你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
通过 Defender for Cloud 的集成式 EDR 解决方案 Microsoft Defender for Endpoint 来保护终结点
借助 Microsoft Defender for Servers,你可以将 Microsoft Defender for Endpoint 计划 2 部署到服务器资源。 Microsoft Defender for Endpoint 是一种整体的、云交付的终结点安全解决方案。 主要功能如下:
- 基于风险的漏洞管理和评估
- 攻击面减少
- 基于行为的、由云提供支持的保护
- 终结点检测和响应 (EDR)
- 自动调查和补救
- 托管搜寻服务
提示
这款 EDR 产品最初以 Windows Defender ATP 的名称推出,在 2019 年重命名为 Microsoft Defender ATP。
在 Ignite 2020,我们推出了 Microsoft Defender for Cloud XDR 套件,并将这款 EDR 组件重命名为 Microsoft Defender for Endpoint (MDE)。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式发布版 (GA) |
| 定价: | 需要 Microsoft Defender for Servers 计划 1 或计划 2 |
| 支持的环境: |  运行 Windows/Linux 的支持 Azure Arc 的计算机运行 Linux 的 Azure VM(支持的版本) 运行 Windows Server 2022、2019、2016、2012 R2、2008 R2 SP1、Azure 虚拟桌面(以前称为 Windows 虚拟桌面)、Windows 10 企业版多会话(以前称为“企业版虚拟桌面”)的 Azure VM 运行 Windows 11 或 Windows 10 的 Azure VM(运行 Azure 虚拟桌面或 Windows 10 企业版多会话除外) |
| 所需角色和权限: | *• 启用/禁用集成:“安全管理员”或“所有者” *• 查看 Defender for Cloud 内的 Defender for Endpoint 警报:“安全读取者”、“读取者”、“资源组参与者”、“资源组所有者”、“安全管理员”、“订阅所有者”或“订阅参与者” |
| 云: | 商用云 Azure 政府(仅限 Windows)Azure 中国世纪互联 连接的 AWS 帐户 已连接的 GCP 项目 |
将 Microsoft Defender for Endpoint 与 Defender for Cloud 集成的优势
Microsoft Defender for Endpoint 计划 2 可保护 Windows 和 Linux 计算机,无论它们是托管在 Azure、混合云(本地)还是多云中。 保护包括:
高级入侵后检测传感器。 Defender for Endpoint 传感器可收集计算机中的大量行为信号。
Microsoft 威胁和漏洞管理解决方案中的漏洞评估。 安装 Microsoft Defender for Endpoint 后,Defender for Cloud 可以显示威胁和漏洞管理模块发现的漏洞,并可以提供此模块作为支持的漏洞评估解决方案。 若要了解详细信息,请参阅通过 Microsoft Defender for Endpoint 的威胁和漏洞管理调查弱点。
基于分析的、由云提供支持的入侵后检测。 Defender for Endpoint 可快速应对不断变化的威胁。 它使用高级分析和大数据。 Defender for Endpoint 借助 Intelligent Security Graph 的强大功能得以增强,并结合 Windows、Azure 和 Office 中的信号来检测未知威胁。 它提供可以采取措施的警报,并可让你快速做出响应。
威胁智能。 Defender for Endpoint 在识别攻击者工具、方法和过程时生成警报。 它使用 Microsoft 威胁猎人和安全团队生成的,并由合作伙伴提供的情报补充的数据。
通过将 Defender for Endpoint 与 Defender for Cloud,可受益于以下额外功能:
自动加入。 Defender for Cloud 会在连接 Defender for Cloud 的所有支持的计算机上自动启用 Defender for Endpoint 传感器。
单一虚拟管理平台。 Defender for Cloud 门户页面会显示 Defender for Endpoint 警报。 若要进一步调查,请使用 Microsoft Defender for Endpoint 本身的门户页面,其中提供其他信息,如警报流程树和事件图。 此外,还可以看到详细的机器时间线,其中显示了最长六个月的历史时段的每种行为。
对 Microsoft Defender for Endpoint 租户有哪些要求?
