Włączanie integracji z usługą Defender for Endpoint

integracja Microsoft Defender dla Chmury z Ochrona punktu końcowego w usłudze Microsoft Defender zapewnia oparte na chmurze rozwiązanie zabezpieczeń punktu końcowego, które oferuje szeroką gamę funkcji. Integracja zapewnia zarządzanie lukami w zabezpieczeniach i ocenę opartą na ryzyku, która pomaga identyfikować i ustalać priorytety luk w zabezpieczeniach, które należy rozwiązać. Rozwiązanie obejmuje również zmniejszenie obszaru ataków, co pomaga zminimalizować obszar ataków punktów końcowych, a także ochronę opartą na zachowaniu i chmurze w celu wykrywania zagrożeń i reagowania na nie. Ponadto usługa Ochrona punktu końcowego w usłudze Microsoft Defender oferuje wykrywanie i reagowanie w punktach końcowych (EDR), automatyczne badanie i korygowanie oraz zarządzane usługi wyszukiwania zagrożeń, które ułatwiają organizacjom szybkie wykrywanie, badanie i reagowanie na zabezpieczenia Incydentów.

Wymagania wstępne

Przed włączeniem integracji Ochrona punktu końcowego w usłudze Microsoft Defender z Defender dla Chmury należy upewnić się, że maszyna spełnia wymagania niezbędne dla usługi Defender for Endpoint:

• Upewnij się, że maszyna jest połączona z platformą Azure i Internetem zgodnie z wymaganiami:

  • Maszyny wirtualne platformy Azure (Windows lub Linux) — skonfiguruj ustawienia sieci opisane w temacie Konfigurowanie ustawień serwera proxy urządzenia i łączności z Internetem: Windows lub Linux.

  • Maszyny lokalne — Połączenie maszyny docelowe do usługi Azure Arc, jak wyjaśniono w Połączenie maszynach hybrydowych z serwerami z obsługą usługi Azure Arc.

• Włącz usługę Microsoft Defender dla serwerów. Zobacz Szybki start: włączanie rozszerzonych funkcji zabezpieczeń Defender dla Chmury.

  Ważne

  integracja Defender dla Chmury z Ochrona punktu końcowego w usłudze Microsoft Defender jest domyślnie włączona. Dlatego po włączeniu rozszerzonych funkcji zabezpieczeń wyrażasz zgodę na dostęp do Ochrona punktu końcowego w usłudze Microsoft Defender danych związanych z lukami w zabezpieczeniach, zainstalowanym oprogramowaniem i alertami dla punktów końcowych.

• W przypadku serwerów z systemem Windows upewnij się, że serwery spełniają wymagania dotyczące dołączania Ochrona punktu końcowego w usłudze Microsoft Defender.

• W przypadku serwerów z systemem Linux musisz mieć zainstalowany język Python. Język Python 3 jest zalecany dla wszystkich dystrybucji, ale jest wymagany dla systemów RHEL 8.x i Ubuntu 20.04 lub nowszych. Jeśli to konieczne, zobacz Instrukcje krok po kroku dotyczące instalowania języka Python w systemie Linux.

• Jeśli subskrypcja została przeniesiona między dzierżawami platformy Azure, wymagane są również pewne czynności przygotowawcze. Aby uzyskać szczegółowe informacje, skontaktuj się z pomocą techniczną firmy Microsoft.

Włączanie integracji

• W systemie Windows

• W systemie Linux

Windows

Ujednolicone rozwiązanie usługi Defender for Endpoint nie używa ani nie wymaga instalacji agenta usługi Log Analytics. Ujednolicone rozwiązanie jest automatycznie wdrażane dla serwerów z systemem Windows 2012 R2 i 2016, serwerów z systemem Windows połączonych za pośrednictwem usługi Azure Arc i serwerów wielochmurowych systemu Windows połączonych za pośrednictwem łączników wielochmurowych.

Usługa Defender for Endpoint zostanie wdrożona na maszynach z systemem Windows na jeden z dwóch sposobów — w zależności od tego, czy została już wdrożona na maszynach z systemem Windows:

• Użytkownicy z włączoną usługą Defender for Servers i wdrożonym Ochrona punktu końcowego w usłudze Microsoft Defender
• Użytkownicy, którzy nigdy nie włączyli integracji z Ochrona punktu końcowego w usłudze Microsoft Defender

Użytkownicy z włączoną usługą Defender for Servers i wdrożonym Ochrona punktu końcowego w usłudze Microsoft Defender

Jeśli włączono już integrację z usługą Defender for Endpoint, masz pełną kontrolę nad tym, kiedy i czy wdrożyć ujednolicone rozwiązanie usługi Defender for Endpoint na maszynach z systemem Windows .

Aby wdrożyć ujednolicone rozwiązanie usługi Defender for Endpoint, należy użyć wywołania interfejsu API REST lub witryny Azure Portal:

1. Z menu Defender dla Chmury wybierz pozycję Ustawienia środowiska i wybierz subskrypcję z maszynami z systemem Windows, które mają otrzymać usługę Defender for Endpoint.

2. W kolumnie Pokrycie monitorowania planu usługi Defender for Servers wybierz pozycję Ustawienia.

   Stan składnika Endpoint Protections jest częściowy, co oznacza, że nie wszystkie części składnika są włączone.

   Uwaga

   Jeśli stan to Wyłączone, użyj instrukcji w sekcji Użytkownicy, którzy nigdy nie włączyli integracji z Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Windows.

3. Wybierz pozycję Poprawka , aby wyświetlić składniki, które nie są włączone.

   

4. Aby włączyć rozwiązanie Unified dla maszyn z systemem Windows Server 2012 R2 i 2016, wybierz pozycję Włącz.

   

5. Aby zapisać zmiany, wybierz pozycję Zapisz w górnej części strony, a następnie wybierz pozycję Kontynuuj na stronie Ustawienia i monitorowania.

Microsoft Defender dla Chmury:

• Zatrzymaj istniejący proces usługi Defender for Endpoint w agencie usługi Log Analytics, który zbiera dane dla serwerów usługi Defender.
• Zainstaluj ujednolicone rozwiązanie defender for Endpoint dla wszystkich istniejących i nowych maszyn z systemem Windows Server 2012 R2 i 2016.

Microsoft Defender dla Chmury automatycznie dołącza maszyny do Ochrona punktu końcowego w usłudze Microsoft Defender. Dołączanie może potrwać do 12 godzin. W przypadku nowych maszyn utworzonych po włączeniu integracji dołączanie trwa do godziny.

Uwaga

Jeśli zdecydujesz się nie wdrażać ujednoliconego rozwiązania defender for Endpoint na serwerach z systemem Windows 2012 R2 i 2016 w usłudze Defender for Servers (plan 2), a następnie obniżyć usługę Defender for Servers do planu 1, ujednolicone rozwiązanie Defender for Endpoint nie zostanie wdrożone na tych serwerach, aby istniejące wdrożenie nie zostało zmienione bez wyraźnej zgody.

Użytkownicy, którzy nigdy nie włączyli integracji z Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Windows

Jeśli nigdy nie włączono integracji dla systemu Windows, program Endpoint Protection umożliwia Defender dla Chmury wdrożenie usługi Defender dla punktu końcowego na maszynach z systemem Windows i Linux.

Aby wdrożyć ujednolicone rozwiązanie usługi Defender for Endpoint, musisz użyć wywołania interfejsu API REST lub witryny Azure Portal:

1. Z menu Defender dla Chmury wybierz pozycję Ustawienia środowiska i wybierz subskrypcję z maszynami, które mają otrzymać usługę Defender for Endpoint.

2. W stanie składnika Endpoint Protection wybierz pozycję Włączone, aby włączyć integrację z Ochrona punktu końcowego w usłudze Microsoft Defender.

   

Ujednolicone rozwiązanie agenta usługi Defender for Endpoint jest wdrażane na wszystkich maszynach w wybranej subskrypcji.

Linux

Usługa Defender for Endpoint zostanie wdrożona na maszynach z systemem Linux na jeden z następujących sposobów, w zależności od tego, czy została już wdrożona na maszynach z systemem Windows:

• Włączanie dla określonej subskrypcji w ustawieniach środowiska witryny Azure Portal
  • Istniejący użytkownicy z włączonymi rozszerzonymi funkcjami zabezpieczeń Defender dla Chmury i Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Windows
  • Nowi użytkownicy, którzy nigdy nie włączyli integracji z Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Windows
• Włączanie wielu subskrypcji na pulpicie nawigacyjnym witryny Azure Portal
• Włączanie dla wielu subskrypcji za pomocą skryptu programu PowerShell

Uwaga

Po włączeniu automatycznego wdrażania instalacja usługi Defender dla systemu Linux zostanie przerwana na maszynach ze wstępnie działającymi usługami za pomocą fanotify i innych usług, które mogą również spowodować awarię usługi Defender dla punktu końcowego lub mogą mieć na nie wpływ usługi Defender for Endpoint, takich jak usługi zabezpieczeń. Po zweryfikowaniu potencjalnych problemów ze zgodnością zalecamy ręczne zainstalowanie usługi Defender for Endpoint na tych serwerach.

