Integração de dispositivos usando conectividade simplificada para Microsoft Defender para Ponto de Extremidade
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
O serviço Microsoft Defender para Ponto de Extremidade pode exigir o uso de configurações de proxy para relatar dados de diagnóstico e comunicar dados ao serviço. Antes da disponibilidade do método de conectividade simplificada, outras URLs eram necessárias e os intervalos de IP estáticos do Defender para Ponto de Extremidade não eram compatíveis. Para obter mais informações sobre como preparar seu ambiente, consulte ETAPA 1: configurar seu ambiente de rede para garantir a conectividade com o serviço Defender para Ponto de Extremidade.
Este artigo descreve o método de conectividade de dispositivo simplificado e como integrar novos dispositivos para usar uma implantação e gerenciamento mais simples dos serviços de conectividade de nuvem do Defender para Ponto de Extremidade. Para obter mais informações sobre como migrar dispositivos previamente integrados, confira Migrando dispositivos para conectividade simplificada.
Para simplificar a configuração e o gerenciamento de rede, agora você tem a opção de integrar dispositivos ao Defender para Ponto de Extremidade usando um conjunto de URL reduzido ou intervalos de IP estáticos. Consulte a lista de URL simplificada.
O domínio simplificado reconhecido pelo Defender para Ponto de Extremidade: *.endpoint.security.microsoft.com
substitui os seguintes serviços principais do Defender para Ponto de Extremidade:
- Cloud Protection/MAPS
- Armazenamento de Envio de Exemplo de Malware
- Armazenamento de Exemplos de IR Automático
- Controle de & de Comando do Defender para Ponto de Extremidade
- EDR Cyberdata
Para dar suporte a dispositivos de rede sem resolução de nome de host ou suporte curinga, você pode, alternativamente, configurar a conectividade usando o Defender dedicado para intervalos de IP estáticos do Ponto de Extremidade. Para obter mais informações, consulte Configurar conectividade usando intervalos de IP estáticos.
Observação
- O método de conectividade simplificado não mudará a forma como o Microsoft Defender para Ponto de Extremidade funciona em um dispositivo nem alterará a experiência do usuário final. Somente as URLs ou IPs que um dispositivo usa para se conectar ao serviço serão alteradas.
- Atualmente, não há nenhum plano para preterir as URLs de serviço antigas e consolidadas. Os dispositivos integrados com conectividade "padrão" continuarão funcionando. É importante garantir que a
*.endpoint.security.microsoft.com
conectividade seja e permaneça possível, pois os serviços futuros exigirão isso. Essa nova URL está incluída em todas as listas de URL necessárias.
Serviços consolidados
As URLs do Defender para Ponto de Extremidade a seguir consolidadas no domínio simplificado não devem mais ser necessárias para conectividade se *.endpoint.security.microsoft.com
for permitido e os dispositivos estiverem integrados usando o pacote de integração simplificado. Você precisa manter a conectividade com outros serviços necessários não consolidados que sejam relevantes para sua organização (por exemplo, CRL, SmartScreen/Network Protection e Windows Update).
Para obter a lista atualizada de URLs necessárias, consulte ETAPA 1: Configurar seu ambiente de rede para garantir a conectividade com o serviço Defender para Ponto de Extremidade.
Importante
Se você estiver configurando usando intervalos de IP, precisará configurar separadamente o serviço de cyberdata do EDR. Esse serviço não está consolidado em um nível de IP.
Categoria | URLs consolidadas |
---|---|
MAPAS: proteção fornecida pela nuvem | *.wdcp.microsoft.com *.wd.microsoft.com |
& de proteção na nuvem atualizações de inteligência de segurança para macOS e Linux |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.com x.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
Armazenamento de Envio de Exemplo de Malware | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
Armazenamento de Exemplos do Defender para Ponto de Extremidade automático do IR | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
Comando e controle do Defender para Ponto de Extremidade | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
Antes de começar
Os dispositivos devem atender a pré-requisitos específicos para usar o método de conectividade simplificado para Defender para Ponto de Extremidade. Verifique se os pré-requisitos são atendidos antes de prosseguir com a integração.
Pré-requisitos
Licença:
- Microsoft Defender para Ponto de Extremidade Plano 1
- Microsoft Defender para Ponto de Extremidade Plano 2
- Microsoft Defender para Empresas
- Gerenciamento de Vulnerabilidades do Microsoft Defender
Atualização mínima do KB (Windows)
- Versão sense: 10.8040.*/ 8 de março de 2022 ou superior (confira tabela)
Microsoft Defender versões antivírus (Windows)
- Cliente antimalware:
4.18.2211.5
- Motor:
1.1.19900.2
- Antivírus (Inteligência de Segurança):
1.391.345.0
Versões do Defender Antivírus (macOS/Linux)
- Versões com suporte para macOS com MDPE versão do produto 101.24022.*+
- Versões com suporte para Linux com MDPE versão do produto 101.24022.*+
Sistemas operacionais com suporte
- Windows 10 versão 1809 ou posterior. Windows 10 as versões 1607, 1703, 1709, 1803 têm suporte no pacote de integração simplificada, mas exigem uma lista de URL diferente, confira planilha de URL simplificada
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 ou Windows Server 2016, totalmente atualizado executando a solução unificada moderna do Defender para Ponto de Extremidade (instalação por meio do MSI).
