Proteger seus pontos de extremidade com a solução de EDR integrada do Defender para Nuvem: Microsoft Defender para Ponto de Extremidade

O Microsoft Defender para Ponto de Extremidade é uma solução de segurança de ponto de extremidade holística entregue pela nuvem. Os principais recursos dela são:

  • Avaliação e gerenciamento de vulnerabilidades com base em risco
  • Redução da superfície de ataque
  • Proteção habilitada para a nuvem e baseada em comportamento
  • EDR (Detecção e Resposta de Ponto de Extremidade)
  • Investigação e correção automática
  • Serviços de busca gerenciados

Dica

Originalmente lançado em 2019 como Windows Defender ATP, esse produto de EDR passou a ser chamado Microsoft Defender ATP.

No Ignite 2020, lançamos o pacote XDR do Microsoft Defender para Nuvem, e esse componente de EDR foi renomeado para Microsoft Defender para Ponto de Extremidade.

Disponibilidade

Aspecto Detalhes
Estado da versão: Disponibilidade Geral (GA)
Preço: Necessita do Plano 1 ou do Plano 2 do Microsoft Defender para Servidores
Ambientes compatíveis: Computadores habilitados para Azure Arc executando Windows/Linux
VMs do Azure executando Linux (versões com suporte)
VMs do Azure que executam o Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, a Área de Trabalho Virtual do Azure (antiga Área de Trabalho Virtual do Windows) e o Windows 10 Enterprise para multissessão (antigo Enterprise para Áreas de Trabalho Virtuais)
VMs do Azure que executam o Windows 11 ou o Windows 10 (exceto se estiverem executando a Área de Trabalho Virtual do Azure ou o Windows 10 Enterprise para multissessão)
Funções e permissões necessárias: * Para habilitar/desabilitar a integração: Administrador de Segurança ou Proprietário
* Para exibir alertas do Defender para Ponto de Extremidade no Defender para Nuvem: Leitor de segurança, Leitor, Contribuidor do Grupo de Recursos, Proprietário do Grupo de Recursos, Administrador de Segurança, Proprietário da Assinatura ou Contribuidor da Assinatura
Nuvens: Nuvens comerciais
Azure Governamental (somente Windows)
Azure China 21Vianet
Contas da AWS conectadas

Benefícios da integração do Microsoft Defender para Ponto de Extremidade com o Defender para Nuvem

O Microsoft Defender para Ponto de Extremidade protege seus computadores Windows e Linux, independentemente de eles estarem hospedados no Azure, em nuvens híbridas (locais) ou na AWS. As proteções incluem:

  • Sensores avançados de detecção pós-violação. Os sensores do Defender para Ponto de Extremidade coletam uma vasta gama de sinais comportamentais dos computadores.

  • Avaliação de vulnerabilidade da solução Gerenciamento de Ameaças e Vulnerabilidades da Microsoft. Com o Microsoft Defender para Ponto de Extremidade habilitado, o Defender para Nuvem pode mostrar as vulnerabilidades descobertas pelo módulo Gerenciamento de Ameaças e Vulnerabilidades e também oferecer esse módulo como uma solução de avaliação de vulnerabilidades com suporte. Saiba mais em Investigar os pontos fracos com o Gerenciamento de Ameaças e Vulnerabilidades do Microsoft Defender para Ponto de Extremidade.

    Este módulo também traz os recursos de inventário de software descritos em Acessar um inventário de software e pode ser habilitado automaticamente para computadores com suporte com as configurações de implantação automática.

  • Detecção pós-violação habilitada para a nuvem e baseada em análise. O Defender para Ponto de Extremidade se adapta rapidamente a ameaças que mudam constantemente. Ele usa análise avançada e Big Data. Ele é amplificado pela potência do Grafo de Segurança Inteligente com sinais pelo Windows, o Azure e o Office para detectar ameaças desconhecidas. Ele fornece alertas acionáveis e permite que você responda rapidamente.

  • Inteligência contra ameaças. O Defender para Ponto de Extremidade gera alertas ao identificar ferramentas, técnicas e procedimentos do invasor. Ele usa dados gerados pelos caçadores de ameaças da Microsoft e pelas equipes de segurança, incrementados por inteligência oferecida por parceiros.

Ao integrar o Defender para Ponto de Extremidade com o Defender para Nuvem, você se beneficiará dos seguintes recursos adicionais:

  • Integração automatizada. O Defender para Nuvem habilita automaticamente o sensor do Defender para Ponto de Extremidade em todos os computadores com suporte conectados ao Defender para Nuvem.