Istniejący użytkownicy z włączonymi rozszerzonymi funkcjami zabezpieczeń Defender dla Chmury i Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Windows

Jeśli włączono już integrację z usługą Defender for Endpoint dla systemu Windows, masz pełną kontrolę nad tym, kiedy i czy wdrożyć usługę Defender for Endpoint na maszynach z systemem Linux .

1. Z menu Defender dla Chmury wybierz pozycję Ustawienia środowiska i wybierz subskrypcję z maszynami z systemem Linux, które mają otrzymać usługę Defender for Endpoint.

2. W kolumnie Pokrycie monitorowania planu usługi Defender for Server wybierz pozycję Ustawienia.

   Stan składnika Endpoint Protections jest częściowy, co oznacza, że nie wszystkie części składnika są włączone.

   Uwaga

   Jeśli stan to Wyłączone, użyj instrukcji w sekcji Użytkownicy, którzy nigdy nie włączyli integracji z Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Windows.

3. Wybierz pozycję Poprawka , aby wyświetlić składniki, które nie są włączone.

   

4. Aby włączyć wdrażanie na maszynach z systemem Linux, wybierz pozycję Włącz.

   

5. Aby zapisać zmiany, wybierz pozycję Zapisz w górnej części strony, a następnie wybierz pozycję Kontynuuj na stronie Ustawienia i monitorowania.

   Microsoft Defender dla Chmury:

   • Automatyczne dołączanie maszyn z systemem Linux do usługi Defender for Endpoint
   • Wykrywanie poprzednich instalacji usługi Defender dla punktu końcowego i ponowne konfigurowanie ich w celu integracji z usługą Defender dla Chmury

   Microsoft Defender dla Chmury automatycznie dołącza maszyny do Ochrona punktu końcowego w usłudze Microsoft Defender. Dołączanie może potrwać do 12 godzin. W przypadku nowych maszyn utworzonych po włączeniu integracji dołączanie trwa do godziny.

   Uwaga

   Przy następnym powrocie do tej strony witryny Azure Portal nie będzie wyświetlany przycisk Włącz dla maszyn z systemem Linux. Aby wyłączyć integrację dla systemu Linux, należy ją również wyłączyć dla systemu Windows, przełączając przełącznik w programie Endpoint Protection i wybierając pozycję Kontynuuj.

6. Aby zweryfikować instalację usługi Defender for Endpoint na maszynie z systemem Linux, uruchom następujące polecenie powłoki na maszynach:

   mdatp health

   Jeśli Ochrona punktu końcowego w usłudze Microsoft Defender jest zainstalowana, zobaczysz jego stan kondycji:

   healthy : true

   licensed: true

   Ponadto w witrynie Azure Portal zobaczysz nowe rozszerzenie platformy Azure na maszynach o nazwie MDE.Linux.

Nowi użytkownicy, którzy nigdy nie włączyli integracji z Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Windows

Jeśli nigdy nie włączono integracji dla systemu Windows, program Endpoint Protection umożliwia Defender dla Chmury wdrażanie usługi Defender dla punktu końcowego na maszynach z systemem Windows i Linux.

1. Z menu Defender dla Chmury wybierz pozycję Ustawienia środowiska i wybierz subskrypcję z maszynami z systemem Linux, które mają otrzymać usługę Defender for Endpoint.

2. W kolumnie Pokrycie monitorowania planu usługi Defender for Server wybierz pozycję Ustawienia.

3. W stanie składnika Endpoint Protection wybierz pozycję Włączone, aby włączyć integrację z Ochrona punktu końcowego w usłudze Microsoft Defender.

   

   Microsoft Defender dla Chmury:

   • Automatyczne dołączanie maszyn z systemem Windows i Linux do usługi Defender for Endpoint
   • Wykrywanie poprzednich instalacji usługi Defender dla punktu końcowego i ponowne konfigurowanie ich w celu integracji z usługą Defender dla Chmury

   Dołączanie może potrwać do 1 godziny.

