Pålastingsenheter som bruker strømlinjeformet tilkobling for Microsoft Defender for endepunkt
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Tjenesten Microsoft Defender for endepunkt kan kreve bruk av proxy-konfigurasjoner for å rapportere diagnosedata og kommunisere data til tjenesten. Før tilgjengeligheten av den strømlinjeformede tilkoblingsmetoden var det nødvendig med andre nettadresser, og statiske IP-områder for Defender for Endpoint støttes ikke. Hvis du vil ha mer informasjon om hvordan du klargjør miljøet, kan du se TRINN 1: Konfigurere nettverksmiljøet for å sikre tilkobling til Defender for Endpoint-tjenesten.
Denne artikkelen beskriver den strømlinjeformede metoden for enhetstilkobling og hvordan du tar i bruk nye enheter for å bruke en enklere distribusjon og administrasjon av Defender for endepunkt-skytilkoblingstjenester. Hvis du vil ha mer informasjon om overføring av tidligere innebygde enheter, kan du se Overføre enheter til strømlinjeformet tilkobling.
For å forenkle nettverkskonfigurasjon og administrasjon har du nå muligheten til å ta på seg enheter til Defender for Endpoint ved hjelp av et redusert nettadressesett eller statiske IP-områder. Se listen over strømlinjeformede nettadresser.
Defender for endepunktanerkjent forenklet domene: *.endpoint.security.microsoft.com
erstatter følgende kjernetjenester for Defender for Endpoint:
- Cloud Protection/MAPS
- Lagringsplass for eksempel på innsending av skadelig programvare
- Automatisk IR-eksempellagring
- Kommandoen Defender for endepunkt & kontroll
- EDR Cyberdata
Hvis du vil støtte nettverksenheter uten vertsnavnoppløsning eller jokertegnstøtte, kan du alternativt konfigurere tilkobling ved hjelp av dedikerte statiske IP-områder for Defender for Endpoint. Hvis du vil ha mer informasjon, kan du se Konfigurere tilkobling ved hjelp av statiske IP-områder.
Obs!
- Den strømlinjeformede tilkoblingsmetoden endrer ikke hvordan Microsoft Defender for endepunkt fungerer på en enhet, og den vil heller ikke endre sluttbrukeropplevelsen. Bare nettadressene eller IP-ene som en enhet bruker til å koble til tjenesten, endres.
- Det finnes for øyeblikket ingen plan for å avskrive de gamle, konsoliderte url-adressene for tjenesten. Enheter som er pålastet med «standard»-tilkobling, fortsetter å fungere. Det er viktig å sikre at tilkoblingen
*.endpoint.security.microsoft.com
er og forblir mulig, da fremtidige tjenester vil kreve det. Denne nye URL-adressen er inkludert i alle nødvendige URL-adresselister.
Konsoliderte tjenester
Følgende Url-adresser for Defender for Endpoint som er konsolidert under det forenklede domenet, må ikke lenger være nødvendig for tilkobling hvis *.endpoint.security.microsoft.com
det er tillatt, og enheter er innebygd ved hjelp av den strømlinjeformede pålastingspakken. Du må opprettholde tilkoblingen med andre nødvendige tjenester som ikke er konsolidert, som er relevante for organisasjonen (for eksempel CRL, SmartScreen/Network Protection og Windows Update).
Hvis du vil se den oppdaterte listen over nødvendige nettadresser, kan du se TRINN 1: Konfigurere nettverksmiljøet for å sikre tilkobling med Defender for Endpoint-tjenesten.
Viktig
Hvis du konfigurerer ved hjelp av IP-områder, må du konfigurere EDR-nettdatatjenesten separat. Denne tjenesten er ikke konsolidert på et IP-nivå.
