Включение интеграции Defender для конечной точки
интеграция Microsoft Defender для облака с Microsoft Defender для конечной точки предоставляет облачное решение для обеспечения безопасности конечных точек, которое предлагает широкий спектр функций. Интеграция обеспечивает управление уязвимостями и оценку на основе рисков, что помогает выявлять и определять и определять уязвимости, которые необходимо решить. Решение также включает сокращение поверхностей атак, что помогает свести к минимуму область атаки конечных точек, а также защиту на основе поведения и облачной защиты для обнаружения и реагирования на угрозы. Кроме того, Microsoft Defender для конечной точки предлагает обнаружение и нейтрализация атак на конечные точки (EDR), автоматическое исследование и исправление, а также управляемые службы охоты, помогающие организациям быстро обнаруживать, исследовать и реагировать на инциденты безопасности.
Необходимые компоненты
Прежде чем включить интеграцию Microsoft Defender для конечной точки с Defender для облака, необходимо убедиться, что компьютер соответствует необходимым требованиям Для Defender для конечной точки:
Убедитесь, что компьютер подключен к Azure и к Интернету.
Виртуальные машины Azure (Windows или Linux): настройте параметры сети, как описано в разделах по настройке прокси-сервера устройств и подключения к интернету для Windows или Linux.
Локальные компьютеры: подключите целевые компьютеры к службе Azure Arc, как описано в статье Подключение гибридных виртуальных машин к серверам с поддержкой Azure Arc.
Включите Microsoft Defender для серверов. См. статью Краткое руководство. Включение функций усиленной безопасности.
Внимание
Интеграция Defender для облака с Microsoft Defender для конечной точки включена по умолчанию. Поэтому при включении функций усиленной безопасности вы даете согласие на предоставление службе "Microsoft Defender для серверов" доступа к данным Microsoft Defender для конечной точки, связанным с уязвимостями, установленным программным обеспечением и оповещениями для конечных точек.
Для серверов Windows убедитесь, что серверы соответствуют требованиям для подключения Microsoft Defender для конечной точки.
Для серверов Linux необходимо установить Python. Python 3 рекомендуется для всех дистрибутивов, но требуется для RHEL 8.x и Ubuntu 20.04 или более поздней версии. При необходимости см. пошаговые инструкции по установке Python в Linux.
Если вы переместили подписку между клиентами Azure, также потребуется выполнить некоторые подготовительные действия вручную. Дополнительные сведения см. в службе поддержки Майкрософт.
Включение интеграции
Windows
Единое решение Defender для конечной точки не использует или не требует установки агента Log Analytics. Единое решение автоматически развертывается для серверов Azure Windows 2012 R2 и 2016, серверов Windows, подключенных через Azure Arc, и серверов Windows multicloud, подключенных через соединители multicloud.
Для развертывания Defender для конечной точки на компьютерах Windows можно использовать один из двух способов (в зависимости от того, развертывали ли вы уже это решение на компьютерах Windows):
- Пользователи с включенным Defender для серверов и развернутым Microsoft Defender для конечной точки
- Пользователи, которые никогда не включали интеграцию с Microsoft Defender для конечной точки
Пользователи с включенным Defender для серверов и развернутым Microsoft Defender для конечной точки
Если вы уже включили интеграцию с Defender для конечной точки, у вас есть полный контроль над развертыванием единого решения Defender для конечной точки на компьютерах Windows .
Чтобы развернуть единое решение Defender для конечной точки, необходимо использовать вызов REST API или портал Azure:
В меню Defender для облака выберите пункт Параметры среды, затем выберите подписку с нужными компьютерами Windows для добавления в Defender для конечной точки.
В столбце покрытия мониторинга плана Defender для серверов выберите Параметры.
Состояние компонента Endpoint Protections является частичным, что означает, что не все части компонента включены.
Примечание.
Если состояние отключено, используйте инструкции пользователей, которые никогда не включили интеграцию с Microsoft Defender для конечной точки для Windows.
Выберите "Исправление", чтобы просмотреть компоненты, которые не включены.
Чтобы включить единое решение для компьютеров Windows Server 2012 R2 и 2016, нажмите кнопку "Включить".