  • Painel de controle único. As páginas do portal do Defender para Nuvem exibem os alertas do Defender para Ponto de Extremidade. Para investigar ainda mais, use as páginas do portal do próprio Microsoft Defender para Ponto de Extremidade, em que você verá informações adicionais, como a árvore de processos do alerta e o grafo de incidentes. Você também pode ver uma linha do tempo detalhada do computador, mostrando cada comportamento por um período de histórico de até seis meses.

    Microsoft Defender for Endpoint's own Security Center

Quais são os requisitos para o locatário do Microsoft Defender para Ponto de Extremidade?

Quando você usa o Defender para Nuvem para monitorar os computadores, um locatário do Defender para Ponto de Extremidade é criado automaticamente.

  • Local: Os dados coletados pelo Defender para Ponto de Extremidade são armazenados na localização geográfica do locatário, conforme identificado durante o provisionamento. Os dados do cliente – no formulário de pseudônimos – também podem ser armazenados no armazenamento central e nos sistemas de processamento dos Estados Unidos. Depois de configurar a localização, você não poderá alterá-la. Se você tiver uma licença própria do Microsoft Defender para Ponto de Extremidade e precisar mover seus dados para outra localização, contate o suporte da Microsoft para redefinir o locatário.
  • Movimentação de assinaturas: se você tiver movido sua assinatura do Azure entre locatários do Azure, algumas etapas preparatórias manuais serão necessárias antes que o Defender para Nuvem implante o Defender para Ponto de Extremidade. Para obter detalhes completos, entre em contato com o suporte da Microsoft.

Habilitar a integração do Microsoft Defender para Ponto de Extremidade

Pré-requisitos

Confirme se o seu computador atende aos requisitos necessários do Defender para Ponto de Extremidade:

  1. Verifique se o computador está conectado ao Azure e à Internet, conforme necessário:

  2. Habilite o Microsoft Defender para Servidores. Confira Início Rápido: habilitar os recursos de segurança aprimorada do Defender para Nuvem.

    Importante

    A integração do Defender para Nuvem ao Microsoft Defender para Ponto de Extremidade está habilitada por padrão. Portanto, ao habilitar os recursos de segurança aprimorada, você dá consentimento para que o Microsoft Defender para Servidores acesse os dados do Microsoft Defender para Ponto de Extremidade relacionados a vulnerabilidades, software instalado e alertas para seus pontos de extremidade.

  3. Se você tiver movido sua assinatura entre locatários do Azure, algumas etapas preparatórias manuais também serão necessárias. Para obter detalhes completos, entre em contato com o suporte da Microsoft.

Habilitar a integração

  1. No menu do Defender para Nuvem, selecione Configurações de ambiente e selecione a assinatura com os computadores Windows nos quais você quer receber o Defender para Ponto de Extremidade.

  2. Selecione Integrações.

  3. Selecione Permitir que o Microsoft Defender para Ponto de Extremidade acesse meus dados e escolha Salvar.

    Enable the integration between Microsoft Defender for Cloud and Microsoft's EDR solution, Microsoft Defender for Endpoint

    O Microsoft Defender para Nuvem integrará automaticamente os computadores ao Microsoft Defender para Ponto de Extremidade. A integração pode levar até 12 horas. Para computadores criados após a integração ter sido habilitada, a integração leva até uma hora.

Acessar o portal do Microsoft Defender para Ponto de Extremidade

  1. Verifique se a conta de usuário tem as permissões necessárias. Saiba mais em Atribuir acesso de usuário à Central de Segurança do Microsoft Defender.

  2. Verifique se há um proxy ou firewall bloqueando o tráfego anônimo. O sensor do Defender para Ponto de Extremidade se conecta por meio do contexto do sistema; portanto, o tráfego anônimo deve ser permitido. Para garantir o acesso sem impedimento ao portal do Defender para Ponto de Extremidade, siga as instruções em Habilitar o acesso a URLs de serviço no servidor proxy.

  3. Abra o portal da Central de Segurança do Defender para Ponto de Extremidade. Saiba mais sobre os recursos e ícones do portal na Visão geral do portal da Central de Segurança do Defender para Ponto de extremidade.

Enviar um alerta de teste

Para gerar um alerta de teste benigno do Defender para Ponto de Extremidade, selecione a guia do sistema operacional relevante do ponto de extremidade:

Para pontos de extremidade executando Windows:

  1. Crie a pasta "C:\test-MDATP-test".

  2. Use a Área de Trabalho Remota para acessar seu computador.

  3. Abra uma janela de linha de comando.

  4. No prompt, copie e execute o comando a seguir. A janela do prompt de comando fechará automaticamente.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

    A command prompt window with the command to generate a test alert.

    Se o comando for bem-sucedido, você verá um novo alerta no dashboard de proteção de cargas de trabalho e no portal do Microsoft Defender para Ponto de Extremidade. Esse alerta pode levar alguns minutos para aparecer.