使用 Defender for Cloud 监视计算机时,系统会自动创建 Defender for Endpoint 租户。
- 位置: Defender for Endpoint 收集的数据存储在租户所在的地理位置(在预配期间确定)。 客户数据(采用假名)也可能存储在美国的中央存储和处理系统中。 配置位置后,无法对其进行更改。 如果自己有 Microsoft Defender for Endpoint 许可,并且需要将数据移动到其他位置,请联系 Microsoft 支持部门重置租户。
- 移动订阅: 如果在 Azure 租户之间移动了 Azure 订阅,还需要执行一些手动预备步骤,然后 Defender for Cloud 才会部署 Defender for Endpoint。 有关完整的详细信息,请联系 Microsoft 支持人员。
启用 Microsoft Defender for Endpoint 集成
先决条件
确认计算机满足 Defender for Endpoint 的必需要求:
确保已根据需要将计算机连接到 Azure 和 Internet:
Azure 虚拟机(Windows 或 Linux) :请按照配置设备代理和 Internet 连接设置:Windows 或 Linux 中所述配置网络设置。
本地计算机 - 将目标计算机连接到 Azure Arc,如将混合计算机连接到已启用 Azure Arc 的服务器中所述。
启用 Microsoft Defender for Servers。 请参阅快速入门:启用 Defender for Cloud 的增强安全功能。
重要
默认已启用安全中心与 Defender for Cloud 与 Microsoft Defender for Endpoint 的集成。 因此,启用增强安全功能即表示你同意 Microsoft Defender for Servers 访问与你的终结点的漏洞、已安装软件和警报相关的 Microsoft Defender for Endpoint 数据。
对于 Windows 服务器,请确保服务器满足加入 Microsoft Defender for Endpoint 的要求
如果已在 Azure 租户之间移动订阅,还需要执行一些手动预备步骤。 有关完整的详细信息,请联系 Microsoft 支持人员。
启用集成
新的 MDE 统一解决方案不使用或要求安装 Log Analytics 代理。 对于通过 Azure Arc 连接的所有 Windows 服务器和通过多云连接器连接的多云服务器,统一解决方案会自动部署,但受 Defender for Servers 计划 2 保护的 Azure 上的 Windows 2012 R2 和 2016 服务器除外。 可以选择将 MDE 统一解决方案部署到这些计算机。
你将通过以下两种方式之一将 Defender for Endpoint 部署到 Windows 计算机 - 具体取决于是否已将其部署到你的 Windows 计算机:
- 启用了 Defender for Servers 并部署了 Microsoft Defender for Endpoint 的用户
- 从未启用过与 Microsoft Defender for Endpoint 集成的新用户
启用了 Defender for Servers 并部署了 Microsoft Defender for Endpoint 的用户
如果已启用与 Defender for Endpoint 的集成,可以完全控制何时以及是否将 MDE 统一解决方案部署到 Windows 计算机。
在 Defender for Cloud 的菜单中,选择“环境设置”,然后选择包含要接收 Defender for Endpoint 的 Windows 计算机的订阅。
选择“集成”。 如果按下图所示已选择“允许 Microsoft Defender for Endpoint 访问我的数据”复选框,则可知集成已启用:
注意
如果未选择,请按从未启用过与适用于 Windows 的 Microsoft Defender for Endpoint 集成的用户中的说明操作。
若要将 MDE 统一解决方案部署到 Windows Server 2012 R2 和 2016 计算机:
- 选择“启用统一解决方案”。
- 选择“保存”。
- 在确认提示中,验证信息并选择“启用”以继续。
Microsoft Defender for Cloud 将执行以下操作:
- 停止 Log Analytics 代理中为 Defender for Servers 收集数据的现有 MDE 进程。
- 为所有现有和新 Windows Server 2012 R2 和 2016 计算机安装 MDE 统一解决方案。
- 从集成选项中删除“启用统一解决方案”。
Microsoft Defender for Cloud 会自动将你的计算机加入 Microsoft Defender for Endpoint。 加入过程可能最多需要 12 小时。 对于启用集成后创建的新计算机,载入最多需要一小时。
注意
如果选择不将 MDE 统一解决方案部署到 Defender for Servers 计划 2 中的 Windows 2012 R2 和 2016 服务器,然后将 Defender for Servers 降级到计划 1,则 MDE 统一解决方案不会部署到这些服务器,以便现有部署在未经明确同意的情况下不会更改。
从未启用过与适用于 Windows 的 Microsoft Defender for Endpoint 的集成的用户
如果从未为 Windows 启用过集成,则“允许 Microsoft Defender for Endpoint 访问我的数据”选项将启用 Defender for Cloud,将 Defender for Endpoint 同时部署到 Windows 和 Linux 计算机。