Чтобы сохранить изменения, нажмите кнопку "Сохранить" в верхней части страницы и нажмите кнопку "Продолжить" на странице Параметры и мониторинга.
Microsoft Defender для облака сделает следующее:
- Остановите существующий процесс Defender для конечной точки в агенте Log Analytics, который собирает данные для Defender для серверов.
- Установите единое решение Defender для конечной точки для всех существующих и новых компьютеров Windows Server 2012 R2 и 2016.
Microsoft Defender для облака автоматически подключит компьютеры к Microsoft Defender для конечной точки. Подключение может занять до 12 часов. Для новых компьютеров, созданных после включения интеграции, подключение занимает около часа.
Примечание.
Если вы решили не развертывать единое решение Defender для конечной точки на серверах Windows 2012 R2 и 2016 в Defender для серверов плана 2, а затем понижение уровня Defender для серверов до плана 1, единое решение Defender для конечной точки не развертывается на этих серверах, чтобы существующее развертывание не было изменено без явного согласия.
Пользователи, которые никогда не включали интеграцию с Microsoft Defender для конечной точки для Windows
Если вы никогда не включили интеграцию для Windows, Endpoint Protection позволяет Defender для облака развертывать Defender для конечной точки на компьютерах Windows и Linux.
Чтобы развернуть единое решение Defender для конечной точки, необходимо использовать вызов REST API или портал Azure:
В меню Defender для облака выберите пункт Параметры среды, затем выберите подписку с нужными компьютерами для добавления в Defender для конечной точки.
В состоянии компонента Endpoint Protection выберите "Вкл.", чтобы включить интеграцию с Microsoft Defender для конечной точки.
Единое решение агента Defender для конечной точки развертывается на всех компьютерах в выбранной подписке.
Linux
Вы развернете Defender для конечной точки на компьютерах Linux одним из следующих способов в зависимости от того, развернут ли вы его на компьютерах Windows:
- Включение для конкретной подписки в параметрах среды портал Azure
- Включение нескольких подписок на панели мониторинга портал Azure
- Включение нескольких подписок с помощью скрипта PowerShell
Примечание.
При включении автоматического развертывания установка Defender для конечной точки для Linux прерывается на компьютерах с предварительно существующими запущенными службами с помощью фанатики и других служб, которые также могут привести к сбоям Defender для конечной точки или может повлиять на Защитник для конечной точки, например службы безопасности. После проверки потенциальных проблем совместимости рекомендуется вручную установить Defender для конечной точки на этих серверах.
для существующих пользователей, у которых включены функции усиленной безопасности Defender для облака и служба "Microsoft Defender для конечной точки" для Windows;
Если вы уже включили интеграцию с Defender для конечной точки для Windows, вы можете в любой момент дополнительно развернуть Defender для конечной точки на компьютерах Linux.
В меню Defender для облака выберите пункт Параметры среды, затем выберите подписку с нужными компьютерами Linux для добавления в Defender для конечной точки.
В столбце покрытия мониторинга плана Defender для сервера выберите Параметры.
Состояние компонента Endpoint Protections является частичным, что означает, что не все части компонента включены.
Примечание.
Если состояние отключено, используйте инструкции в разделе "Пользователи, которые никогда не включили интеграцию с Microsoft Defender для конечной точки для Windows".
Выберите "Исправление", чтобы просмотреть компоненты, которые не включены.
Чтобы включить развертывание на компьютерах Linux, нажмите кнопку "Включить".
Чтобы сохранить изменения, нажмите кнопку "Сохранить" в верхней части страницы и нажмите кнопку "Продолжить" на странице Параметры и мониторинга.
Microsoft Defender для облака сделает следующее:
- автоматически подключает компьютеры Linux к Defender для конечной точки;
- Обнаружит существующие установки Defender для конечной точки и изменит их конфигурации для интеграции с Defender для облака.
Microsoft Defender для облака автоматически подключит компьютеры к Microsoft Defender для конечной точки. Подключение может занять до 12 часов. Для новых компьютеров, созданных после включения интеграции, подключение занимает около часа.
Примечание.
