PASSAGGIO 1: Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint

  • Articolo

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Prima di eseguire l'onboarding dei dispositivi in Defender per endpoint, verificare che la rete sia configurata per la connessione al servizio. Il primo passaggio di questo processo prevede l'aggiunta di URL all'elenco dei domini consentiti se le regole del server proxy o del firewall impediscono l'accesso a Defender per endpoint. Questo articolo include anche informazioni sui requisiti del proxy e del firewall per le versioni precedenti del client Windows e di Windows Server.

Abilitare l'accesso agli URL del servizio Microsoft Defender per endpoint nel server proxy

Per impostazione predefinita, se un proxy o un firewall blocca tutto il traffico e consente solo domini specifici, aggiungere i domini elencati nel foglio scaricabile all'elenco dei domini consentiti.

Il foglio di calcolo scaricabile seguente elenca i servizi e gli URL associati che la rete deve essere in grado di connettere. Assicurarsi che non siano presenti regole di filtro del firewall o di rete per negare l'accesso a questi URL. Facoltativamente, potrebbe essere necessario creare una regola di autorizzazione specifica.

Nota

(Si applica all'anteprima pubblica)

  • Come parte dell'anteprima, alcuni servizi Defender per endpoint vengono consolidati dietro l'URL: *.endpoint.security.microsoft.com. È possibile usare il set ridotto di URL in Microsoft Defender XDR per Defender per endpoint. È anche disponibile la nuova opzione per configurare gli elenchi consentiti usando gli intervalli IP dedicati statici di Defender per endpoint. Per altre informazioni, vedere Onboarding devices using streamlined method (Onboarding di dispositivi con metodo semplificato) ed esaminare l'elenco aggiornato nella tabella precedente.
  • Per usare il nuovo metodo di onboarding, i dispositivi devono soddisfare prerequisiti specifici e usare un nuovo pacchetto di onboarding. Per altre informazioni, vedere Prerequisiti. È possibile eseguire la migrazione di dispositivi di cui è stato eseguito l'onboarding in precedenza. Vedere Migrazione dei dispositivi per semplificare la connettività.
  • Alcuni servizi non sono inclusi in questo consolidamento. È necessario verificare di mantenere la connettività con i servizi necessari. Per informazioni dettagliate sui servizi non inclusi nel consolidamento, vedere la scheda URL semplificata o l'onboarding dei dispositivi tramite il metodo semplificato.
  • I dispositivi che eseguono l'agente MMA non sono supportati nella soluzione semplificata e devono essere caricati usando il metodo di livello inferiore. Per un elenco degli URL necessari, vedere la scheda MMA nell'elenco degli URL semplificati. I dispositivi che eseguono windows legacy versione 1607, 1703, 1709 o 1803 possono eseguire l'onboarding usando il nuovo pacchetto di onboarding, ma richiedono comunque un elenco più lungo di URL. Per altre informazioni, vedere la tabella precedente.

Foglio di calcolo dell'elenco dei domini Descrizione
Microsoft Defender per endpoint elenco DI URL consolidati (NUOVO - Semplificato)
 IMPORTANTE: Attualmente in anteprima pubblica.
Foglio di calcolo degli URL consolidati per semplificare la connettività del dispositivo.
Scaricare il foglio di calcolo qui.

Sistema operativo applicabile:
Per un elenco completo, vedere Connettività semplificata.
- Windows 10 1809+
- Windows 11
- Windows Server 2019
- Windows Server 2022
- Windows Server 2012 R2, Windows Server 2016 R2 che esegue la soluzione unificata moderna defender per endpoint (richiede l'installazione tramite MSI).
- Versioni supportate di macOS che eseguono 101.23102.* +
- Versioni supportate da Linux che eseguono 101.23102.* +

Versioni minime dei componenti:
- Client antimalware: 4.18.2211.5
- Motore: 1.1.19900.2
- Intelligence per la sicurezza: 1.391.345.0
- Versione xplat: 101.23102.* +
- Sensore/ versione KB: >10.8040.*/ 8 marzo 2022+

Se si spostano i dispositivi precedentemente caricati nell'approccio semplificato, vedere Migrazione della connettività dei dispositivi.
Microsoft Defender per endpoint elenco URL per i clienti commerciali (Standard) Foglio di calcolo di record DNS specifici per le località di servizio, le posizioni geografiche e il sistema operativo per i clienti commerciali.

Scaricare il foglio di calcolo qui.