  5. Para revisar o alerta no Defender para Nuvem, acesse Alertas de segurança>Linha de Comando do PowerShell Suspeitas.

  6. Na janela de investigação, selecione o link para ir ao portal do Microsoft Defender para Ponto de Extremidade.

    Dica

    O alerta é disparado com severidade Informativa.

Remover o Defender para Ponto de Extremidade de um computador

Para remover a solução Defender para Ponto de Extremidade de seus computadores:

  1. Desabilitar a integração :

    1. No menu do Defender para Nuvem, selecione Configurações de ambiente e a assinatura com os computadores relevantes.
    2. Abra Integrações e desmarque a caixa de seleção Permitir que o Microsoft Defender para Ponto de Extremidade acesse meus dados.
    3. Clique em Salvar.
  2. Remova a extensão MDE.Windows/MDE.Linux do computador.

  3. Siga as etapas em Remover dispositivos do serviço Microsoft Defender para Ponto de Extremidade da documentação do Defender para Ponto de Extremidade.

Perguntas frequentes – integração do Microsoft Defender para Nuvem ao Microsoft Defender para Ponto de Extremidade

O que é essa extensão "MDE.Windows" / "MDE.Linux" em execução no meu computador?

No passado, o Microsoft Defender para Ponto de Extremidade foi provisionado pelo agente do Log Analytics. Quando expandimos o suporte para incluir o Windows Server 2019 e Linux, também adicionamos uma extensão para executar a integração automática.

O Defender para Nuvem implanta automaticamente a extensão em computadores que executam:

  • Windows Server 2019 e Windows Server 2022.
  • Windows 10 na Área de Trabalho Virtual do Azure.
  • Outras versões do Windows Server, se o Defender para Nuvem não reconhecer a versão do sistema operacional (por exemplo, quando uma imagem de VM personalizada for usada). Nesse caso, o Microsoft Defender para Ponto de Extremidade ainda é provisionado pelo agente do Log Analytics.
  • Linux.

Importante

Se você excluir a extensão MDE.Windows/MDE.Windows, isso não removerá o Microsoft Defender para Ponto de Extremidade. para 'remover', consulte Remover servidores Windows..

Habilitei a solução, mas a extensão "MDE.Windows"/"MDE.Linux" não está aparecendo em no meu computador

Se você habilitou a integração, mas ainda não vê a extensão em execução em seus computadores, verifique o seguinte:

  1. Se 12 horas não se passaram desde que você habilitou a solução, aguarde até o final desse período para ter certeza de que há um problema a ser investigado.
  2. Após 12 horas, se você ainda não vir a extensão em execução em seus computadores, verifique se você atendeu aos Pré-requisitos para a integração.
  3. Verifique se você habilitou o plano Microsoft Defender para Servidores para as assinaturas relacionadas aos computadores que está investigando.
  4. Se você tiver movido sua assinatura do Azure entre locatários do Azure, algumas etapas preparatórias manuais serão necessárias antes que o Defender para Nuvem implante o Defender para Ponto de Extremidade. Para obter detalhes completos, entre em contato com o suporte da Microsoft.

Quais são os requisitos de licenciamento do Microsoft Defender para Ponto de Extremidade?

O Defender para Ponto de Extremidade está incluído sem custo adicional com o Microsoft Defender para Servidores. Como alternativa, ele pode ser adquirido separadamente para 50 computadores ou mais.

Se eu já tiver uma licença para o Microsoft Defender para Ponto de Extremidade, ganho desconto no Microsoft Defender para Servidores?

Se você já tiver uma licença para o Microsoft Defender para Ponto de Extremidade para Servidores, não precisará pagar por essa parte da sua licença do Plano 2 do Microsoft Defender para Servidores. Saiba mais sobre essa licença.

Para solicitar seu desconto, entre em contate a equipe de suporte do Defender para Nuvem. Você precisará fornecer a ID do workspace relevante, a região e o número de licenças do Microsoft Defender para Ponto de Extremidade para Servidores aplicadas aos computadores do workspace determinado.

O desconto entrará em vigor a partir da data de aprovação e não ocorrerá retroativamente.

O Microsoft Defender para Servidores dá suporte ao novo agente Microsoft Defender para Ponto de Extremidade unificado para Windows Server 2012 R2 e 2016?

O Plano 1 do Defender para Servidores implanta a nova pilha de soluções do Microsoft Defender para Ponto de Extremidade no Windows Server 2012 R2 e 2016, que não usa nem exige a instalação do MMA (Microsoft Monitoring Agent).

Como faço para mudar de uma ferramenta de EDR de terceiros?

As instruções completas para alternar de uma solução de ponto de extremidade não Microsoft estão disponíveis na documentação do Microsoft Defender para Ponto de Extremidade: visão geral da migração.

Próximas etapas