Eszközök előkészítése egyszerűsített kapcsolattal a Végponthoz készült Microsoft Defender
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Megjegyzés:
Az egyszerűsített előkészítési módszer jelenleg nyilvános előzetes verzióban érhető el. Mindenképpen tekintse át az előfeltételeket a követelmények és a támogatott operációs rendszerek megerősítéséhez.
Előfordulhat, hogy a Végponthoz készült Microsoft Defender szolgáltatás proxykonfigurációk használatát követeli meg a diagnosztikai adatok jelentéséhez és az adatok szolgáltatással való közléséhez. Az egyszerűsített csatlakozási módszer rendelkezésre állása előtt más URL-címekre volt szükség, és a Végponthoz készült Defender statikus IP-címtartományai nem támogatottak. A teljes MDE kapcsolati folyamatokkal kapcsolatos további információkért lásd: 1. LÉPÉS: A hálózati környezet konfigurálása a Végponthoz készült Defender szolgáltatással való kapcsolat biztosításához.
Ez a cikk az egyszerűsített eszközkapcsolati módszert és az új eszközök előkészítését ismerteti a Végponthoz készült Defender felhőkapcsolati szolgáltatásainak egyszerűbb üzembe helyezéséhez és felügyeletéhez. A korábban előkészített eszközök migrálásával kapcsolatos további információkért lásd: Eszközök migrálása az egyszerűsített kapcsolat érdekében.
A hálózati konfiguráció és a felügyelet egyszerűsítése érdekében mostantól lehetősége van az eszközöket a Végponthoz készült Defenderbe alacsonyabb URL-címkészlet vagy statikus IP-címtartományok használatával bevetni. Lásd: egyszerűsített URL-lista
A Végponthoz készült Defender által felismert egyszerűsített tartomány: *.endpoint.security.microsoft.com
a végponthoz készült Defender alábbi alapvető szolgáltatásait váltja fel:
- Cloud Protection/MAPS
- Kártevőminta beküldési tárolója
- Automatikus integrációs modul mintatárolója
- Végponthoz készült Defender parancs & Control
- EDR Cyberdata
Ha gazdagépnév-feloldás vagy helyettesítő karakteres támogatás nélküli hálózati eszközöket szeretne támogatni, konfigurálhatja a kapcsolatot dedikált Végponthoz készült Defender statikus IP-címtartományok használatával. További információ: Kapcsolat konfigurálása statikus IP-címtartományokkal.
Megjegyzés:
Az egyszerűsített csatlakozási módszer nem változtatja meg az eszköz Végponthoz készült Microsoft Defender működését, és nem is változtatja meg a végfelhasználói élményt. Csak azok az URL-címek vagy IP-címek változnak meg, amelyeket az eszköz a szolgáltatáshoz való csatlakozáshoz használ.
Fontos
Előzetes verziójú korlátozások és ismert problémák:
- Az egyszerűsített kapcsolat nem támogatja az API-n keresztüli előkészítést (beleértve a felhőhöz és a Intune Microsoft Defender).
- Ez az előkészítési módszer olyan előfeltételekkel rendelkezik, amelyek nem vonatkoznak a standard előkészítési módszerre.
Összevont szolgáltatások
Az egyszerűsített tartomány alatt konszolidált végponthoz készült Defender URL-címekre már nincs szükség a kapcsolathoz, ha *.endpoint.security.microsoft.com
engedélyezve van, és az eszközök előkészítése az egyszerűsített előkészítési csomag használatával történik. Fenn kell tartania a kapcsolatot a szervezet szempontjából nem konszolidált egyéb szükséges szolgáltatásokkal (például CRL, SmartScreen/Network Protection és WNS).
A szükséges URL-címek frissített listáját itt találja: A számolótábla letöltése.
Fontos
Ha IP-tartományok használatával konfigurál, külön kell konfigurálnia az EDR cyberdata szolgáltatást. Ez a szolgáltatás ip-szinten nincs összesítve. További részletekért tekintse meg az alábbi szakaszt.