Следующий раз, когда вы перейдете на эту страницу с портала Azure, кнопка Включить для компьютеров Linux отображаться не будет. Чтобы отключить интеграцию для Linux, необходимо отключить ее для Windows, переключив переключатель в Endpoint Protection и нажав кнопку "Продолжить".
Чтобы проверить установку Defender для конечной точки на компьютере Linux, выполните на этом компьютере следующую команду оболочки:
mdatp healthЕсли решение Microsoft Defender для конечной точки установлено, вы увидите его состояние работоспособности:
healthy : truelicensed: trueТакже вы можете увидеть на портале Azure, что на компьютере установлено новое расширение с именем
MDE.Linux.
Новые пользователи, которые никогда не включали интеграцию с Microsoft Defender для конечной точки для Windows
Если вы никогда не включили интеграцию для Windows, защита конечных точек позволяет Defender для облака развертывать Defender для конечной точки на компьютерах Windows и Linux.
В меню Defender для облака выберите пункт Параметры среды, затем выберите подписку с нужными компьютерами Linux для добавления в Defender для конечной точки.
В столбце покрытия мониторинга плана Defender для сервера выберите Параметры.
В состоянии компонента Endpoint Protection выберите "Вкл.", чтобы включить интеграцию с Microsoft Defender для конечной точки.
Microsoft Defender для облака сделает следующее:
- автоматически подключает компьютеры Windows и Linux к Defender для конечной точки;
- Обнаружит существующие установки Defender для конечной точки и изменит их конфигурации для интеграции с Defender для облака.
Подключение может занять около часа.
Нажмите кнопку "Продолжить" и "Сохранить", чтобы сохранить параметры.
Чтобы проверить установку Defender для конечной точки на компьютере Linux, выполните на этом компьютере следующую команду оболочки:
mdatp healthЕсли решение Microsoft Defender для конечной точки установлено, вы увидите его состояние работоспособности:
healthy : truelicensed: trueКроме того, вы можете увидеть на портале Azure, что на компьютере установлено новое расширение с именем
MDE.Linux.
Включение нескольких подписок на панели мониторинга портал Azure
Если у одной или нескольких подписок нет поддержки Endpoint Protection для компьютеров Linux, появится панель аналитики на панели мониторинга Defender для облака. На панели аналитики вы узнаете о подписках, в которых включена интеграция Defender для конечной точки для компьютеров Windows, но не для компьютеров Linux. Панель аналитики можно использовать для просмотра затронутых подписок с количеством затронутых ресурсов в каждой подписке. Подписки, у которых нет компьютеров Linux, не отображают затронутых ресурсов. Затем можно выбрать подписки, чтобы включить защиту конечных точек для интеграции Linux.
После нажатия кнопки "Включить" на панели аналитики Defender для облака:
- Автоматически подключены компьютеры Linux к Defender для конечной точки в выбранных подписках.
- Обнаруживает все предыдущие установки Defender для конечной точки и перенастраивает их для интеграции с Defender для облака.
Используйте книгу состояния Defender для конечной точки, чтобы проверить состояние установки и развертывания Defender для конечной точки на компьютере Linux.
Включение нескольких подписок с помощью скрипта PowerShell
Используйте скрипт PowerShell из репозитория Defender для облака GitHub, чтобы включить защиту конечных точек на компьютерах Linux, которые находятся в нескольких подписках.
Управление конфигурацией автоматического обновления для Linux
В Windows обновления версий Defender для конечной точки предоставляются с помощью непрерывных база знаний обновлений; в Linux необходимо обновить пакет Defender для конечной точки. При использовании Defender для серверов с MDE.Linux расширением автоматические обновления для Microsoft Defender для конечной точки включены по умолчанию. Если вы хотите вручную управлять обновлениями версии Defender для конечной точки, вы можете отключить автоматические обновления на компьютерах. Для этого добавьте следующий тег для компьютеров, подключенных к расширению MDE.Linux .
- Имя тега: "ExcludeMdeAutoUpdate"
- Значение тега: true
Эта конфигурация поддерживается для виртуальных машин Azure и компьютеров Azure Arc, где MDE.Linux расширение инициирует автоматическое обновление.
