Настройка столбов Microsoft 365 Defender для пробной лаборатории или пилотной средыConfigure Microsoft 365 Defender pillars for your trial lab or pilot environment

Важно!

Доступен улучшенный Центр безопасности Microsoft 365.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Создание пробной лаборатории или пилотной среды Microsoft 365 Defender и ее развертывание — это трех этапный процесс:Creating a Microsoft 365 Defender trial lab or pilot environment and deploying it is a three-phase process:

Этап 1. ПодготовкаPhase 1: Prepare
Этап 1. ПодготовкаPhase 1: Prepare
Этап 2. НастройкаPhase 2: Set up
Этап 2. НастройкаPhase 2: Set up
Этап 3. Подключение
Этап 3. ПодключениеPhase 3: Onboard
Назад к пилотуBack to pilot
Вернуться к экспериментальной книге воспроизведенияBack to pilot playbook
Вы здесь!You are here!

Вы в настоящее время на этапе конфигурации.You're currently in the configuration phase.

Подготовка является ключом к успешному развертыванию.Preparation is key to any successful deployment. В этой статье вы будете ориентироваться на точки, которые необходимо учитывать при подготовке к развертыванию Microsoft Defender для конечной точки.In this article, you'll be guided on the points you'll need to consider as you prepare to deploy Microsoft Defender for Endpoint.

Столбы Защитника Microsoft 365Microsoft 365 Defender pillars

Microsoft 365 Defender состоит из четырех столпов.Microsoft 365 Defender consists of four pillars. Хотя один из столбов уже может обеспечить безопасность вашей сетевой организации, включение четырех столбов Microsoft 365 Defender даст вашей организации наибольшее значение.Although one pillar can already provide value to your network organization's security, enabling the four Microsoft 365 Defender pillars will give your organization the most value.

Решение of_Microsoft 365 Defender для пользователей, Microsoft Defender for Identity, для конечных точек Microsoft Defender для конечной точки, для облачных приложений, microsoft Cloud App Security и для данных, Microsoft Defender для Office 365

В этом разделе вы сможете настроить:This section will guide you to configure:

  • Microsoft Defender для Office 365Microsoft Defender for Office 365
  • Microsoft Defender для удостоверенийMicrosoft Defender for Identity
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Microsoft Defender для конечной точкиMicrosoft Defender for Endpoint

Настройка Microsoft Defender для Office 365Configure Microsoft Defender for Office 365

Примечание

Пропустить этот шаг, если вы уже включили Defender для Office 365.Skip this step if you've already enabled Defender for Office 365.

Существует модуль PowerShell под названием Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA), который помогает определить некоторые из этих параметров.There's a PowerShell Module called the Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) that helps determine some of these settings. При запуске в качестве администратора в клиенте get-ORCAReport поможет сгенерировать оценку параметров защиты от нежелательной почты, защиты от фишинга и других параметров гигиены сообщений.When run as an administrator in your tenant, get-ORCAReport will help generate an assessment of the anti-spam, anti-phish, and other message hygiene settings. Этот модуль можно скачать из https://www.powershellgallery.com/packages/ORCA/ .You can download this module from https://www.powershellgallery.com/packages/ORCA/.

  1. Перейдите к политике управления безопасностью Центра & Office 365. > > Navigate to Office 365 Security & Compliance Center > Threat management > Policy.

    Страница of_Office 365 & центра управления угрозами

  2. Нажмите кнопку "Анти-фишинг", выберите Создать и заполнить имя и описание политики.Click Anti-phishing, select Create and fill in the policy name and description. Нажмите кнопку Далее.Click Next.

    Страница of_Office 365 & центра по борьбе с фишингом, на которой можно назвать политику

    Примечание

    Изменение политики расширенных антифишинга в Microsoft Defender для Office 365.Edit your Advanced anti-phishing policy in Microsoft Defender for Office 365. Измените расширенный порог фишинга на 2 - Aggressive.Change Advanced Phishing Threshold to 2 - Aggressive.

  3. Нажмите кнопку Добавить выпадаемое меню условия и выберите домен (s) в качестве домена получателя.Click the Add a condition drop-down menu and select your domain(s) as recipient domain. Нажмите кнопку Далее.Click Next.