Kategória | Összevont URL-címek |
---|---|
MAPS: felhőben biztosított védelem | *.wdcp.microsoft.com *.wd.microsoft.com |
Felhővédelmi & biztonságiintelligencia-frissítések macOS-hez és Linuxhoz |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.com x.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
Kártevőminta beküldési tárolója | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
Végponthoz készült Defender automatikus integrációs modul mintatárolója | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
Végponthoz készült Defender parancsa és vezérlése | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
Az első lépések
Az eszközöknek meg kell felelniük bizonyos előfeltételeknek a Végponthoz készült Defender egyszerűsített csatlakozási módszerének használatához. Az előkészítés megkezdése előtt győződjön meg arról, hogy teljesülnek az előfeltételek.
Előfeltételek
Engedély:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender Vállalati verzió
- A Microsoft Defender biztonságirés-kezelése
Minimális TUDÁSBÁZIS-frissítés (Windows)
- SENSE verzió: 10.8040.*/ 2022. március 8., vagy újabb (lásd a táblázatot)
Microsoft Defender víruskereső verziói (Windows)
- Kártevőirtó ügyfél: 4.18.2211.5
- Motor: 1.1.19900.2
- Víruskereső (biztonsági intelligencia): 1.391.345.0
Defender víruskereső verziók (macOS/Linux)
- macOS által támogatott verziók MDE 101.24022.*+ termékverzióval
- Linux által támogatott verziók MDE 101.24022.*+ termékverzióval
Támogatott operációs rendszerek
- Windows 10 1809-es vagy újabb verzió
- Windows 10 1607,1703, 1709, 1803 verzió támogatott az egyszerűsített előkészítési csomagban, de más URL-listát igényel. Lásd: egyszerűsített URL-lap
- Windows 11
- Windows Server 2019
- Windows Server 2022
- Windows Server 2012 R2, Server 2016 R2, a Végponthoz készült Defender teljes mértékben frissített, egységesített megoldása (msi-n keresztüli telepítés).
- macOS által támogatott verziók MDE 101.24022.*+ termékverzióval
- Linux által támogatott verziók MDE 101.24022.*+ termékverzióval
Fontos
- Az MMA-ügynökön futó eszközök nem támogatottak az egyszerűsített csatlakozási módszeren, és továbbra is a szabványos URL-címkészletet kell használniuk (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 R2 nem frissíthető modern egyesített ügynökre).
- Windows Server 2012 R2-nek és Server 2016 R2-nek egységes ügynökre kell frissítenie az új módszer használatához.
- Windows 10 1607, 1703, 1709, 1803 használhatja az új előkészítési lehetőséget, de hosszabb listát fog használni. További információ: egyszerűsített URL-lap.
Windows operációs rendszer | Minimális tudásbázis szükséges (2022. március 8.) |
---|---|
Windows 11 | KB5011493 (2022. március 8.) |
Windows 10 1809, Windows Server 2019 | KB5011503 (2022. március 8.) |
Windows 10 19H2 (1909) | KB5011485 (2022. március 8.) |
Windows 10 20H2, 21H2 | KB5011487 (2022. március 8.) |
Windows 10 22H2 | KB5020953 (2022. október 28.) |
Windows 10 1803* | < szolgáltatás megszűnése > |
Windows 10 1709* | < szolgáltatás megszűnése > |
Windows Server 2022 | KB5011497 (2022. március 8.) |
Windows Server 2012 R2, 2016* | Egyesített ügynök |
Windows Server 2016 R2 | Egyesített ügynök |
Egyszerűsített csatlakozási folyamat
Az alábbi ábra az egyszerűsített kapcsolódási folyamatot és a megfelelő szakaszokat mutatja be:
1. szakasz. A hálózati környezet konfigurálása a felhőkapcsolathoz
Az előfeltételek teljesülése után győződjön meg arról, hogy a hálózati környezet megfelelően van konfigurálva az egyszerűsített kapcsolati módszer támogatásához. Az egyszerűsített módszer (előzetes verzió) használatával kövesse a Hálózati környezet konfigurálása a Végponthoz készült Defender szolgáltatással való kapcsolat biztosításához című cikk lépéseit.