Включение единого решения Microsoft Defender для конечной точки в масштабе
Вы также можете включить единое решение Defender для конечной точки в масштабе с помощью предоставленного REST API версии 2022-05-01. Полные сведения см. в документации по API.
Ниже приведен пример текста запроса PUT для включения единого решения Defender для конечной точки:
URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01
{
"name": "WDATP",
"type": "Microsoft.Security/settings",
"kind": "DataExportSettings",
"properties": {
"enabled": true
}
}
Отслеживание состояния развертывания MDE
Вы можете использовать книгу состояния развертывания Defender для конечной точки для отслеживания состояния развертывания Defender для конечной точки на виртуальных машинах Azure и компьютерах, отличных от Azure, подключенных через Azure Arc. Интерактивная книга содержит обзор компьютеров в вашей среде с состоянием развертывания расширения Microsoft Defender для конечной точки.
Доступ к порталу Microsoft Defender для конечной точки
Убедитесь, что учетная запись пользователя имеет необходимые разрешения. Дополнительные сведения см. в статье Назначение пользователям доступа к Центру безопасности в Microsoft Defender.
Проверьте наличие прокси-сервера или брандмауэра, блокирующего анонимный трафик. Датчик Defender для конечной точки подключается из системного контекста, поэтому необходимо разрешить анонимный трафик. Чтобы обеспечить неограниченный доступ к порталу Defender для конечной точки, следуйте инструкциям в разделе Включение доступа к URL-адресам служб на прокси-сервере.
Откройте портал Microsoft Defender. Сведения о Microsoft Defender для конечной точки в XDR в Microsoft Defender.
Отправка тестового оповещения
Чтобы настроить безопасное тестовое оповещение в Defender для конечной точки, выберите вкладку для используемой на конечной точке операционной системы:
Тестирование в Windows
Если на конечной точке используется Windows:
Создайте папку "C:\test-MDATP-test".
Используйте для доступа к компьютеру удаленный рабочий стол.
Откройте окно командной строки.
В командной строке скопируйте и выполните следующую команду: Окно командной строки закроется автоматически.
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
Если команда выполнена успешно, на панели мониторинга защиты рабочих нагрузок и на портале Microsoft Defender для конечной точки появится новое оповещение. Это оповещение может отобразиться через несколько минут.
Чтобы просмотреть оповещение в Defender для облака, перейдите в раздел Оповещения системы безопасности>Suspicious PowerShell CommandLine (Подозрительная командная строка PowerShell).
В окне исследования выберите ссылку, чтобы перейти на портал Microsoft Defender для конечной точки.
Совет
Оповещение активируется с уровнем серьезности Информационный.
Тестирование в Linux
Если на конечной точке используется Linux:
Скачайте средство проверки оповещений из: https://aka.ms/LinuxDIY
Извлеките содержимое полученного ZIP-файла и выполните скрипт оболочки:
./mde_linux_edr_diyЕсли команда выполнена успешно, на панели мониторинга защиты рабочих нагрузок и на портале Microsoft Defender для конечной точки появится новое оповещение. Это оповещение может отобразиться через несколько минут.
Чтобы проверить это оповещение в Defender для облака, откройте раздел Оповещения системы безопасности>Enumeration of files with sensitive data (Перечисление файлов с конфиденциальными данными).
В окне исследования выберите ссылку, чтобы перейти на портал Microsoft Defender для конечной точки.
Совет
Для этого оповещения устанавливается уровень серьезности Низкий.
Удаление Defender для конечной точки с компьютера
Чтобы удалить решение "Defender для конечной точки" с ваших компьютеров, выполните следующие действия.
Отключите интеграцию:
- В меню Defender для облака выберите Параметры среды, а затем выберите подписку с соответствующими компьютерами.
- На странице планов Defender выберите Параметры и мониторинг.
- В состоянии компонента Endpoint Protection нажмите кнопку "Отключить", чтобы отключить интеграцию с Microsoft Defender для конечной точки.
- Нажмите кнопку "Продолжить" и "Сохранить", чтобы сохранить параметры.
Удалите с компьютера расширение MDE.Windows/MDE.Linux.
Выполните действия, описанные в статье Отключение устройств от службы "Microsoft Defender для конечной точки" документации по Defender для конечной точки.