4. Wybierz pozycję Kontynuuj i zapisz , aby zapisać ustawienia.

5. Aby zweryfikować instalację usługi Defender for Endpoint na maszynie z systemem Linux, uruchom następujące polecenie powłoki na maszynach:

   mdatp health

   Jeśli Ochrona punktu końcowego w usłudze Microsoft Defender jest zainstalowana, zobaczysz jego stan kondycji:

   healthy : true

   licensed: true

   Ponadto w witrynie Azure Portal zobaczysz nowe rozszerzenie platformy Azure na maszynach o nazwie MDE.Linux.

Włączanie wielu subskrypcji na pulpicie nawigacyjnym witryny Azure Portal

Jeśli co najmniej jedna subskrypcja nie ma włączonej ochrony punktu końcowego dla maszyn z systemem Linux, na pulpicie nawigacyjnym Defender dla Chmury zostanie wyświetlony panel szczegółowych informacji. Panel szczegółowych informacji zawiera informacje o subskrypcjach z włączoną integracją usługi Defender for Endpoint dla maszyn z systemem Windows, ale nie dla maszyn z systemem Linux. Możesz użyć panelu szczegółowych informacji, aby wyświetlić objęte subskrypcje z liczbą zasobów, których dotyczy problem, w każdej subskrypcji. Subskrypcje, które nie mają maszyn z systemem Linux, nie mają wpływu na zasoby. Następnie możesz wybrać subskrypcje, aby włączyć ochronę punktu końcowego na potrzeby integracji z systemem Linux.

Po wybraniu pozycji Włącz w panelu szczegółowych informacji Defender dla Chmury:

• Automatycznie dołącza maszyny z systemem Linux do usługi Defender for Endpoint w wybranych subskrypcjach.
• Wykrywa wszystkie poprzednie instalacje usługi Defender dla punktu końcowego i konfiguruje je ponownie w celu integracji z Defender dla Chmury.

Użyj skoroszytu stanu punktu końcowego usługi Defender dla punktu końcowego, aby zweryfikować stan instalacji i wdrożenia usługi Defender dla punktu końcowego na maszynie z systemem Linux.

Włączanie wielu subskrypcji za pomocą skryptu programu PowerShell

Użyj naszego skryptu programu PowerShell z repozytorium Defender dla Chmury GitHub, aby włączyć ochronę punktu końcowego na maszynach z systemem Linux, które znajdują się w wielu subskrypcjach.

Zarządzanie konfiguracją aktualizacji automatycznych dla systemu Linux

W systemie Windows aktualizacje wersji usługi Defender dla punktu końcowego są udostępniane za pośrednictwem ciągłych aktualizacji baza wiedzy. W systemie Linux należy zaktualizować pakiet usługi Defender for Endpoint. W przypadku korzystania z usługi Defender dla serwerów z MDE.Linux rozszerzeniem aktualizacje automatyczne dla Ochrona punktu końcowego w usłudze Microsoft Defender są domyślnie włączone. Jeśli chcesz ręcznie zarządzać aktualizacjami wersji programu Defender for Endpoint, możesz wyłączyć automatyczne aktualizacje na maszynach. W tym celu dodaj następujący tag dla maszyn dołączonych do MDE.Linux rozszerzenia .

• Nazwa tagu: "ExcludeMdeAutoUpdate"
• Wartość tagu: "true"

Ta konfiguracja jest obsługiwana w przypadku maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc, gdzie rozszerzenie inicjuje automatyczną MDE.Linux aktualizację.

Włączanie ujednoliconego rozwiązania Ochrona punktu końcowego w usłudze Microsoft Defender na dużą skalę

Możesz również włączyć ujednolicone rozwiązanie defender for Endpoint na dużą skalę za pomocą dostarczonego interfejsu API REST w wersji 2022-05-01. Aby uzyskać szczegółowe informacje, zobacz dokumentację interfejsu API.

Oto przykładowa treść żądania PUT w celu włączenia ujednoliconego rozwiązania defender for Endpoint:

Identyfikator uri: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Śledzenie stanu wdrożenia rozwiązania MDE

Możesz użyć skoroszytu stanu wdrożenia usługi Defender for Endpoint, aby śledzić stan wdrożenia usługi Defender for Endpoint na maszynach wirtualnych platformy Azure i maszynach spoza platformy Azure połączonych za pośrednictwem usługi Azure Arc. W skoroszycie interaktywnym przedstawiono przegląd maszyn w danym środowisku z Ochrona punktu końcowego w usłudze Microsoft Defender stan wdrożenia rozszerzenia.