Az egyszerűsített módszerrel konszolidált Végponthoz készült Defender-szolgáltatásokra már nincs szükség a kapcsolathoz. Bizonyos URL-címek azonban nem szerepelnek az összesítésben.
Az egyszerűsített kapcsolat lehetővé teszi, hogy az alábbi lehetőséggel konfigurálja a felhőkapcsolatot:
- 1. lehetőség: Az egyszerűsített tartomány használata
- 2. lehetőség: Statikus IP-tartományok használata
1. lehetőség: Kapcsolat konfigurálása az egyszerűsített tartomány használatával
Konfigurálja a környezetet úgy, hogy engedélyezze a kapcsolatokat az egyszerűsített Végponthoz készült Defender-tartománnyal: *.endpoint.security.microsoft.com
. További információ: A hálózati környezet konfigurálása a Végponthoz készült Defender szolgáltatással való kapcsolat biztosításához.
Fenn kell tartania a kapcsolatot a frissített listában felsorolt többi szükséges szolgáltatással. Ilyen például a visszavont tanúsítványok listája, a Windows Update és a SmartScreen.
2. lehetőség: Kapcsolat konfigurálása statikus IP-címtartományokkal
Az egyszerűsített kapcsolattal az IP-alapú megoldások az URL-címek alternatíváiként használhatók. Ezek az IP-címek a következő szolgáltatásokat fedik le:
- TÉRKÉPEK
- Kártevőminta beküldési tárolója
- Automatikus integrációs modul mintatárolója
- Végponthoz készült Defender parancsa és vezérlése
Fontos
Az EDR Cyber Data Service-t külön kell konfigurálni, ha az IP-módszert használja (ez a szolgáltatás csak URL-szinten van összesítve). Emellett fenn kell tartania a kapcsolatot más szükséges szolgáltatásokkal is, például a SmartScreen, a CRL, a Windows Update és más szolgáltatásokkal.
Az IP-címtartományok naprakészen tartásához ajánlott az alábbi Azure-szolgáltatáscímkéket Végponthoz készült Microsoft Defender szolgáltatásokhoz. A legújabb IP-címtartományok mindig megtalálhatók a szolgáltatáscímkében. További információ: Azure IP-tartományok.
Szolgáltatáscímke neve | Végponthoz készült Defender-szolgáltatások belefoglalva |
---|---|
MicrosoftDefenderForEndpoint | MAPS, Malware Sample Submission Storage, Auto-IR Sample Storage, Command and Control. |
OneDsCollector | EDR Cyberdata Megjegyzés: A szolgáltatáscímke alatti forgalom nem korlátozódik a Végponthoz készült Defenderre, és más Microsoft-szolgáltatások diagnosztikai adatforgalmát is tartalmazhatja. |
Az alábbi táblázat az aktuális statikus IP-címtartományokat sorolja fel. A legújabb listát az Azure-szolgáltatáscímkékben találja.
Geo | IP-tartományok |
---|---|
HU | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/24 13.83.125.0/24 |
EU | 4.208.13.0/24 20.8.195.0/24 |
Egyesült Királyság | 20.26.63.224/28 20.254.173.48/28 |
AU | 68.218.120.64/28 20.211.228.80/28 |
Fontos
A Végponthoz készült Defender biztonsági és megfelelőségi szabványainak megfelelően az adatok feldolgozása és tárolása a bérlő fizikai helyének megfelelően történik. Az ügyfél helye alapján a forgalom ezen IP-régiók bármelyikén áthaladhat (amelyek az Azure adatközponti régióinak felelnek meg). További információ: Adattárolás és adatvédelem.
2. szakasz. Eszközök konfigurálása a Végponthoz készült Defender szolgáltatáshoz való csatlakozáshoz
Konfigurálja az eszközöket a kapcsolati infrastruktúrán keresztüli kommunikációhoz. Győződjön meg arról, hogy az eszközök megfelelnek az előfeltételeknek, és frissített érzékelővel és Microsoft Defender víruskereső verziókkal rendelkeznek. További információ: Eszközproxy és internetkapcsolat beállításainak konfigurálása .