Kategori | Konsoliderte URL-adresser |
---|---|
KART: skybasert beskyttelse | *.wdcp.microsoft.com *.wd.microsoft.com |
Skybeskyttelse & sikkerhetsanalyseoppdateringer for macOS og Linux |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.com x.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
Lagringsplass for eksempel på innsending av skadelig programvare | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
Defender for automatisk IR-eksempellagring for endepunkt | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
Kommando og kontroll for Defender for endepunkt | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
Før du starter
Enheter må oppfylle bestemte forutsetninger for å bruke den strømlinjeformede tilkoblingsmetoden for Defender for Endpoint. Sørg for at forutsetningene er oppfylt før du fortsetter med pålasting.
Forutsetninger
Lisens:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender for Business
- Håndtering av trusler og sikkerhetsproblemer i Microsoft Defender
Minimum KB-oppdatering (Windows)
- SENSE-versjon: 10.8040.*/ 8. mars 2022 eller nyere (se tabell)
Microsoft Defender Antivirusversjoner (Windows)
- Klient for beskyttelse mot skadelig programvare:
4.18.2211.5
- Motoren:
1.1.19900.2
- Antivirus (sikkerhetsintelligens):
1.391.345.0
Defender Antivirus-versjoner (macOS/Linux)
- macOS-støttede versjoner med MDE produktversjon 101.24022.*+
- Linux-støttede versjoner med MDE produktversjon 101.24022.*+
Operativsystemer som støttes
- Windows 10 versjon 1809 eller nyere. Windows 10 versjoner 1607, 1703, 1709, 1803 støttes på den strømlinjeformede pålastingspakken, men krever en annen nettadresseliste, se strømlinjeformet nettadresseark
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 eller Windows Server 2016, fullstendig oppdatert kjører Defender for Endpoint moderne enhetlig løsning (installasjon gjennom MSI).
- macOS-støttede versjoner med MDE produktversjon 101.24022.*+
- Linux-støttede versjoner med MDE produktversjon 101.24022.*+
Viktig
- Enheter som kjører på MMA-agent, støttes ikke på den strømlinjeformede tilkoblingsmetoden, og må fortsette å bruke standard nettadressesett (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 ikke oppgradert til moderne enhetlig agent).
- Windows Server 2012 R2 og Server 2016 må oppgradere til enhetlig agent for å dra nytte av den nye metoden.
- Windows 10 1607, 1703, 1709, 1803 kan dra nytte av det nye pålastingsalternativet, men vil bruke en lengre liste. Hvis du vil ha mer informasjon, kan du se det strømlinjeformede nettadressearket.
Windows OS | Minimum kb obligatorisk (8. mars 2022) |
---|---|
Windows 11 | KB5011493 (8. mars 2022) |
Windows 10 1809, Windows Server 2019 | KB5011503 (8. mars 2022) |
Windows 10 19H2 (1909) | KB5011485 (8. mars 2022) |
Windows 10 20H2, 21H2 | KB5011487 (8. mars 2022) |
Windows 10 22H2 | KB5020953 (28. oktober 2022) |
Windows 10 1803* | < slutt på tjenesten > |
Windows 10 1709* | < slutt på tjenesten > |
Windows Server 2022 | KB5011497 (8. mars 2022) |
Windows Server 2012 R2, 2016* | Enhetlig agent |
Strømlinjeformet tilkoblingsprosess
Illustrasjonen nedenfor viser den strømlinjeformede tilkoblingsprosessen og tilsvarende faser:
Trinn 1. Konfigurer nettverksmiljøet for skytilkobling
Når du bekrefter at forutsetningene er oppfylt, må du sørge for at nettverksmiljøet er riktig konfigurert for å støtte den strømlinjeformede tilkoblingsmetoden. Følg trinnene som er beskrevet i Konfigurer nettverksmiljøet for å sikre tilkobling med Defender for Endpoint-tjenesten.
Url-adresser for Defender for Endpoint-tjenesten som er konsolidert under forenklet domene, må ikke lenger være nødvendig for tilkobling. Noen nettadresser er imidlertid ikke inkludert i konsolideringen.