Uzyskiwanie dostępu do portalu Ochrona punktu końcowego w usłudze Microsoft Defender

1. Upewnij się, że konto użytkownika ma niezbędne uprawnienia. Dowiedz się więcej w artykule Przypisywanie dostępu użytkowników do Centrum zabezpieczeń usługi Microsoft Defender.

2. Sprawdź, czy masz serwer proxy lub zaporę blokującą ruch anonimowy. Czujnik usługi Defender for Endpoint łączy się z kontekstu systemu, więc ruch anonimowy musi być dozwolony. Aby zapewnić niezakłócony dostęp do portalu usługi Defender for Endpoint, postępuj zgodnie z instrukcjami w temacie Włączanie dostępu do adresów URL usługi na serwerze proxy.

3. Otwórz portal Usługi Microsoft Defender. Dowiedz się więcej o Ochrona punktu końcowego w usłudze Microsoft Defender w usłudze Microsoft Defender XDR.

Wysyłanie alertu testowego

Aby wygenerować łagodny alert testowy z poziomu usługi Defender dla punktu końcowego, wybierz kartę odpowiedniego systemu operacyjnego punktu końcowego:

• Testowanie w systemie Windows

• Testowanie w systemie Linux

Testowanie w systemie Windows

W przypadku punktów końcowych z systemem Windows:

1. Utwórz folder "C:\test-MDATP-test".

2. Użyj pulpitu zdalnego, aby uzyskać dostęp do maszyny.

3. Otwórz okno wiersza polecenia.

4. W wierszu polecenia skopiuj i uruchom następujące polecenie. Okno wiersza polecenia zostanie zamknięte automatycznie.

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

   

   Jeśli polecenie zakończy się pomyślnie, zostanie wyświetlony nowy alert na pulpicie nawigacyjnym ochrony obciążenia i w portalu Ochrona punktu końcowego w usłudze Microsoft Defender. Ten alert może potrwać kilka minut.

5. Aby przejrzeć alert w Defender dla Chmury, przejdź do pozycji Alerty>zabezpieczeń Podejrzane wiersz polecenia programu PowerShell.

6. W oknie badania wybierz link, aby przejść do portalu Ochrona punktu końcowego w usłudze Microsoft Defender.

   Napiwek

   Alert jest wyzwalany z ważnością informacyjną.

Testowanie w systemie Linux

W przypadku punktów końcowych z systemem Linux:

1. Pobierz narzędzie alertu testowego z: https://aka.ms/LinuxDIY

2. Wyodrębnij zawartość pliku zip i wykonaj ten skrypt powłoki:

   ./mde_linux_edr_diy

   Jeśli polecenie zakończy się pomyślnie, zostanie wyświetlony nowy alert na pulpicie nawigacyjnym ochrony obciążenia i w portalu Ochrona punktu końcowego w usłudze Microsoft Defender. Ten alert może potrwać kilka minut.

3. Aby przejrzeć alert w Defender dla Chmury, przejdź do pozycji Alerty>zabezpieczeń Wyliczenie plików z danymi poufnymi.

4. W oknie badania wybierz link, aby przejść do portalu Ochrona punktu końcowego w usłudze Microsoft Defender.

   Napiwek

   Alert jest wyzwalany z niską ważnością.

Usuwanie usługi Defender dla punktu końcowego z maszyny

Aby usunąć rozwiązanie Defender for Endpoint z maszyn:

1. Wyłącz integrację:

   1. Z menu Defender dla Chmury wybierz pozycję Ustawienia środowiska i wybierz subskrypcję z odpowiednimi maszynami.
   2. Na stronie Plany usługi Defender wybierz pozycję Ustawienia i monitorowanie.
   3. W stanie składnika Endpoint Protection wybierz pozycję Wyłączone, aby wyłączyć integrację z Ochrona punktu końcowego w usłudze Microsoft Defender.
   4. Wybierz pozycję Kontynuuj i zapisz , aby zapisać ustawienia.

2. Usuń rozwiązanie MDE. Windows/MDE. Rozszerzenie systemu Linux z maszyny.

3. Wykonaj kroki opisane w artykule Odłącz urządzenia z usługi Ochrona punktu końcowego w usłudze Microsoft Defender z dokumentacji usługi Defender for Endpoint.

Powiązana zawartość

• Platformy i funkcje obsługiwane przez Microsoft Defender dla Chmury
• Dowiedz się, jak zalecenia pomagają chronić zasoby platformy Azure
• Wyświetl typowe pytanie dotyczące integracji Defender dla Chmury z usługą Ochrona punktu końcowego w usłudze Microsoft Defender