    Страница of_Office 365 & центра защиты от фишинга, на которой можно добавить условие для его приложения

  4. Просмотрите параметры.Review your settings. Нажмите кнопку Создать эту политику, чтобы подтвердить.Click Create this policy to confirm.

    Страница of_Office 365 & центра по борьбе с фишингом, на которой можно просмотреть параметры и нажать кнопку создать эту политику

  5. Выберите безопасные вложения и выберите параметр Включить ATP для SharePoint, OneDrive и Microsoft Teams.Select Safe Attachments and select the Turn on ATP for SharePoint, OneDrive, and Microsoft Teams option.

    Страница of_Office 365 & безопасности, на которой можно включить atP для SharePoint, OneDrive и Microsoft Teams

  6. Щелкните значок +, чтобы создать новую политику безопасного вложения, применить ее в качестве домена получателя к доменам.Click the + icon to create a new safe attachment policy, apply it as recipient domain to your domains. Нажмите кнопку Сохранить.Click Save.

    Страница of_Office 365 & безопасности, на которой можно создать новую политику безопасного вложения

  7. Далее выберите политику безопасных ссылок, а затем нажмите значок карандаша, чтобы изменить политику по умолчанию.Next, select the Safe Links policy, then click the pencil icon to edit the default policy.

  8. Убедитесь, что не отслеживайте, когда пользователи щелкают параметр безопасных ссылок, а остальные параметры выбраны.Make sure that the Do not track when users click safe links option is not selected, while the rest of the options are selected. Подробные сведения см. в параметрах Безопасные ссылки.See Safe Links settings for details. Нажмите кнопку Сохранить.Click Save.

    Страница of_Office 365 & центра соответствия требованиям, которая показывает, что параметр Не отслеживайте, когда пользователи щелкают безопасно, не выбран

  9. Далее выберите политику борьбы с вредоносными программами, выберите значение по умолчанию и выберите значок карандаша.Next select the Anti-malware policy, select the default, and choose the pencil icon.

  10. Щелкните Параметры и выберите Да и используйте текст уведомления по умолчанию, чтобы включить ответ обнаружения вредоносных программ.Click Settings and select Yes and use the default notification text to enable Malware Detection Response. Включив фильтр типов общих вложений.Turn the Common Attachment Types Filter on. Нажмите кнопку Сохранить.Click Save.

    Страница of_Office 365 & центра соответствия требованиям, которая показывает, что ответ на обнаружение вредоносных программ включен с помощью уведомления по умолчанию и включен фильтр типов вложений

  11. Перейдите к журналу поиска журнала аудита безопасности Office 365 &Центра аудита соответствия требованиям и > > включив аудит.Navigate to Office 365 Security & Compliance Center > Search > Audit log search and turn Auditing on.

    Страница of_Office 365 & центра соответствия требованиям, на которой можно включить поиск журнала аудита

  12. Интеграция Microsoft Defender для Office 365 с Microsoft Defender для конечной точки.Integrate Microsoft Defender for Office 365 with Microsoft Defender for Endpoint. Перейдите в центр управления & Office 365и выберите Microsoft Defender для параметров конечной точки в правом верхнем углу > > экрана. Navigate to Office 365 Security & Compliance Center > Threat management > Explorer and select Microsoft Defender for Endpoint Settings on the upper right corner of the screen. В диалоговом окне Защитник для конечной точки включите подключение к Microsoft Defender для конечной точки.In the Defender for Endpoint connection dialog box, turn on Connect to Microsoft Defender for Endpoint.

    Страница of_Office 365 & безопасности, на которой можно включить подключение Microsoft Defender для конечной точки

Настройка Microsoft Defender для удостоверенийConfigure Microsoft Defender for Identity

Примечание

Пропустить этот шаг, если вы уже включили Microsoft Defender для identitySkip this step if you've already enabled Microsoft Defender for Identity

  1. Перейдите в Центр безопасности Microsoft 365 > выберите дополнительные ресурсы Microsoft Defender для > удостоверения.Navigate to Microsoft 365 Security Center > select More Resources > Microsoft Defender for Identity.

    Страница of_Microsoft 365 Центр безопасности, на которой можно открыть Microsoft Defender для удостоверений

  2. Нажмите кнопку Создать, чтобы запустить мастер Microsoft Defender для удостоверений.Click Create to start the Microsoft Defender for Identity wizard.

    Страница мастера of_Microsoft Defender for Identity, на которой необходимо нажать кнопку Создать

  3. Выберите Предоставление имени пользователя и пароля для подключения к лесу Active Directory.Choose Provide a username and password to connect to your Active Directory forest.

    Приветственный of_Microsoft Защитник удостоверений

  4. Введите учетные данные Active Directory на месте.Enter your Active Directory on-premises credentials. Это может быть любая учетная запись пользователя, которая имеет доступ к active Directory.This can be any user account that has read access to Active Directory.

    Страница of_Microsoft defender for Identity Directory, на которой необходимо поместить учетные данные

  5. Далее выберите настройка датчика загрузки и передача файла на контроллер домена.Next, choose Download Sensor Setup and transfer file to your domain controller.

    Страница of_Microsoft Defender для удостоверений, на которой можно выбрать установку датчика загрузки

  6. Выполните установку датчика идентификации Microsoft Defender для идентификации и начните следовать за мастером.Execute the Microsoft Defender for Identity Sensor Setup and begin following the wizard.

    Страница of_Microsoft Defender для удостоверения, на которой необходимо щелкнуть далее, чтобы следовать мастеру датчика идентификации Microsoft Defender для удостоверений

  7. Нажмите кнопку Далее в типе развертывания датчика.Click Next at the sensor deployment type.

    Страница of_Microsoft Defender для удостоверения, на которой необходимо щелкнуть кнопку далее, чтобы перейти на следующую страницу

  8. Скопируйте ключ доступа, так как необходимо ввести его далее в мастере.Copy the access key because you need to enter it next in the Wizard.

    Страница of_the датчиков, на которой необходимо скопировать ключ доступа, который необходимо ввести на следующей странице мастера установки датчика настройки сенсора Microsoft Defender для удостоверений

  9. Скопируйте ключ доступа в мастер и нажмите кнопку Установить.Copy the access key into the Wizard and click Install.

    Страница мастера of_Microsoft защитника для датчика удостоверений, на которой необходимо предоставить ключ доступа, а затем нажать кнопку установки

  10. Поздравляем, вы успешно настроили Microsoft Defender для identity на контроллере домена.Congratulations, you've successfully configured Microsoft Defender for Identity on your domain controller.

    Завершение of_Microsoft защитника для мастера установки датчика удостоверений, на котором необходимо нажать кнопку готовой

  11. В разделе Защитник Майкрософт для параметров удостоверений выберите **Microsoft Defender для конечной точки **, а затем включив переключить.Under the Microsoft Defender for Identity settings section, select **Microsoft Defender for Endpoint **, then turn on the toggle. Нажмите кнопку Сохранить.Click Save.

    Страница of_the защитника Майкрософт для параметров удостоверений, на которой необходимо включить переключить параметры Microsoft Defender для конечной точки

Настройка безопасности облачных приложений МайкрософтConfigure Microsoft Cloud App Security

Примечание

Пропустить этот шаг, если вы уже включили microsoft Cloud App Security.Skip this step if you've already enabled Microsoft Cloud App Security.

  1. Перейдите в Центр безопасности Microsoft 365 > Дополнительные ресурсы Microsoft Cloud App > Security.Navigate to Microsoft 365 Security Center > More Resources > Microsoft Cloud App Security.

    Страница of_Microsoft центра безопасности 365, на которой можно увидеть карту Microsoft Cloud App и нажать кнопку открыть

  2. На информационном запросе для интеграции Microsoft Defender для удостоверений выберите Включить Microsoft Defender для интеграции данных удостоверений.At the information prompt to integrate Microsoft Defender for Identity, select Enable Microsoft Defender for Identity data integration.

    Подсказка of_the для интеграции Microsoft Defender для удостоверений, где необходимо выбрать ссылку Включить microsoft Defender для интеграции данных удостоверений

    Примечание

    Если вы не видите эту подсказку, это может означать, что интеграция данных Microsoft Defender для удостоверений уже включена.If you don’t see this prompt, it might mean that your Microsoft Defender for Identity data integration has already been enabled. Однако, если вы не уверены, обратитесь к ИТ-администратору, чтобы подтвердить это.However, if you are not sure, contact your IT Administrator to confirm.

  3. Перейдите к параметрам, включите переключить кнопку Microsoft Defender для интеграции удостоверений, а затем нажмите кнопку Сохранить.Go to Settings, turn on the Microsoft Defender for Identity integration toggle, then click Save.

    Страница of_the, на которой необходимо включить переключению интеграции Microsoft Defender для удостоверений, а затем нажмите кнопку сохранить

    Примечание

    Для новых экземпляров Microsoft Defender для удостоверений эта интеграция автоматически включена.For new Microsoft Defender for Identity instances, this integration toggle is automatically turned on. Подтвердите, что интеграция Microsoft Defender для удостоверений включена, прежде чем приступить к следующему шагу.Confirm that your Microsoft Defender for Identity integration has been enabled before you proceed to the next step.

  4. В настройках обнаружения облака выберите Microsoft Defender для интеграции конечных точек, а затем в этом параметре включить интеграцию.Under the Cloud discovery settings, select Microsoft Defender for Endpoint integration, then enable the integration. Нажмите кнопку Сохранить.Click Save.

    Изображение of_the для страницы Microsoft Defender для конечной точки, на которой выбирается блок несанкционированная проверка приложений в рамках интеграции Microsoft Defender для конечной точки.

  5. В параметрах обнаружения облака выберите обогащение пользователей, а затем включить интеграцию с Azure Active Directory.Under Cloud discovery settings, select User enrichment, then enable the integration with Azure Active Directory.

    Изображение раздела Обогащение пользователей, в котором выбирается обогащение обнаруженных идентификаторов пользователей с помощью контрольного ящика имен пользователей Azure Active Directory.

Настройка Microsoft Defender для конечной точкиConfigure Microsoft Defender for Endpoint

Примечание

Пропустить этот шаг, если вы уже включили Microsoft Defender для конечной точки.Skip this step if you've already enabled Microsoft Defender for Endpoint.

  1. Перейдите в Центр безопасности Microsoft 365 > Дополнительные ресурсы Microsoft Defender Security > Center.Navigate to Microsoft 365 Security Center > More Resources > Microsoft Defender Security Center. Нажмите кнопку Open (Открыть).Click Open.

    Параметр of_Microsoft Центр безопасности Защитника на странице Microsoft 365 Центр безопасности

  2. Следуйте мастеру Microsoft Defender для конечных точек.Follow the Microsoft Defender for Endpoint wizard. Нажмите кнопку Далее.Click Next.

    Страница of_the Центра безопасности Защитника Майкрософт

  3. Выбор зависит от предпочтительного расположения хранилища данных, политики хранения данных, размера организации и выбора функций предварительного просмотра.Choose based on your preferred data storage location, data retention policy, organization size, and opt-in for preview features.

    Страница of_the для выбора страны хранения данных, политики хранения и размера организации.

    Примечание

    Вы не можете изменить некоторые параметры, например расположение хранилища данных.You cannot change some of the settings, like data storage location, afterwards.

    Нажмите кнопку Далее.Click Next.

  4. Нажмите кнопку Продолжить, и она будет поддерживать защитника Microsoft для клиента конечной точки.Click Continue and it will provision your Microsoft Defender for Endpoint tenant.

    Запрос of_the страницы, нажав кнопку продолжить для создания облачного экземпляра

  5. На борту конечных точек с помощью групповых политик, microsoft Endpoint Manager или запуска локального сценария в Microsoft Defender для конечной точки.Onboard your endpoints through Group Policies, Microsoft Endpoint Manager or by running a local script to Microsoft Defender for Endpoint. Для простоты в этом руководстве используется локальный сценарий.For simplicity, this guide uses the local script.

  6. Нажмите кнопку Скачать пакет и скопируйте сценарий в конечной точке (ы).Click Download package and copy the onboarding script to your endpoint(s).

    Изображение of_page нажать кнопку Пакет загрузки, чтобы скопировать сценарий включения в конечную точку или конечные точки

  7. На конечной точке запустите сценарий в качестве администратора и выберите Y.On your endpoint, run the onboarding script as Administrator and choose Y.

    Командная of_the, в которой вы запустите сценарий бортовой работы и выберите Y для работы

  8. Поздравляем, вы вошел в первую конечную точку.Congratulations, you've onboarded your first endpoint.

    Изображение of_the, где вы получаете подтверждение того, что вы на борту вашей первой конечной точки.

  9. Скопируйте тест обнаружения в мастере Microsoft Defender для конечных точек.Copy-paste the detection test from the Microsoft Defender for Endpoint wizard.

    Image of_the выполнить тестовый шаг обнаружения, на котором необходимо нажать копию, чтобы скопировать сценарий тестирования обнаружения, который необходимо вклеить в командную подсказку

  10. Скопируйте скрипт PowerShell в командную команду и запустите его.Copy the PowerShell script to an elevated command prompt and run it.

    Подсказка of_command, где следует скопировать сценарий PowerShell в командную команду и запустить его

  11. Выберите Начните использовать Microsoft Defender для конечной точки из мастера.Select Start using Microsoft Defender for Endpoint from the Wizard.

    Запрос of_the подтверждения от мастера, где необходимо нажать кнопку Начните использовать Microsoft Defender для конечной точки

  12. Посетите Центр безопасности Защитника Майкрософт.Visit the Microsoft Defender Security Center. Перейдите в параметры и выберите расширенные функции.Go to Settings and then select Advanced features.

    Меню of_Microsoft Центра безопасности Защитника, в котором необходимо выбрать расширенные функции

  13. Включи интеграцию с Microsoft Defender для удостоверений.Turn on the integration with Microsoft Defender for Identity.

    Расширенные of_Microsoft Центра безопасности Защитника, параметр Microsoft Defender для удостоверений, чтобы включить

  14. Включи интеграцию с Office 365 Threat Intelligence.Turn on the integration with Office 365 Threat Intelligence.

    Расширенные of_Microsoft Центра безопасности Защитника, параметр Office 365 Threat Intelligence, который необходимо включить

  15. Включение интеграции с microsoft Cloud App Security.Turn on integration with Microsoft Cloud App Security.

    Расширенные of_Microsoft центр безопасности Defender, параметр Microsoft Cloud App Security, чтобы включить

  16. Прокрутите вниз и нажмите кнопку Сохранить параметры, чтобы подтвердить новые интеграции.Scroll down and click Save preferences to confirm the new integrations.

    Кнопка of_Save, которую необходимо нажать

Запуск службы Microsoft 365 DefenderStart the Microsoft 365 Defender service

Примечание

Начиная с 1 июня 2020 г. Корпорация Майкрософт автоматически включает функции Microsoft 365 Defender для всех подходящих клиентов.Starting June 1, 2020, Microsoft automatically enables Microsoft 365 Defender features for all eligible tenants. Подробнее см. в статье Microsoft Tech Community о праве на лицензию.See this Microsoft Tech Community article on license eligibility for details.

Перейдите в Центр безопасности Microsoft 365.Go to Microsoft 365 Security Center. Перейдите к параметрам и выберите Защитник Microsoft 365.Navigate to Settings and then select Microsoft 365 Defender.

Снимок of_Microsoft 365 Defender со страницы Параметры Центра безопасности Microsoft 365Image of_Microsoft 365 Defender option screenshot from the Microsoft 365 Security Center Settings page

Дополнительные рекомендации см. в обзоре Turn on Microsoft 365 Defender.For a more comprehensive guidance, see Turn on Microsoft 365 Defender.

Поздравляем!Congratulations! Вы только что создали пробную лабораторию Или пилотную среду Microsoft 365 Defender!You've just created your Microsoft 365 Defender trial lab or pilot environment! Теперь вы можете ознакомиться с пользовательским интерфейсом Microsoft 365 Defender!Now you can familiarize yourself with the Microsoft 365 Defender user interface! Узнайте, что можно узнать из следующего интерактивного руководства Microsoft 365 Defender и узнайте, как использовать каждую панель мониторинга для выполнения задач ежедневной работы с безопасностью.See what you can learn from the following Microsoft 365 Defender interactive guide and know how to use each dashboard for your day-to-day security operation tasks.

Ознакомьтесь с интерактивным руководствомCheck out the interactive guide

Далее можно смоделировать атаку и увидеть, как возможности кросс-продукта обнаруживают, создают оповещения и автоматически реагируют на без файловую атаку на конечной точке.Next, you can simulate an attack and see how the cross product capabilities detect, create alerts, and automatically respond to a fileless attack on an endpoint.

Следующий шагNext step