Végponthoz készült Microsoft Defender, és át kell helyeznie az adatokat egy másik helyre, kérje a Microsoft ügyfélszolgálatát a bérlő alaphelyzetbe állításához.
  • Előfizetések áthelyezése: Ha áthelyezte Azure-előfizetését az Azure-bérlők között, néhány manuális előkészítő lépésre van szükség ahhoz, hogy a Defender for Cloud üzembe helyezze a Defender for Endpointet. A részletekért forduljon a Microsoft ügyfélszolgálatához.

A Végponthoz készült Microsoft Defender-integráció engedélyezése

Előfeltételek

Ellenőrizze, hogy a gép megfelel-e a Defender végponthoz szükséges követelményeinek:

  1. Győződjön meg arról, hogy a gép szükség szerint csatlakozik az Azure-hoz és az internethez:

  2. Engedélyezze a Microsoft Defender for Servers szolgáltatást. Lásd a rövid útmutatót: Engedélyezze a Defendert a Felhő továbbfejlesztett biztonsági funkcióihoz.

    Fontos

    A Defender for Cloud integrációja a Végponthoz készült Microsoft Defender alapértelmezés szerint engedélyezve van. Így ha engedélyezi a továbbfejlesztett biztonsági funkciókat, beleegyezik, hogy a Microsoft Defender for Servers hozzáférjen a biztonsági résekkel, a telepített szoftverekkel és a végpontokra vonatkozó riasztásokkal kapcsolatos Végponthoz készült Microsoft Defender adatokhoz.

  3. Windows-kiszolgálók esetén győződjön meg arról, hogy a kiszolgálók megfelelnek a Végponthoz készült Microsoft Defender előkészítésére vonatkozó követelményeknek

  4. Ha áthelyezte az előfizetését az Azure-bérlők között, néhány manuális előkészítő lépésre is szükség van. A részletekért forduljon a Microsoft ügyfélszolgálatához.

Az integráció engedélyezése

Az új egyesített MDE-megoldás nem használja vagy igényli a Log Analytics-ügynök telepítését. Az egységesített megoldás automatikusan üzembe lesz helyezve az Azure Arcon keresztül csatlakoztatott összes Windows-kiszolgálón, valamint a többfelhős összekötőken keresztül csatlakoztatott többfelhős kiszolgálókon, kivéve az Azure-ban a Windows 2012 R2 és 2016 kiszolgálókat, amelyeket a Defender for Servers Plan 2 véd. Dönthet úgy, hogy telepíti az MDE egyesített megoldást ezekre a gépekre.

A Végponthoz készült Defendert két módon fogja telepíteni a Windows-gépeken– attól függően, hogy már telepítette-e azt a Windows rendszerű gépeken:

A Defender for Serverst engedélyező és Végponthoz készült Microsoft Defender üzembe helyezett felhasználók

Ha már engedélyezte az integrációt a Defender for Endpoint szolgáltatással, teljes mértékben szabályozhatja, hogy mikor és mikor telepítse az egyesített MDE-megoldást a Windows rendszerű gépeken.

  1. A Defender for Cloud menüjében válassza a Környezeti beállítások lehetőséget , és válassza ki az előfizetést azokkal a Windows rendszerű gépekkel, amelyeket a Defender for Endpointhoz szeretne kapni.

  2. Válassza az Integrációk lehetőséget. Tudni fogja, hogy az integráció engedélyezve van, ha az adatok elérésének engedélyezése Végponthoz készült Microsoft Defender jelölőnégyzet be van jelölve az alábbi módon:

    A Microsoft Defender for Cloud és a Microsoft Végponthoz készült Microsoft Defender EDR-megoldása közötti integráció engedélyezve van.

    Megjegyzés

    Ha nincs kiválasztva, használja azokat a felhasználókat tartalmazó utasításokat, akik még soha nem engedélyezték a Windows Végponthoz készült Microsoft Defender integrációját.

  3. Az MDE egységesített megoldás üzembe helyezése Windows Server 2012 R2 és 2016 rendszerű gépeken:

    1. Válassza az Egyesített megoldás engedélyezése lehetőséget.
    2. Válassza a Mentés lehetőséget.
    3. A megerősítést kérő üzenetben ellenőrizze az adatokat, és válassza az Engedélyezés lehetőséget a folytatáshoz.

