Proteggere gli endpoint con la soluzione EDR integrata di Defender for Cloud: Microsoft Defender per endpoint

Nota

Centro sicurezza di Azure e Azure Defender sono ora denominati Microsoft Defender per cloud. Sono stati anche rinominati Azure Defender piani di Microsoft Defender. Ad esempio, Azure Defender per Archiviazione è ora Microsoft Defender per Archiviazione. Altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft.

Microsoft Defender per Endpoint è una soluzione di sicurezza globale, con distribuzione cloud e endpoint. Le funzionalità principali sono:

  • Valutazione e gestione delle vulnerabilità basati sui rischi
  • Riduzione della superficie di attacco
  • Protezione basata sul comportamento e basata sul cloud
  • Rilevamento e risposta degli endpoint (EDR)
  • Analisi e correzione automatiche
  • Servizi di ricerca gestiti

Suggerimento

Originariamente avviato come Windows Defender ATP,questo prodotto di rilevamento e risposta degli endpoint (EDR) è stato rinominato nel 2019 come Microsoft Defender ATP.

In Ignite 2020 è stata avviata la suite Microsoft Defender for Cloud XDR e questo EDR è stato rinominato Microsoft Defender for Endpoint.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Richiede Microsoft Defender per i server
Ambienti supportati: Azure Arc computer abilitati per l'esecuzione Windows/Linux
Macchine virtuali di Azure che eseguono Linux (versioni supportate)
Macchine virtuali di Azure che eseguono Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Windows Virtual Desktop (WVD), Windows 10 Enterprise multi-sessione (in precedenza Enterprise for Virtual Desktops (EVD)
Macchine virtuali di Azure che eseguono Windows 10 (diverse da EVD o WVD)
Autorizzazioni e ruoli obbligatori: * Per abilitare/disabilitare l'integrazione: Amministratore della sicurezza o Proprietario
* Per visualizzare gli avvisi di Defender for Endpoint in Defender for Cloud:Lettore di sicurezza,Lettore,Collaboratore gruppo di risorse,Proprietario gruppo di risorse,Amministratore della sicurezza, Proprietariosottoscrizione o Collaboratore sottoscrizione
Cloud: Cloud commerciali
Azure per enti pubblici
Azure China (21Vianet)
Account AWS connessi

Vantaggi dell'integrazione di Microsoft Defender per Endpoint con Defender for Cloud

Microsoft Defender per Endpoint protegge i Windows e Linux, sia che siano ospitati in Azure, cloud ibridi (in locale) o AWS. Le protezioni includono:

  • Sensori avanzati di rilevamento post-violazione. I sensori di Defender for Endpoint raccolgono una vasta gamma di segnali comportamentali dai computer.

  • Valutazione della vulnerabilità dalla soluzione Microsoft gestione di minacce e vulnerabilità . Con Microsoft Defender per Endpoint abilitato, Defender per Cloud può mostrare le vulnerabilità individuate dal modulo gestione di minacce e vulnerabilità e offrire anche questo modulo come soluzione di valutazione delle vulnerabilità supportata. Per altre informazioni, vedere Analizzare i punti deboli con Microsoft Defender per l'endpoint gestione di minacce e vulnerabilità.

    Questo modulo include anche le funzionalità di inventario software descritte in Accedere a un inventario software e può essere abilitato automaticamente per i computer supportati con le impostazioni di distribuzione automatica.

  • Rilevamento post-violazionebasato su analisi, basato sul cloud. Defender per Endpoint si adatta rapidamente alle minacce mutevoli. sfruttando strumenti di analisi avanzata e Big Data. È amplificata dalla potenza dell'intelligent security Graph con segnali in Windows, Azure e Office rilevare minacce sconosciute. Fornisce avvisi interattivi e consente di reagire con tempestività.

  • Intelligence per le minacce. Defender per Endpoint genera avvisi quando identifica strumenti, tecniche e procedure dell'utente malintenzionato. Usa i dati generati dagli specialisti di minacce e dai team di sicurezza di Microsoft, integrati con intelligence fornita da partner.

Integrando Defender for Endpoint con Defender for Cloud, si trarranno vantaggio dalle funzionalità aggiuntive seguenti:

  • Onboarding automatizzato. Defender for Cloud abilita automaticamente il sensore Defender for Endpoint in tutti i computer supportati connessi a Defender for Cloud.

  • Riquadro singolo di glass. Le pagine del portale di Defender per cloud visualizzano gli avvisi di Defender for Endpoint. Per approfondire l'analisi, usare le pagine del portale di Microsoft Defender per endpoint in cui verranno visualizzate informazioni aggiuntive, ad esempio l'albero del processo di avviso e il grafico degli eventi imprevisti. È anche possibile visualizzare una sequenza temporale dettagliata che mostra ogni comportamento per un determinato periodo, fino a un massimo di sei mesi.

    Microsoft Defender for Endpoint's own Security Center

Quali sono i requisiti per il tenant di Microsoft Defender per endpoint?

Quando si usa Defender for Cloud per monitorare i computer, viene creato automaticamente un tenant di Defender for Endpoint.

  • Posizione: I dati raccolti da Defender per Endpoint vengono archiviati nella posizione geografica del tenant, come identificato durante il provisioning. I dati dei clienti, in formato pseudonimo, possono essere archiviati anche nei sistemi di archiviazione e di elaborazione centrali nel Stati Uniti. Dopo aver configurato il percorso, non è possibile modificarlo. Se si ha una licenza per Microsoft Defender per Endpoint ed è necessario spostare i dati in un'altra posizione, contattare il supporto tecnico Microsoft per reimpostare il tenant.
  • Spostamento delle sottoscrizioni: Se la sottoscrizione di Azure è stata spostata tra tenant di Azure, sono necessari alcuni passaggi preparatori manuali prima che Defender for Cloud distribuisca Defender per Endpoint. Per informazioni dettagliate complete, contattare il supporto tecnico Microsoft.

Abilitare l'integrazione di Microsoft Defender per endpoint

Prerequisiti

Verificare che il computer soddisfi i requisiti necessari per Defender per Endpoint:

  1. Assicurarsi che il computer sia connesso ad Azure e a Internet in base alle esigenze:

    • Macchine virtuali di Azure (Windows o Linux): configurare le impostazioni di rete descritte in Configurare le impostazioni di connettività Internet e proxy del dispositivo: Windowso Linux.

    • Computer locali: Connessione computer di destinazione per Azure Arc come illustrato in Connessione macchine ibride con Azure Arc server abilitati per l'accesso remoto.

  2. Abilitare Microsoft Defender per i server. Vedere Avvio rapido: Abilitare le funzionalitàdi sicurezza avanzate di Defender for Cloud.

    Importante

    L'integrazione di Defender for Cloud con Microsoft Defender per Endpoint è abilitata per impostazione predefinita. Pertanto, quando si abilitano le funzionalità di sicurezza avanzate, si dà il consenso per Microsoft Defender per i server per accedere ai dati di Microsoft Defender for Endpoint correlati a vulnerabilità, software installato e avvisi per gli endpoint.

  3. Se la sottoscrizione è stata spostata tra tenant di Azure, sono necessari anche alcuni passaggi preparatori manuali. Per informazioni dettagliate complete, contattare il supporto tecnico Microsoft.

Abilitare l'integrazione

  1. Dal menu di Defender per Cloud selezionare Impostazioni ambiente e selezionare la sottoscrizione con i computer Windows che si vuole ricevere Defender per Endpoint.

  2. Selezionare Integrations (Integrazioni).

  3. Selezionare Consenti a Microsoft Defender per Endpoint di accedere ai datie selezionare Salva.

    Enable the integration between Microsoft Defender for Cloud and Microsoft's EDR solution, Microsoft Defender for Endpoint

    Microsoft Defender per Cloud inserirà automaticamente i computer in Microsoft Defender per Endpoint. L'onboarding potrebbe richiedere fino a 12 ore. Per i nuovi computer creati dopo che l'integrazione è stata abilitata, l'onboarding richiede fino a un'ora.

Accedere al portale di Microsoft Defender per endpoint

  1. Assicurarsi che l'account utente abbia le autorizzazioni necessarie. Per altre informazioni, vedere Assegnare l'accesso utente Microsoft Defender Security Center.

  2. Controllare se è disponibile un proxy o un firewall che blocca il traffico anonimo. Il sensore Defender for Endpoint si connette dal contesto di sistema, pertanto il traffico anonimo deve essere consentito. Per garantire l'accesso senza eseguire il mapping al portale di Defender for Endpoint, seguire le istruzioni in Abilitare l'accesso agli URL del servizio nel server proxy.

  3. Aprire il portale di Defender for Endpoint Security Center. Per altre informazioni sulle funzionalità e sulle icone del portale, vedere Panoramica del portale di Defender for Endpoint Security Center.

Inviare un avviso di test

Per generare un avviso di test non dannoso da Defender per Endpoint, selezionare la scheda per il sistema operativo pertinente dell'endpoint:

Per gli endpoint che eseguono Windows:

  1. Creare una cartella 'C:\test-MDATP-test'.

  2. Usare Desktop remoto per accedere al computer.

  3. Aprire una finestra della riga di comando.

  4. Al prompt copiare ed eseguire il comando seguente. La finestra del prompt dei comandi verrà chiusa automaticamente.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

    A command prompt window with the command to generate a test alert.