Strømlinjeformet tilkobling lar deg bruke følgende alternativ for å konfigurere skytilkobling:
Alternativ 1: Konfigurere tilkobling ved hjelp av det forenklede domenet
Konfigurer miljøet til å tillate tilkoblinger med det forenklede Defender for Endpoint-domenet: *.endpoint.security.microsoft.com
. Hvis du vil ha mer informasjon, kan du se Konfigurere nettverksmiljøet for å sikre tilkobling med Defender for Endpoint-tjenesten.
Du må opprettholde tilkoblingen med gjenstående nødvendige tjenester som er oppført under den oppdaterte listen. For eksempel sertifiseringsopphevelser, Windows Update, SmartScreen.
Alternativ 2: Konfigurere tilkobling ved hjelp av statiske IP-områder
Med strømlinjeformet tilkobling kan IP-baserte løsninger brukes som et alternativ til nettadresser. Disse IP-ene dekker følgende tjenester:
- KART
- Lagringsplass for eksempel på innsending av skadelig programvare
- Automatisk IR-eksempellagring
- Kommando og kontroll for Defender for endepunkt
Viktig
EDR Cyber-datatjenesten må konfigureres separat hvis du bruker IP-metoden (denne tjenesten konsolideres bare på nettadressenivå). Du må også opprettholde tilkoblingen til andre nødvendige tjenester, inkludert SmartScreen, CRL, Windows Update og andre tjenester.
For å holde deg oppdatert på IP-områder, anbefales det å referere til følgende Azure-tjenestekoder for Microsoft Defender for endepunkt tjenester. De nyeste IP-områdene finnes i tjenestekoden. Hvis du vil ha mer informasjon, kan du se Azure IP-områder.
Navn på tjenestekode | Defender for endepunkttjenester inkludert |
---|---|
MicrosoftDefenderForEndpoint | KART, eksempel på innsending av skadelig programvare, automatisk IR-eksempellagring, kommando og kontroll. |
OneDsCollector | EDR Cyberdata Obs! Trafikken under denne tjenestekoden er ikke begrenset til Defender for Endpoint og kan inkludere diagnosedatatrafikk for andre Microsoft-tjenester. |
Tabellen nedenfor viser gjeldende statiske IP-områder. Hvis du vil ha den nyeste listen, kan du se Azure-tjenestekodene.
Geo | IP-områder |
---|---|
OSS | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/24 13.83.125.0/24 |
EU | 4.208.13.0/24 20.8.195.0/24 |
STORBRITANNIA | 20.26.63.224/28 20.254.173.48/28 |
AU | 68.218.120.64/28 20.211.228.80/28 |
Viktig
I samsvar med Defender for sikkerhets- og samsvarsstandarder for endepunkt, behandles og lagres dataene i samsvar med leierens fysiske plassering. Basert på klientplassering kan trafikken flyte gjennom noen av disse IP-områdene (som tilsvarer Azure-datasenterområder). Hvis du vil ha mer informasjon, kan du se Datalagring og personvern.
Trinn 2. Konfigurer enhetene til å koble til Defender for Endpoint-tjenesten
Konfigurer enheter til å kommunisere gjennom tilkoblingsinfrastrukturen. Sørg for at enhetene oppfyller forutsetningene og har oppdatert sensor- og Microsoft Defender Antivirus-versjoner. Hvis du vil ha mer informasjon, kan du se Konfigurere innstillinger for enhetsproxy og Internett-tilkobling .
Trinn 3. Bekreft forhåndsinnlasting av klienttilkobling
Hvis du vil ha mer informasjon, kan du se Kontrollere klienttilkobling.
Følgende forhåndsinnlastingskontroller kan kjøres på både Windows og Xplat MDE Client Analyzer: Last ned Microsoft Defender for endepunkt klientanalyse.
Hvis du vil teste strømlinjeformet tilkobling for enheter som ennå ikke er innebygd i Defender for Endpoint, kan du bruke Klientanalyse for Windows ved hjelp av følgende kommandoer:
Kjør
mdeclientanalyzer.cmd -o <path to cmd file>
fra MDEClientAnalyzer-mappen. Kommandoen bruker parametere fra pålastingspakken til å teste tilkoblingen.Kjør
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
, der parameteren er av GW_US, GW_EU GW_UK. GW refererer til det strømlinjeformede alternativet. Kjør med gjeldende geo-leier.
Som en ekstra kontroll kan du også bruke klientanalysen til å teste om en enhet oppfyller forutsetninger: https://aka.ms/BetaMDEAnalyzer
Obs!
Klientanalyse tester mot standardsett med nettadresser for enheter som ennå ikke er koblet til Defender for endepunkt. Hvis du vil teste den strømlinjeformede tilnærmingen, må du kjøre med bryterne som er oppført tidligere i denne artikkelen.
Trinn 4. Bruk den nye pålastingspakken som kreves for strømlinjeformet tilkobling
Når du konfigurerer nettverket til å kommunisere med den fullstendige listen over tjenester, kan du begynne pålastingsenheter ved hjelp av den strømlinjeformede metoden.
Bekreft at enhetene oppfyller forutsetningene før du fortsetter, og har oppdatert sensor- og Microsoft Defender Antivirus-versjoner.
Hvis du vil hente den nye pakken, velger du Pålasting for enhetsbehandling >> for innstillinger >i Microsoft Defender XDR.
Velg det aktuelle operativsystemet, og velg «Strømlinjeformet» fra rullegardinmenyen tilkoblingstype.
For nye enheter (ikke innebygd i Defender for endepunkt) som støttes under denne metoden, følger du pålastingstrinn fra tidligere inndelinger ved hjelp av den oppdaterte innebygde pakken med den foretrukne distribusjonsmetoden:
- Innebygd Windows-klient
- Windows Server på bord
- Innebygde enheter som ikke er Windows-enheter
- Kjør en gjenkjenningstest på en enhet for å bekrefte at den er riktig pålastet for å Microsoft Defender for endepunkt
- Utelat enheter fra eksisterende pålastingspolicyer som bruker standard pålastingspakke.
Hvis du vil overføre enheter som allerede er koblet til Defender for endepunkt, kan du se Overføre enheter til den strømlinjeformede tilkoblingen. Du må starte enheten på nytt og følge spesifikk veiledning her.
Trinn 5. Angi standard pålastingspakke til strømlinjeformet tilkobling
Når du er klar til å angi at standard pålastingspakke skal strømlinjeformes, kan du aktivere følgende avanserte funksjonsinnstilling i Microsoft Defender-portalen (Innstillinger, > avanserte funksjoner for endepunkter>).
Denne innstillingen angir standard pålastingspakke til «strømlinjeformet» for gjeldende operativsystemer. Du kan fortsatt bruke standard pålastingspakke på pålastingssiden, men du må spesifikt velge den i rullegardinlisten.
Du må aktivere det relevante alternativet for å gå gjennom Intune & Microsoft Defender for Cloud. Enheter som allerede er pålastet, blir ikke automatisk om bord. du må opprette en ny policy i Intune, der det anbefales først å tilordne policyen til et sett med testenheter for å bekrefte at tilkoblingen er vellykket, før du utvider målgruppen. Enheter i Defender for Sky kan omlastes ved hjelp av det relevante pålastingsskriptet.
Obs!
- Bare leiere som er opprettet 8. mai 2024, har mulighet til å bytte mellom standard og strømlinjeformet tilkobling. Nyere leiere støtter bare strømlinjeformet tilkobling.
- Før du går videre med dette alternativet, må du validere at miljøet er klart og at alle enheter oppfyller forutsetningene.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for