Microsoft Defender voorbereiden op de implementatie van eindpunten

  • Artikel
  • 3 minuten om te lezen

Van toepassing op:

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Het implementeren van Defender voor Eindpunt is een proces in drie fasen:

implementatiefase - voorbereiden.
Fase 1: Voorbereiden		 implementatiefase - installatie
Fase 2: Instellen		 implementatiefase - onboard
Fase 3: Onboarden
U bent er!

U bent momenteel bezig met de voorbereidingsfase.

Voorbereiding is essentieel voor een geslaagde implementatie. In dit artikel wordt u begeleid over de punten die u moet overwegen terwijl u zich voorbereidt op de implementatie van Defender voor Eindpunt.

Belanghebbenden en goedkeuring

In de volgende sectie kunt u alle belanghebbenden identificeren die betrokken zijn bij het project en moeten ze goedkeuren, controleren of op de hoogte blijven.

Voeg belanghebbenden toe aan de onderstaande tabel voor uw organisatie.

  • SO = Project goedkeuren
  • R = Controleer dit project en geef input
  • I = Op de hoogte van dit project

Naam Rol Actie
Naam en e-mail invoeren CiSO (Chief Information Security Officer) Een uitvoerend vertegenwoordiger die fungeert als sponsor binnen de organisatie voor de implementatie van nieuwe technologie. SO
Naam en e-mail invoeren Hoofd van het Cyber Defense Operations Center (CDOC) Een vertegenwoordiger van het CDOC-team dat verantwoordelijk is voor het definiëren van de manier waarop deze wijziging wordt afgestemd op de processen in het beveiligingsteam van klanten. SO
Naam en e-mail invoeren Beveiligingsarchitect Een vertegenwoordiger van het beveiligingsteam die verantwoordelijk is voor het definiëren van de manier waarop deze wijziging wordt uitgelijnd met de belangrijkste beveiligingsarchitectuur in de organisatie. R
Naam en e-mail invoeren Werkplekarchitect Een vertegenwoordiger van het IT-team die verantwoordelijk is voor het definiëren van de manier waarop deze wijziging wordt afgestemd op de basisarchitectuur van de werkplek in de organisatie. R
Naam en e-mail invoeren Beveiligingsanalist Een vertegenwoordiger van het CDOC-team die input kan leveren over de detectiemogelijkheden, gebruikerservaring en het algemene nut van deze wijziging vanuit het perspectief van beveiligingsbewerkingen. I

Omgeving

Deze sectie wordt gebruikt om ervoor te zorgen dat uw omgeving goed wordt begrepen door de belanghebbenden, zodat mogelijke afhankelijkheden en/of wijzigingen in technologieën of processen kunnen worden identificeren.


Wat Omschrijving
Aantal eindpunten Totaal aantal eindpunten per besturingssysteem.
Aantal servers Totaal aantal servers per versie van het besturingssysteem.
Beheer-engine Naam en versie van de beheer-engine (bijvoorbeeld System Center Configuration Manager Current Branch 1803).
CDOC-verdeling CDOC-structuur op hoog niveau (bijvoorbeeld Laag 1 uitbesteed aan Contoso, Tier 2 en Tier 3 in-house verspreid over Europa en Azië).
Beveiligingsgegevens en -gebeurtenis (SIEM) SIEM-technologie in gebruik.

Toegangsbeheer op basis van rollen

Microsoft raadt aan het concept van de minste bevoegdheden te gebruiken. Defender voor Eindpunt maakt gebruik van ingebouwde rollen binnen Azure Active Directory. Microsoft raadt aan de verschillende beschikbare rollen te bekijken en de juiste te kiezen om aan uw behoeften voor elke persona voor deze toepassing te voldoen. Sommige rollen moeten mogelijk tijdelijk worden toegepast en worden verwijderd nadat de implementatie is voltooid.


Persona's Rollen Azure AD-rol (indien nodig) Toewijzen aan
Beveiligingsbeheerder
Beveiligingsanalist
Eindpuntbeheerder
Infrastructuurbeheerder
Bedrijfseigenaar/belanghebbende

Microsoft raadt gebruikers aan Privileged Identity Management te gebruiken om uw rollen te beheren voor extra controle, controle en toegangscontrole voor gebruikers met adreslijstmachtigingen.

Defender voor Eindpunt ondersteunt twee manieren om machtigingen te beheren:

  • Beheer van basismachtigingen: Machtigingen instellen voor volledige toegang of alleen-lezen. In het geval van basismachtigingen hebben gebruikers met globabeheerder of beveiligingsbeheerder in Azure Active Directory volledige toegang, terwijl de rol van de beveiligingslezer alleen-lezen toegang heeft.

  • RBAC (Role-based Access Control): Stel granulaire machtigingen in door rollen te definiëren, Gebruikersgroepen van Azure AD toe te wijzen aan de rollen en gebruikersgroepen toegang te verlenen tot apparaatgroepen. Voor meer informatie. zie Portaltoegang beheren met behulp van op rollen gebaseerd toegangsbeheer.

Microsoft raadt aan gebruik te maken van RBAC om ervoor te zorgen dat alleen gebruikers met een zakelijke rechtvaardiging toegang hebben tot Defender voor Eindpunt.

U vindt hier meer informatie over machtigingsrichtlijnen: Rollen maken en de rol toewijzen aan een Azure Active Directory groep.