3. szakasz. Az ügyfélkapcsolatok előléptetésének ellenőrzése
További információ: Ügyfélkapcsolat ellenőrzése.
Az alábbi elővizsgálati ellenőrzések Windows és Xplat MDE Ügyfélelemzőn is futtathatók: Töltse le az Végponthoz készült Microsoft Defender ügyfélelemzőt.
A Végponthoz készült Defenderhez még nem előkészített eszközök egyszerűsített kapcsolatának teszteléséhez használja a Windows ügyfélelemzőt a következő parancsokkal:
Futtassa a parancsot
mdeclientanalyzer.cmd -o <path to cmd file>
az MDEClientAnalyzer mappában. A parancs az előkészítési csomag paramétereit használja a kapcsolat teszteléséhez.Futtassa a parancsot
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
, ahol a paraméter értéke GW_US, GW_EU, GW_UK. A GW az egyszerűsített beállításra utal. Futtassa a parancsot a megfelelő bérlő földrajzi helyével.
Kiegészítő ellenőrzésként az ügyfélelemzővel is tesztelheti, hogy egy eszköz megfelel-e az előfeltételeknek: https://aka.ms/BetaMDEAnalyzer
Megjegyzés:
A Végponthoz készült Defenderbe még nem előkészített eszközök esetében az ügyfélelemző a szabványos URL-címeken fog tesztelni. Az egyszerűsített megközelítés teszteléséhez a jelen cikkben korábban felsorolt kapcsolókkal kell futtatnia.
4. szakasz. Az egyszerűsített kapcsolathoz szükséges új előkészítési csomag alkalmazása
Miután konfigurálta a hálózatot a szolgáltatások teljes listájával való kommunikációra, megkezdheti az eszközök előkészítését az egyszerűsített módszerrel. Vegye figyelembe, hogy az API-n keresztüli előkészítés jelenleg nem támogatott (a felhőhöz készült Intune & Microsoft Defender is tartalmazza).
Mielőtt továbblép, ellenőrizze, hogy az eszközök megfelelnek-e az előfeltételeknek, és frissítették az érzékelőt és Microsoft Defender víruskereső verziót.
Az új csomag beszerzéséhez a Microsoft Defender XDR válassza a Beállítások > Végpontok > Eszközkezelés> Előkészítés lehetőséget.
Válassza ki a megfelelő operációs rendszert, és válassza a Kapcsolat típusa legördülő menü "Egyszerűsített (előzetes verzió)" elemét.
Az ebben a módszerben támogatott (a Végponthoz készült Defenderhez nem előkészített) új eszközök esetén kövesse a korábbi szakaszokban ismertetett előkészítési lépéseket a frissített előkészített csomaggal az ön által előnyben részesített üzembehelyezési módszerrel:
- Windows-ügyfél előkészítése
- Windows Server előkészítése
- Nem windowsos eszközök bevezetése
- Futtasson egy észlelési tesztet egy eszközön annak ellenőrzéséhez, hogy megfelelően előkészítették-e a Végponthoz készült Microsoft Defender
Zárja ki az eszközöket a standard előkészítési csomagot használó meglévő előkészítési szabályzatokból.
A végponthoz készült Defenderbe már előkészített eszközök migrálásához lásd: Eszközök migrálása az egyszerűsített kapcsolatra. Újra kell indítania az eszközt, és követnie kell az itt található útmutatást.
Ha készen áll az alapértelmezett előkészítési csomag egyszerűsített beállítására, bekapcsolhatja a következő Speciális szolgáltatás beállítást a Microsoft Defender portálon (Beállítások > Végpontok > speciális szolgáltatások).
Megjegyzés:
Mielőtt továbblépne ezzel a beállítással, ellenőrizze, hogy a környezet készen áll-e, és minden eszköz megfelel-e az előfeltételeknek.
Ez a beállítás az alapértelmezett előkészítési csomagot "egyszerűsített" értékre állítja a megfelelő operációs rendszerekhez. A szokásos előkészítési csomagot továbbra is használhatja az előkészítési lapon, de kifejezetten ki kell választania a legördülő listában.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: