Preparar a implantação do Microsoft Defender para Ponto de Extremidade

Aplica-se a:

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Implantar o Defender para Ponto de Extremidade é um processo de três fases:

fase de implantação - preparar.
Fase 1: Preparar
fase de implantação - instalação
Fase 2: Configurar
fase de implantação - onboard
Fase 3: Integrar
Você está aqui!

No momento, você está na fase de preparação.

A preparação é fundamental para qualquer implantação bem-sucedida. Neste artigo, você será orientado sobre os pontos que você precisará considerar ao se preparar para implantar o Defender para o Ponto de Extremidade.

Stakeholders e aprovação

A seção a seguir serve para identificar todos os participantes envolvidos no projeto e precisam aprovar, revisar ou permanecer informados.

Adicione participantes à tabela abaixo conforme apropriado para sua organização.

  • SO = Aprovar projeto
  • R = Revisar este projeto e fornecer entrada
  • I = Informado deste projeto


Nome Role Action
Inserir nome e email Diretor de Segurança da Informação (CISO) Um representante executivo que serve como patrocinador dentro da organização para a implantação da nova tecnologia. ENTÃO
Inserir nome e email Head of Cyber Defense Operations Center (CDOC) Um representante da equipe do CDOC responsável por definir como essa alteração é alinhada com os processos na equipe de operações de segurança dos clientes. ENTÃO
Inserir nome e email Arquiteto de Segurança Um representante da equipe de Segurança responsável por definir como essa alteração é alinhada com a arquitetura principal de Segurança na organização. R
Inserir nome e email Arquiteto do Local de Trabalho Um representante da equipe de TI responsável por definir como essa alteração é alinhada com a arquitetura principal do local de trabalho na organização. R
Inserir nome e email Analista de Segurança Um representante da equipe do CDOC que pode fornecer informações sobre os recursos de detecção, a experiência do usuário e a utilidade geral dessa alteração de uma perspectiva de operações de segurança. I

Ambiente

Esta seção é usada para garantir que seu ambiente seja profundamente compreendido pelas partes interessadas, o que ajudará a identificar possíveis dependências e/ou alterações necessárias em tecnologias ou processos.



O que Descrição
Contagem de pontos de extremidade Contagem total de pontos de extremidade pelo sistema operacional.
Contagem de servidores Contagem total de Servidores por versão do sistema operacional.
Mecanismo de gerenciamento Nome e versão do mecanismo de gerenciamento (por exemplo, System Center Configuration Manager Branch Atual 1803).
Distribuição de CDOC Estrutura de CDOC de alto nível (por exemplo, Camada 1 terceirizada para Contoso, Camada 2 e Camada 3 interna distribuída pela Europa e Ásia).
Informações e eventos de segurança (SIEM) Tecnologia SIEM em uso.

Controle de acesso baseado em função

A Microsoft recomenda usar o conceito de privilégios mínimos. O Defender para Ponto de Extremidade aproveita funções in-lo como Azure Active Directory. A Microsoft recomenda revisar as diferentes funções disponíveis e escolher a correta para resolver suas necessidades para cada persona para este aplicativo. Algumas funções podem precisar ser aplicadas temporariamente e removidas após a conclusão da implantação.



Personas Funções Função do Azure AD (se necessário) Atribuir a
Administrador de Segurança
Analista de Segurança
Administrador do ponto de extremidade
Administrador de Infraestrutura
Proprietário/Stakeholder do Business

A Microsoft recomenda o uso Privileged Identity Management gerenciar suas funções para fornecer auditoria, controle e revisão de acesso adicionais para usuários com permissões de diretório.

O Defender para Ponto de Extremidade oferece suporte a duas maneiras de gerenciar permissões:

  • Gerenciamento de permissões básicas: definir permissões para acesso total ou somente leitura. No caso de usuários de gerenciamento de permissões básicas com a função administrador global ou administrador de segurança Azure Active Directory têm acesso total enquanto a função de leitor de segurança tem acesso somente leitura.

  • Controle de acesso baseado em função (RBAC): definir permissões granulares definindo funções, atribuindo grupos de usuários do Azure AD às funções e concedendo aos grupos de usuários acesso a grupos de dispositivos. Para obter mais informações. consulte Gerenciar o acesso ao portal usando o controle de acesso baseado em função.

A Microsoft recomenda aproveitar o RBAC para garantir que somente os usuários que têm uma justificativa comercial possam acessar o Defender para o Ponto de Extremidade.

Você pode encontrar detalhes sobre diretrizes de permissão aqui: Criar funções e atribuir a função aum Azure Active Directory grupo .

A tabela de exemplo a seguir serve para identificar a estrutura do Centro de Operações de Defesa Cibernética em seu ambiente que o ajudará a determinar a estrutura do RBAC necessária para seu ambiente.