In de volgende voorbeeldtabel wordt de structuur van het Cyber Defense Operations Center in uw omgeving bepaald, zodat u de RBAC-structuur kunt bepalen die nodig is voor uw omgeving.


Laag Omschrijving Machtiging Vereist
Laag 1 Team voor lokale beveiligingsbewerkingen / IT-team

Dit team triages and investigates alerts contained within their geocation and escalates to Tier 2 in cases where a active remediation is required.
Laag 2 Team voor regionale beveiligingsbewerkingen

Dit team kan alle apparaten voor hun regio zien en herstelacties uitvoeren.

 Gegevens weergeven
Laag 3 Team voor globale beveiligingsbewerkingen

Dit team bestaat uit beveiligingsexperts en is gemachtigd om alle acties vanuit de portal te bekijken en uit te voeren.

 Gegevens weergeven

Signaleringsonderzoek Actieve herstelacties

Signaleringsonderzoek Actieve herstelacties

Portalsysteeminstellingen beheren

Beveiligingsinstellingen beheren

Acceptatieorder

In veel gevallen hebben organisaties bestaande eindpuntbeveiligingsproducten. Het absolute minimum dat elke organisatie had moeten hebben, had een antivirusoplossing moeten zijn. In sommige gevallen heeft een organisatie mogelijk ook al een EDR geïmplanteerd.

In het verleden was het vervangen van een beveiligingsoplossing tijdsintensief en moeilijk te bereiken vanwege de strakke haken in de toepassingslaag en infrastructuurafhankelijkheden. Omdat Defender voor Eindpunt echter is ingebouwd in het besturingssysteem, is het nu eenvoudig om oplossingen van derden te vervangen.

Kies het onderdeel van Defender voor Eindpunt dat moet worden gebruikt en verwijder de onderdelen die niet van toepassing zijn. In de onderstaande tabel wordt aangegeven welke volgorde Microsoft aanbeveelt voor de manier waarop de eindpuntbeveiligingssuite moet worden ingeschakeld.


Component Omschrijving Rang van acceptatieorders
Endpoint Detection & Response (EDR) Defender for Endpoint eindpuntdetectie en -respons mogelijkheden bieden geavanceerde aanvalsdetecties die in realtime en actie kunnen worden ondernomen. Beveiligingsanalisten kunnen waarschuwingen effectief prioriteit geven, zichtbaarheid krijgen in het volledige bereik van een beveiligingsschending en reactieacties ondernemen om bedreigingen te herstellen.

Meer informatie.

 1
Threat & Vulnerability Management (TVM) Threat & Vulnerability Management is een onderdeel van Microsoft Defender voor Endpoint en biedt zowel beveiligingsbeheerders als beveiligingsbewerkingsteams een unieke waarde, waaronder:
  • Realtime eindpuntdetectie en -respons (EDR) die zijn gecorreleerd met eindpuntproblemen
  • Zeer waardevolle apparaatprobleemcontext tijdens incidentonderzoeken
  • Ingebouwde herstelprocessen via Microsoft Intune en Microsoft-System Center Configuration Manager

Meer informatie.

 2
Next-generation protection (NGP) Microsoft Defender Antivirus is een ingebouwde antimalwareoplossing die bescherming biedt van de volgende generatie voor desktops, draagbare computers en servers. Microsoft Defender Antivirus bevat:
  • Beveiliging in de cloud voor directe detectie en blokkering van nieuwe en nieuwe bedreigingen. Naast machine learning en intelligente beveiliging Graph, maakt beveiliging in de cloud deel uit van de volgende generatie technologieën die de Microsoft Defender Antivirus.
  • Altijd-aan scannen met behulp van geavanceerde controle van bestands- en procesgedrag en andere heuristische functies (ook wel 'real-time protection' genoemd).
  • Speciale beveiligingsupdates op basis van machine learning, menselijke en geautomatiseerde analyse van big data en uitgebreid onderzoek naar bedreigingsresistentie.

Meer informatie.

 3
Attack Surface Reduction (ASR) Met de surface reduction-mogelijkheden in Microsoft Defender voor Eindpunt kunt u de apparaten en toepassingen in de organisatie beschermen tegen nieuwe en nieuwe bedreigingen.
Meer informatie.		 4
Auto Investigation & Remediation (AIR) Microsoft Defender voor Eindpunt gebruikt Geautomatiseerde onderzoeken om het aantal waarschuwingen dat afzonderlijk moet worden onderzocht aanzienlijk te verminderen. De functie Geautomatiseerd onderzoek maakt gebruik van verschillende inspectiealgoritmen en processen die door analisten (zoals playbooks) worden gebruikt om waarschuwingen te onderzoeken en onmiddellijk herstelmaatregelen te nemen om inbreuken op te lossen. Hierdoor wordt het waarschuwingsvolume aanzienlijk verminderd, zodat experts voor beveiligingsbewerkingen zich kunnen richten op geavanceerdere bedreigingen en andere hoogwaardige initiatieven.

Meer informatie.

 Niet van toepassing
Microsoft Threat Experts (MTE) Microsoft Threat Experts is een beheerde huntingservice die Beveiligingscentrums (SOC's) voorziet van monitoring en analyse op expertniveau om ervoor te zorgen dat kritieke bedreigingen in hun unieke omgevingen niet worden gemist.

Meer informatie.

 Niet van toepassing

Volgende stap

Fase 2: Setup.
Fase 2: Instellen

Microsoft Defender instellen voor endpoint-implementatie.