Microsoft Defender per endpoint Piano 1 e Piano 2 condividono gli stessi URL del servizio proxy.
Microsoft Defender per endpoint elenco URL per Gov/GCC/DoD Foglio di calcolo di record DNS specifici per località di servizio, posizioni geografiche e sistema operativo per i clienti Gov/GCC/DoD.
Scaricare il foglio di calcolo qui.

Nota

  1. Windows 10 versione 1607, 1703, 1709, 1803 (RS1-RS4) sono supportate nel pacchetto di onboarding, ma richiedono un elenco di URL più lungo (vedere il foglio URL aggiornato). Queste versioni non supportano il reonboarding (deve essere prima completamente offboarding).
  2. I dispositivi in esecuzione in Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server non aggiornati all'agente unificato (MMA) dovranno continuare a usare il metodo di onboarding MMA.

Se un proxy o un firewall ha l’analisi HTTPS (ispezione SSL) abilitata, bisogna escludere i domini elencati nella tabella di analisi HTTPS di cui sopra. Nel firewall aprire tutti gli URL in cui la colonna geography è WW. Per le righe in cui la colonna geography non è WW, aprire gli URL nella posizione dei dati specifica. Per verificare l'impostazione della posizione dei dati, vedere Verificare il percorso di archiviazione dei dati e aggiornare le impostazioni di conservazione dei dati per Microsoft Defender per endpoint. Non escludere l'URL *.blob.core.windows.net da qualsiasi tipo di ispezione di rete. Escludere invece solo gli URL BLOB specifici di MDE ed elencati nell'elenco dei fogli di calcolo dei domini.

Nota

Si applica al set standard di URL:
Per i dispositivi Windows in esecuzione con la versione 1803 o precedente è necessario settings-win.data.microsoft.com.

Gli URL che includono la versione 20 sono necessari solo se si dispone di dispositivi Windows che eseguono la versione 1803 o successiva. Ad esempio, us-v20.events.data.microsoft.com è necessario per un dispositivo Windows che esegue la versione 1803 o successiva ed è stato eseguito l'onboarding nell'area di archiviazione dati degli Stati Uniti.

Se un proxy o un firewall blocca il traffico anonimo dal sensore Defender per endpoint e si connette dal contesto di sistema, è importante assicurarsi che il traffico anonimo sia consentito nel proxy o nel firewall per gli URL elencati in precedenza.

Nota

Microsoft non fornisce un server proxy. Questi URL sono accessibili tramite il server proxy configurato.

Importante

In conformità con gli standard di sicurezza e conformità di Defender per endpoint, i dati verranno elaborati e archiviati in base alla posizione fisica del tenant. In base alla posizione del client, il traffico può scorrere attraverso una di queste aree IP (che corrispondono alle aree del data center di Azure). Per altre informazioni, vedere Archiviazione dei dati e privacy.

Microsoft Monitoring Agent (MMA): requisiti del proxy e del firewall per le versioni precedenti del client Windows o di Windows Server

Nota

(Si applica all'anteprima pubblica)
I servizi che usano soluzioni basate su MMA non sono in grado di sfruttare la nuova soluzione di connettività semplificata (URL consolidato e opzione per l'uso di indirizzi IP statici). Per Windows Server 2016 e Windows Server 2012 R2, è necessario eseguire l'aggiornamento alla nuova soluzione unificata.

Le informazioni nell'elenco delle informazioni di configurazione del proxy e del firewall sono necessarie per comunicare con l'agente di Log Analytics (spesso noto come Microsoft Monitoring Agent) per le versioni precedenti di Windows, ad esempio Windows 7 SP1, Windows 8.1 e Windows Server 2008 R2*.

Risorsa all'agente Porte Direzione Disabilita ispezione HTTP
*.ods.opinsights.azure.com Porta 443 In uscita
*.oms.opinsights.azure.com Porta 443 In uscita
*.blob.core.windows.net Porta 443 In uscita
*.azure-automation.net Porta 443 In uscita

Nota

Questi requisiti di connettività si applicano al Microsoft Defender per endpoint precedente di Windows Server 2016 e Windows Server 2012 R2 che richiede MMA. Le istruzioni per eseguire l'onboarding di questi sistemi operativi con la nuova soluzione unificata sono disponibili in Onboarding dei server Windows o nella nuova soluzione unificata negli scenari di migrazione del server in Microsoft Defender per endpoint.

Nota

Come soluzione basata sul cloud, l'intervallo IP può cambiare. È consigliabile passare all'impostazione di risoluzione DNS.

Aggiungere dispositivi senza accesso a Internet

Per i dispositivi senza connessione Internet diretta, l'uso di una soluzione proxy è l'approccio consigliato. Per i dispositivi Windows meno recenti caricati con la soluzione precedente basata su MMA, l'uso della soluzione gateway OMS offre un approccio alternativo.