    Az MDE egyesített megoldás használatának megerősítése Windows Server 2012 R2 és 2016 rendszerű gépeken

    A Microsoft Defender for Cloud a következőt teszi:

    • Állítsa le a Meglévő MDE-folyamatot a Log Analytics-ügynökben, amely adatokat gyűjt a Defender for Servers számára.
    • Telepítse az MDE egyesített megoldást az összes meglévő és új R2 és 2016 Windows Server 2012.
    • Távolítsa el az Egyesített megoldás engedélyezése lehetőséget az integrációs lehetőségek közül.

    A Microsoft Defender for Cloud automatikusan előkészíti a gépeket a Végponthoz készült Microsoft Defender. Az előkészítés akár 12 órát is igénybe vehet. Az integráció engedélyezése után létrehozott új gépek esetében az előkészítés akár egy órát is igénybe vehet.

    Megjegyzés

    Ha úgy dönt, hogy nem telepíti az MDE egyesített megoldást a Windows 2012 R2- és 2016-kiszolgálókra a Defender for Servers 2. csomagjában, majd a Defender for Servers 1. csomagra vált, az MDE egyesített megoldás nem lesz telepítve ezekre a kiszolgálókra, így a meglévő üzemelő példány nem módosul az Ön kifejezett hozzájárulása nélkül.

Azok a felhasználók, akik soha nem engedélyezték a windowsos Végponthoz készült Microsoft Defender-integrációt

Ha még soha nem engedélyezte a Windows-integrációt, az Adatok elérésének engedélyezése Végponthoz készült Microsoft Defender beállítás lehetővé teszi, hogy a Defender for Cloud üzembe helyezze a Végponthoz készült Defendert a Windows- és Linux-gépeken is.

  1. A Defender for Cloud menüjében válassza a Környezeti beállítások elemet , majd válassza ki azt az előfizetést, amelyen a végponthoz tartozó Defendert fogadni szeretné.

  2. Válassza az Integrációk lehetőséget.

  3. Válassza az Adatok elérésének engedélyezése Végponthoz készült Microsoft Defender lehetőséget, majd válassza a Mentés lehetőséget.

Az MDE-ügynök egyesített megoldása a kiválasztott előfizetésben lévő összes gépre telepítve van.

Hozzáférés a Végponthoz készült Microsoft Defender portálhoz

  1. Győződjön meg arról, hogy a felhasználói fiók rendelkezik a szükséges engedélyekkel. További információ: Felhasználói hozzáférés hozzárendelése Microsoft Defender biztonsági központ.

  2. Ellenőrizze, hogy rendelkezik-e olyan proxyval vagy tűzfallal, amely blokkolja a névtelen forgalmat. A Defender for Endpoint érzékelő a rendszerkörnyezetből csatlakozik, ezért engedélyezni kell a névtelen forgalmat. A Defender for Endpoint portálhoz való akadálytalan hozzáférés biztosításához kövesse a szolgáltatás URL-címeinek proxykiszolgálón történő elérésének engedélyezése című témakör utasításait.

  3. Nyissa meg a Defender for Endpoint Security Center portált. További információ a portál funkcióiról és ikonjairól a Defender for Endpoint Security Center portál áttekintésében.

Tesztriasztás küldése

Ha jóindulatú tesztriasztást szeretne létrehozni a Végponthoz készült Defenderből, válassza a végpont megfelelő operációs rendszerének fülét:

Windows rendszerű végpontok esetén:

  1. Hozzon létre egy "C:\test-MDATP-test" mappát.

  2. Használja a Távoli asztalt a gép eléréséhez.

  3. Nyisson meg egy parancssori ablakot.

  4. A parancssorba másolja és futtassa a következő parancsot. A parancssori ablak automatikusan bezárul.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'

    Egy parancssori ablak a tesztriasztás létrehozásához használható paranccsal.

    Ha a parancs sikeres, új riasztás jelenik meg a számítási feladatok védelmének irányítópultján és a Végponthoz készült Microsoft Defender portálon. A riasztás megjelenése eltarthat néhány percig.

  5. A riasztás a Defender for Cloudban való áttekintéséhez lépjen a Biztonsági riasztások>gyanús PowerShell-parancssorba.

  6. A vizsgálat ablakában válassza a hivatkozást a Végponthoz készült Microsoft Defender portálra való ugráshoz.

    Tipp

    A riasztás információs súlyossággal aktiválódik.