- Versões com suporte para macOS com MDPE versão do produto 101.24022.*+
- Versões com suporte para Linux com MDPE versão do produto 101.24022.*+
Importante
- Os dispositivos em execução no agente MMA não têm suporte no método de conectividade simplificado e precisarão continuar usando o conjunto de URL padrão (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 não atualizado para o agente unificado moderno).
- Windows Server 2012 R2 e Server 2016 precisarão atualizar para o agente unificado para aproveitar o novo método.
- Windows 10 1607, 1703, 1709, 1803 pode aproveitar a nova opção de integração, mas usará uma lista mais longa. Para obter mais informações, confira a planilha de URL simplificada.
Sistema operacional Windows | KB mínimo necessário (8 de março de 2022) |
---|---|
Windows 11 | KB5011493 (8 de março de 2022) |
Windows 10 1809, Windows Server 2019 | KB5011503 (8 de março de 2022) |
Windows 10 19H2 (1909) | KB5011485 (8 de março de 2022) |
Windows 10 20H2, 21H2 | KB5011487 (8 de março de 2022) |
Windows 10 22H2 | KB5020953 (28 de outubro de 2022) |
Windows 10 1803* | < fim do serviço > |
Windows 10 1709* | < fim do serviço > |
Windows Server 2022 | KB5011497 (8 de março de 2022) |
Windows Server 2012 R2, 2016* | Agente Unificado |
Processo de conectividade simplificada
A ilustração a seguir mostra o processo de conectividade simplificado e os estágios correspondentes:
Estágio 1. Configurar seu ambiente de rede para conectividade de nuvem
Depois de confirmar que os pré-requisitos são atendidos, verifique se o ambiente de rede está configurado corretamente para dar suporte ao método de conectividade simplificado. Siga as etapas descritas em Configurar seu ambiente de rede para garantir a conectividade com o serviço Defender para Ponto de Extremidade.
As URLs de serviço do Defender para Ponto de Extremidade consolidadas em domínio simplificado não devem mais ser necessárias para conectividade. No entanto, algumas URLs não estão incluídas na consolidação.
A conectividade simplificada permite que você use a seguinte opção para configurar a conectividade na nuvem:
Opção 1: configurar a conectividade usando o domínio simplificado
Configure seu ambiente para permitir conexões com o domínio simplificado do Defender para Ponto de Extremidade: *.endpoint.security.microsoft.com
. Para obter mais informações, consulte Configurar seu ambiente de rede para garantir a conectividade com o serviço Defender para Ponto de Extremidade.
Você deve manter a conectividade com os serviços necessários restantes listados na lista atualizada. Por exemplo, Lista de Revogação de Certificação, atualização do Windows, SmartScreen.
Opção 2: configurar a conectividade usando intervalos de IP estáticos
Com conectividade simplificada, as soluções baseadas em IP podem ser usadas como alternativa às URLs. Estes IPs abrangem os seguintes serviços:
- MAPAS
- Armazenamento de Envio de Exemplo de Malware
- Armazenamento de Exemplos de IR Automático
- Comando e controle do Defender para Ponto de Extremidade
Importante
O serviço de dados cibernéticos do EDR deve ser configurado separadamente se você estiver usando o método IP (esse serviço só está consolidado em um nível de URL). Você também deve manter a conectividade com outros serviços necessários, incluindo SmartScreen, CRL, Windows Update e outros serviços.
Para manter-se atualizado em intervalos de IP, é recomendável consultar as seguintes marcas de serviço do Azure para serviços de Microsoft Defender para Ponto de Extremidade. Os intervalos de IP mais recentes são encontrados na marca de serviço. Para obter mais informações, confira Intervalos de IP do Azure.
Nome da marca de serviço | Serviços do Defender para Ponto de Extremidade incluídos |
---|---|
MicrosoftDefenderForEndpoint | MAPAS, Armazenamento de Envio de Exemplo de Malware, Armazenamento de Exemplos de IR Automático, Comando e Controle. |
OneDsCollector | EDR Cyberdata Observação: o tráfego sob essa marca de serviço não se limita ao Defender para Ponto de Extremidade e pode incluir o tráfego de dados de diagnóstico para outros serviços da Microsoft. |
A tabela a seguir lista os intervalos de IP estáticos atuais. Para obter a lista mais recente, consulte as marcas de serviço do Azure.