Camada Descrição Permissão Necessária
Camada 1 Equipe de operações de segurança local / equipe de TI

Essa equipe geralmente triagem e investiga alertas contidos em sua localização geográfica e escalona para a Camada 2 nos casos em que uma correção ativa é necessária.

Camada 2 Equipe de operações de segurança regional

Essa equipe pode ver todos os dispositivos de sua região e executar ações de correção.

Exibir dados
Camada 3 Equipe de operações de segurança global

Essa equipe consiste em especialistas em segurança e está autorizada a ver e executar todas as ações do portal.

Exibir dados

Investigação de alertas Ações de correção ativa

Investigação de alertas Ações de correção ativa

Gerenciar configurações do sistema de portal

Gerenciar configurações de segurança

Ordem de adoção

Em muitos casos, as organizações terão produtos de segurança de ponto de extremidade existentes. O mínimo que todas as organizações devem ter sido uma solução antivírus. Mas, em alguns casos, uma organização também pode ter implantado uma solução EDR já.

Historicamente, substituir qualquer solução de segurança era muito intensa e difícil de alcançar devido aos ganchos rígidos na camada de aplicativos e nas dependências de infraestrutura. No entanto, como o Defender para Ponto de Extremidade está integrado ao sistema operacional, substituir soluções de terceiros agora é fácil de alcançar.

Escolha o componente do Defender para o Ponto de Extremidade a ser usado e remova os que não se aplicam. A tabela abaixo indica a ordem que a Microsoft recomenda para como o pacote de segurança do ponto de extremidade deve ser habilitado.



Componente Descrição Classificação de Ordem de Adoção
Resposta & de detecção de ponto de extremidade (EDR) Os recursos do Defender for Endpoint detecção e resposta de ponto de extremidade fornecem detecções avançadas de ataque que são quase em tempo real e ativas. Os analistas de segurança podem priorizar alertas de maneira eficaz, obter visibilidade de todo o escopo de uma violação e executar ações de resposta para remediar ameaças.

Saiba Mais.

1
Gerenciamento & de Vulnerabilidades (TVM) O & gerenciamento de vulnerabilidades é um componente do Microsoft Defender para Ponto de Extremidade e fornece aos administradores de segurança e equipes de operações de segurança um valor exclusivo, incluindo:
  • Percepções de detecção e resposta do ponto de extremidade (EDR) em tempo real correlacionados a vulnerabilidades de ponto de extremidade
  • Contexto de vulnerabilidade de dispositivo inestimável durante investigações de incidentes
  • Processos internos de correção por meio de Microsoft Intune e microsoft System Center Configuration Manager

Saiba mais.

2
Proteção de última geração (NGP) Microsoft Defender Antivírus é uma solução antimalware integrada que fornece proteção de última geração para desktops, computadores portáteis e servidores. O Microsoft Defender Antivírus inclui:
  • Proteção oferecida pela nuvem para detecção quase instantânea e bloqueio de ameaças novas e emergentes. Além do aprendizado da máquina e do gráfico de segurança inteligente, a proteção oferecida na nuvem faz parte das tecnologias de próxima geração que para alimentam o Microsoft Defender Antivírus.
  • Verificação sempre em tempo real usando monitoramento avançado de comportamento de arquivo e processo e outras heurísticas (também conhecidas como "proteção em tempo real").
  • Atualizações de proteção dedicadas com base em aprendizado de máquina, análise de grandes dimensões humana e automatizada e pesquisa de resistência de ameaças aprofundada.

Saiba mais.

3
Redução de superfície de ataque (ASR) Os recursos de redução de superfície de ataque no Microsoft Defender para Ponto de Extremidade ajudam a proteger os dispositivos e aplicativos na organização contra ameaças novas e emergentes.
Saiba Mais.
4
Auto Investigation & Correção (AIR) O Microsoft Defender para Ponto de Extremidade usa investigações automatizadas para reduzir significativamente o volume de alertas que precisam ser investigados individualmente. O recurso de investigação automatizada aproveita vários algoritmos de inspeção e processos usados por analistas (como playbooks) para examinar alertas e tomar medidas imediatas de correção para resolver violações. Isso reduz significativamente o volume de alerta, permitindo que os especialistas de operações de segurança se concentrem em ameaças mais sofisticadas e outras iniciativas de alto valor.

Saiba Mais.

Não aplicável
Especialistas em Ameaças da Microsoft (MTE) Especialistas em Ameaças da Microsoft é um serviço de busca gerenciada que fornece SOCs (Security Operation Centers) com monitoramento e análise de nível de especialista para ajudá-los a garantir que ameaças críticas em seus ambientes exclusivos não são perdidas.

Saiba Mais.

Não aplicável

Próxima etapa

Fase 2: Instalação.
Fase 2: Configurar

Configurar o Microsoft Defender para implantação do Ponto de Extremidade.