Végponthoz készült Defender eltávolítása egy gépről

A Defender for Endpoint megoldás eltávolítása a gépekről:

  1. Tiltsa le az integrációt:

    1. A Defender for Cloud menüjében válassza a Környezeti beállítások lehetőséget , és válassza ki a megfelelő számítógépekkel rendelkező előfizetést.
    2. Nyissa meg az Integrációkat, és törölje a jelet az Adatok elérésének engedélyezése Végponthoz készült Microsoft Defender jelölőnégyzetből.
    3. Válassza a Mentés lehetőséget.

  2. Távolítsa el az MDE-t. Windows/MDE. Linux-bővítmény a gépről.

  3. Kövesse a Defender for Endpoint dokumentációjának Végponthoz készült Microsoft Defender szolgáltatásból származó eszközök előkészítésének lépéseit.

Gyakori kérdések – A Microsoft Defender for Cloud integrációja a Végponthoz készült Microsoft Defender

Mi ez az "MDE. Windows" / "MDE. Linux"-bővítmény fut a gépemen?

A múltban Végponthoz készült Microsoft Defender a Log Analytics-ügynök hozta létre. Amikor kiterjesztettük a Windows Server 2019 és a Linux támogatását, hozzáadtunk egy bővítményt is az automatikus előkészítés végrehajtásához.

A Defender for Cloud automatikusan üzembe helyezi a bővítményt a következőt futtató gépeken:

  • Windows Server 2019 és Windows Server 2022.
  • Windows 10 az Azure Virtual Desktopban.
  • A Windows Server egyéb verziói, ha a Defender for Cloud nem ismeri fel az operációs rendszer verzióját (például egyéni virtuálisgép-rendszerkép használata esetén). Ebben az esetben Végponthoz készült Microsoft Defender továbbra is a Log Analytics-ügynök építi ki.
  • Linux.

Fontos

Ha törli az MDE-t. Windows/MDE. Linux-bővítmény, nem távolítja el Végponthoz készült Microsoft Defender. az "offboard" (kikapcsolás) gombra. Lásd: Windows-kiszolgálók kiléptetése.

Engedélyeztem a megoldást, de az "MDE. Windows" / "MDE. A Linux"-bővítmény nem jelenik meg a gépemen

Ha engedélyezte az integrációt, de továbbra sem látja a bővítményt a gépeken:

  1. Ha a megoldás engedélyezése óta nem telt el 12 óra, meg kell várnia az időszak végét, hogy biztosan legyen kivizsgálandó probléma.
  2. Ha 12 óra elteltével sem látja a bővítmény futását a gépeken, ellenőrizze, hogy megfelel-e az integráció előfeltételeinek .
  3. Győződjön meg arról, hogy engedélyezte a Microsoft Defender for Servers csomagot a vizsgált gépekhez kapcsolódó előfizetésekhez.
  4. Ha áthelyezte Azure-előfizetését az Azure-bérlők között, néhány manuális előkészítő lépésre van szükség ahhoz, hogy a Defender for Cloud üzembe helyezze a Végponthoz készült Defendert. A részletekért forduljon a Microsoft ügyfélszolgálatához.

Mik a Végponthoz készült Microsoft Defender licencelési követelményei?

A Végponthoz készült Defender további költségek nélkül elérhető a Microsoft Defender for Servers szolgáltatásban. Azt is megteheti, hogy 50 géphez vagy több géphez külön vásárolható meg.

Ha már rendelkezem Végponthoz készült Microsoft Defender licenccel, kaphatok kedvezményt a Microsoft Defender for Serversre?

Ha már rendelkezik licenccel a kiszolgálókhoz készült Végponthoz készült Microsoft Defender számára, nem kell fizetnie a Microsoft Defender for Servers 2. csomagjának ezen részénekért. További információ a Microsoft 365-licencről.

A kedvezmény igényléséhez forduljon a Defender for Cloud támogatási csapatához. Meg kell adnia a megfelelő munkaterület-azonosítót, régiót és Végponthoz készült Microsoft Defender számát az adott munkaterület gépeire vonatkozó kiszolgálólicencekhez.

A kedvezmény a jóváhagyási dátumtól kezdve lép érvénybe, és visszamenőlegesen nem lesz érvényes.

Hogyan váltani egy külső EDR-eszközről?

A nem Microsoft-végponti megoldásról való váltásra vonatkozó teljes utasítások a Végponthoz készült Microsoft Defender dokumentációjában érhetők el: A migrálás áttekintése.

Melyik Végponthoz készült Microsoft Defender csomagot támogatja a Defender for Servers?

A Defender for Servers 1. és 2. csomagja Végponthoz készült Microsoft Defender 2. csomag képességeit biztosítja. -->

Következő lépések