Área geográfica | Intervalos de IP |
---|---|
EUA | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/24 13.83.125.0/24 |
UE | 4.208.13.0/24 20.8.195.0/24 |
Reino Unido | 20.26.63.224/28 20.254.173.48/28 |
AU | 68.218.120.64/28 20.211.228.80/28 |
Importante
Em conformidade com as normas de conformidade e segurança do Defender para Ponto de Extremidade, seus dados serão processados e armazenados de acordo com a localização física do locatário. Com base na localização do cliente, o tráfego pode fluir por qualquer uma dessas regiões IP (que correspondem às regiões do datacenter do Azure). Para obter mais informações, consulte Armazenamento de dados e privacidade.
Estágio 2. Configurar seus dispositivos para se conectar ao serviço Defender para Ponto de Extremidade
Configure dispositivos para se comunicar por meio da infraestrutura de conectividade. Verifique se os dispositivos atendem aos pré-requisitos e tenham versões atualizadas do sensor e Microsoft Defender Antivírus. Para obter mais informações, consulte Configurar configurações de proxy de dispositivo e conexão com a Internet .
Estágio 3. Verificar o pré-integração de conectividade do cliente
Para obter mais informações, consulte Verificar conectividade do cliente.
As verificações de pré-integração a seguir podem ser executadas no analisador de cliente do Windows e do Xplat MDPE: baixe o analisador de cliente Microsoft Defender para Ponto de Extremidade.
Para testar a conectividade simplificada para dispositivos ainda não integrados ao Defender para Ponto de Extremidade, você pode usar o Analisador de Clientes para Windows usando os seguintes comandos:
Execute
mdeclientanalyzer.cmd -o <path to cmd file>
de dentro da pasta MDEClientAnalyzer. O comando usa parâmetros do pacote de integração para testar a conectividade.Execute
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
, em que parâmetro é de GW_US, GW_EU, GW_UK. GW refere-se à opção simplificada. Execute com a geográfica de locatário aplicável.
Como uma marcar complementar, você também pode usar o analisador de clientes para testar se um dispositivo atende aos pré-requisitos:https://aka.ms/BetaMDEAnalyzer
Observação
Para dispositivos ainda não integrados ao Defender para Ponto de Extremidade, o analisador de clientes testará em relação ao conjunto padrão de URLs. Para testar a abordagem simplificada, você precisará executar com os comutadores listados anteriormente neste artigo.
Estágio 4. Aplicar o novo pacote de integração necessário para conectividade simplificada
Depois de configurar sua rede para se comunicar com a lista completa de serviços, você poderá começar a integrar dispositivos usando o método simplificado.
Antes de prosseguir, confirme se os dispositivos atendem aos pré-requisitos e tenha o sensor atualizado e Microsoft Defender versões antivírus.
Para obter o novo pacote, em Microsoft Defender XDR, selecione Configurações Endpoints >> Gerenciamento> de dispositivo Integração.
Selecione o sistema operacional aplicável e escolha "Simplificado" no menu suspenso tipo conectividade.
Para novos dispositivos (não integrados ao Defender para Ponto de Extremidade) com suporte nesse método, siga as etapas de integração das seções anteriores usando o pacote integrado atualizado com seu método de implantação preferencial:
- Integrar o Cliente Windows
- Integrar o Windows Server
- Dispositivos Windows não integrados
- Execute um teste de detecção em um dispositivo para verificar se ele foi integrado corretamente para Microsoft Defender para Ponto de Extremidade
- Exclua dispositivos de quaisquer políticas de integração existentes que usem o pacote de integração padrão.
Para migrar dispositivos já integrados ao Defender para Ponto de Extremidade, consulte Migrando dispositivos para a conectividade simplificada. Você deve reinicializar seu dispositivo e seguir diretrizes específicas aqui.
Estágio 5. Definir o pacote de integração padrão para conectividade simplificada
Quando você estiver pronto para definir o pacote de integração padrão como simplificado, você pode ativar a seguinte configuração de Recurso Avançado no portal Microsoft Defender (Configurações > Pontos de Extremidade Recursos Avançados>).
Essa configuração define o pacote de integração padrão como "simplificado" para sistemas operacionais aplicáveis. Você ainda pode usar o pacote de integração padrão na página de integração, mas deve selecioná-lo especificamente na lista suspensa.
Para integração por meio de Intune & Microsoft Defender para Nuvem, você precisa ativar a opção relevante. Os dispositivos já integrados não são integrados automaticamente; você precisa criar uma nova política no Intune, em que é recomendável primeiro atribuir a política a um conjunto de dispositivos de teste para verificar se a conectividade é bem-sucedida, antes de expandir o público-alvo. Os dispositivos no Defender para Nuvem podem ser reonboardados usando o script de integração relevante.
Observação
- Somente locatários criados em ou antes de 8 de maio de 2024 têm a opção de alternar entre conectividade padrão e simplificada. Os locatários mais recentes só darão suporte à conectividade simplificada.
- Antes de avançar com essa opção, valide se o ambiente está pronto e todos os dispositivos atendem aos pré-requisitos.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de