Nota

(Si applica all'anteprima pubblica)
Con questa anteprima è possibile sfruttare i dispositivi firewall con intervalli IP statici. Per altre informazioni, vedere: Semplificare la connettività dei dispositivi e l'elenco degli URL semplificati.

Per altre informazioni sui metodi di onboarding, vedere gli articoli seguenti:

Importante

  • Microsoft Defender per endpoint è una soluzione di sicurezza cloud. "Onboarding di dispositivi senza accesso a Internet" significa che l'accesso a Internet per gli endpoint deve essere configurato tramite un proxy. Microsoft Defender per endpoint non supporta gli endpoint senza accesso a Internet diretto o proxy. Configurazione proxy a livello di sistema consigliata.
  • Windows o Windows Server in ambienti disconnessi deve essere in grado di aggiornare l'attendibilità dei certificati Elenchi offline tramite un file interno o un server Web.
  • Per altre informazioni sull'aggiornamento offline degli elenchi di controllo di accesso, vedere Configurare un file o un server Web per scaricare i file CTL.

Dispositivi che eseguono Windows 10 o versioni successive, Windows Server 2012 R2 o versioni successive, Linux e macOS

A seconda del sistema operativo, il proxy da usare per Microsoft Defender per endpoint può essere configurato automaticamente, in genere usando l'individuazione automatica o un file autoconfig o in modo statico specifico di Defender per Endpoint Services in esecuzione nel dispositivo.

Dispositivi Windows che eseguono la soluzione basata su MMA precedente

Nota

  • Un server gateway OMS non può essere usato come proxy per dispositivi Windows o Windows Server disconnessi se configurato tramite il Registro di sistema 'TelemetryProxyServer' o l'oggetto Criteri di gruppo.
  • Per Windows o Windows Server, anche se è possibile usare TelemetryProxyServer, deve puntare a un dispositivo proxy o a un'appliance proxy standard.

Aggiungere versioni precedenti di Windows

Nota

Tutti i client che non hanno accesso a Internet non possono essere caricati nell'endpoint Microsoft Defender. Un client deve avere accesso direttamente agli URL necessari oppure deve avere accesso tramite un proxy o un firewall.
Come parte dell'anteprima semplificata, è ora possibile sfruttare gli indirizzi IP come alternative a determinati URL del servizio Defender per endpoint.

Verificare i requisiti dell'URL del servizio Microsoft Monitoring Agent (MMA)

Vedere le indicazioni seguenti per eliminare il requisito di caratteri jolly (*) per l'ambiente specifico quando si usa Microsoft Monitoring Agent (MMA) per le versioni precedenti di Windows.

  1. Eseguire l'onboarding di un sistema operativo precedente con Microsoft Monitoring Agent (MMA) in Defender per endpoint (per altre informazioni, vedere Onboarding di versioni precedenti di Windows in Defender per endpoint e Onboarding di server Windows).

  2. Verificare che il computer stia segnalando correttamente nel portale di Microsoft Defender.

  3. Eseguire lo strumento TestCloudConnection.exe da C:\Program Files\Microsoft Monitoring Agent\Agent per convalidare la connettività e ottenere gli URL necessari per l'area di lavoro specifica.

  4. Controllare l'elenco degli URL Microsoft Defender per endpoint per l'elenco completo dei requisiti per l'area (fare riferimento al foglio di calcolo degli URL del servizio).

Si tratta dell'amministratore Di PowerShell.

I caratteri jolly (*) usati negli *.ods.opinsights.azure.comendpoint , *.oms.opinsights.azure.come *.agentsvc.azure-automation.net URL possono essere sostituiti con l'ID area di lavoro specifico. L'ID area di lavoro è specifico per l'ambiente e l'area di lavoro. È disponibile nella sezione Onboarding del tenant all'interno del portale di Microsoft Defender.

L'endpoint *.blob.core.windows.net URL può essere sostituito con gli URL visualizzati nella sezione "Regola del firewall: *.blob.core.windows.net" dei risultati del test.

Nota

Nel caso dell'onboarding tramite Microsoft Defender per cloud, è possibile usare più aree di lavoro. Sarà necessario eseguire la procedura TestCloudConnection.exe nel computer sottoposto a onboarding da ogni area di lavoro (per determinare se sono presenti modifiche agli URL *.blob.core.windows.net tra le aree di lavoro).

Passaggio successivo

PASSAGGIO 2: Configurare i dispositivi per la connessione al servizio Defender per endpoint tramite un proxy