    Se il comando ha esito positivo, verrà visualizzato un nuovo avviso nel dashboard di protezione del carico di lavoro e nel portale di Microsoft Defender per endpoint. Possono trascorrere alcuni minuti prima che l'avviso venga visualizzato.

  5. Per esaminare l'avviso in Defender for Cloud, passare a Avvisi di sicurezzaSuspicious PowerShell CommandLine ( Riga di comando sospetta di PowerShell).

  6. Nella finestra di indagine selezionare il collegamento per passare al portale di Microsoft Defender per endpoint.

    Suggerimento

    L'avviso viene attivato con gravità informativo.

Rimuovere Defender per Endpoint da un computer

Per rimuovere la soluzione Defender for Endpoint dai computer:

  1. Disabilitare l'integrazione:

    1. Nel menu di Defender for Cloud selezionare Impostazioni ambiente e selezionare la sottoscrizione con i computer pertinenti.
    2. Aprire Integrazioni e deselezionare la casella di controllo Consenti a Microsoft Defender per Endpoint di accedere ai dati.
    3. Selezionare Salva.
  2. Rimuovere MDE. Windows/MDE. Estensione Linux dal computer.

  3. Seguire la procedura descritta in Offboard dei dispositivi dal servizio Microsoft Defender per endpoint nella documentazione di Defender for Endpoint.

Domande frequenti - Integrazione di Microsoft Defender per cloud con Microsoft Defender per endpoint

Che cos'è questo "MDE. Windows" / "MDE. Estensione Linux" in esecuzione nel computer?

In passato, Microsoft Defender per Endpoint è stato effettuato il provisioning dall'agente di Log Analytics. Quando è stato ampliato il supporto per includere Windows Server 2019 e Linux, è stata aggiunta anche un'estensione per eseguire l'onboarding automatico.

Defender for Cloud distribuisce automaticamente l'estensione nei computer che eseguono:

  • Windows Server 2019 & 2022.
  • Windows 10 Desktop virtuale (WVD).
  • Altre versioni di Windows Server se Defender per Cloud non riconosce la versione del sistema operativo, ad esempio quando viene usata un'immagine di macchina virtuale personalizzata. In questo caso, viene ancora effettuato il provisioning di Microsoft Defender per Endpoint dall'agente di Log Analytics.
  • Linux.

Importante

Se si elimina MDE. Windows/MDE. Estensione Linux, non rimuoveRà Microsoft Defender per Endpoint. per eseguire l'offboard, vedere Offboard Windows server.

La soluzione è stata abilitata da "MDE. Windows" / "MDE. L'estensione Linux" non viene visualizzata nel computer

Se l'integrazione è stata abilitata, ma l'estensione non è ancora in esecuzione nei computer, controllare quanto segue:

  1. Se non sono trascorse 12 ore da quando è stata abilitata la soluzione, è necessario attendere la fine di questo periodo per assicurarsi che si sia verificato un problema da analizzare.
  2. Dopo 12 ore, se l'estensione non è ancora in esecuzione nei computer, verificare di aver soddisfatto i prerequisiti per l'integrazione.
  3. Assicurarsi di aver abilitato il piano Microsoft Defender per i server per le sottoscrizioni correlate ai computer di cui si sta esaminando.
  4. Se la sottoscrizione di Azure è stata spostata tra tenant di Azure, sono necessari alcuni passaggi preparatori manuali prima che Defender for Cloud distribuisca Defender per Endpoint. Per informazioni dettagliate complete, contattare il supporto tecnico Microsoft.

Quali sono i requisiti di licenza per Microsoft Defender per Endpoint?

Defender per Endpoint è incluso senza costi aggiuntivi con Microsoft Defender per i server. In alternativa, può essere acquistato separatamente per 50 o più computer.

Se si ha già una licenza per Microsoft Defender per Endpoint, è possibile ottenere uno sconto per Microsoft Defender per i server?

Se si ha già una licenza per Microsoft Defender per Endpoint per server , non sarà necessario pagare per tale parte della licenza di Microsoft Defender per server. Altre informazioni su questa licenza.

Per richiedere lo sconto, contattare il team di supporto di Defender for Cloud. È necessario specificare l'ID dell'area di lavoro, l'area e il numero di licenze di Microsoft Defender per endpoint per server applicati ai computer nell'area di lavoro specificata.

Lo sconto sarà effettivo a partire dalla data di approvazione e non verrà applicato retroattivamente.

Ricerca per categorie da uno strumento di EDR di terze parti?

Le istruzioni complete per il passaggio da una soluzione di endpoint non Microsoft sono disponibili nella documentazione di Microsoft Defender per endpoint: Panoramica della migrazione.

Passaggi successivi