在 Defender for Cloud 的菜单中,选择“环境设置”,然后选择包含要接收 Defender for Endpoint 的计算机的订阅。
选择“集成”。
选择“允许 Microsoft Defender for Endpoint 访问我的数据”,然后选择“保存” 。
MDE 代理统一解决方案部署到所选订阅中的所有计算机。
访问 Microsoft Defender for Endpoint 门户
确保用户帐户具有必需权限。 有关详细信息,请参阅向 Microsoft Defender 安全中心分配用户访问权限。
检查代理或防火墙是否阻止匿名流量。 Defender for Endpoint 传感器从系统上下文进行连接,因此必须允许匿名流量。 若要确保访问 Defender for Endpoint 门户不受阻碍,请按照在代理服务器中启用对服务 URL 的访问中的说明进行操作。
打开 Defender for Endpoint 安全中心门户。 有关该门户的功能和图标的详细信息,请参阅 Defender for Endpoint 安全中心门户概述。
发送测试警报
若要从 Defender for Endpoint 中生成良性测试警报,请选择相关的终结点操作系统的选项卡:
对于运行 Windows 的终结点,请执行以下操作:
创建文件夹“C:\test-MDATP-test”。
使用远程桌面访问计算机。
打开命令行窗口。
在提示符下,复制并运行以下命令。 命令提示符窗口将自动关闭。
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
如果该命令成功,工作负载保护仪表板和 Microsoft Defender for Endpoint 门户中会显示一条新警报。 此警报可能要在几分钟之后才显示。
若要在 Microsoft Defender for Cloud 查看该警报,请转到“安全警报”>“可疑的 PowerShell 命令行”。
在调查窗口中,选择相应的链接转到 Microsoft Defender for Endpoint 门户。
提示
此警报由“信息”严重性触发。
从计算机中删除 Defender for Endpoint
若要从计算机中删除 Defender for Endpoint 解决方案,请运行以下操作:
禁用集成:
- 从 Defender for Cloud 的菜单中,选择“环境设置”,然后选择相关计算机的订阅。
- 打开“集成”并清除“允许 Microsoft Defender for Endpoint 访问我的数据”的复选框。
- 选择“保存”。
从计算机中删除 MDE.Windows/MDE.Linux 扩展。
按照 Defender for Endpoint 文档中的 Microsoft Defender for Endpoint 服务中的登出设备中所述步骤操作。
FAQ - Microsoft Defender for Cloud 与 Microsoft Defender for Endpoint 的集成
- 计算机上运行的这个 “MDE.Windows”/“MDE.Linux”扩展是什么?
- Microsoft Defender for Endpoint 有哪些许可要求?
- 如果已有 Microsoft Defender for Endpoint 许可证,能否获得 Microsoft Defender for Servers 的折扣?
- 如何从第三方 EDR 工具进行切换?
计算机上运行的这个“MDE.Windows”/“MDE.Linux”扩展是什么?
过去,Microsoft Defender for Endpoint 由 Log Analytics 代理预配。 扩展支持以包括 Windows Server 2019 和 Linux 时,我们还添加了一个扩展来执行自动载入。
Defender for Cloud 会自动将扩展部署到运行以下内容的计算机:
- Windows Server 2019 和 Windows Server 2022。
- Azure 虚拟桌面上的 Windows 10。
- 其他版本的 Windows Server,前提是 Defender for Cloud 无法识别操作系统版本(例如,使用自定义 VM 映像时)。 在这种情况下,Microsoft Defender for Endpoint 仍由 Log Analytics 代理预配。
- Linux。
重要
如果删除 MDE.Windows/MDE.Linux 扩展,系统不会删除 Microsoft Defender for Endpoint。 有关登出,请参阅登出 Windows 服务器。
我已启用解决方案,但“MDE.Windows”/“MDE.Linux”扩展未在计算机上显示
如果已启用集成,但仍未看到扩展在计算机上运行:
- 如果启用解决方案后未超过 12 小时,则需要等到此时间段结束才可确定存在需要调查的问题。
- 如果 12 小时后仍未看到扩展在计算机上运行,请检查是否满足集成的先决条件。
- 确保已为与要调查的计算机相关的订阅启用 Microsoft Defender for Servers 计划。
- 如果在 Azure 租户之间移动了 Azure 订阅,还需要执行一些手动预备步骤,然后 Defender for Cloud 才会部署 Defender for Endpoint。 有关完整的详细信息,请联系 Microsoft 支持人员。
Microsoft Defender for Endpoint 有哪些许可要求?
Microsoft Defender for Servers 附带的 Defender for Endpoint 无需额外付费。 或者,可以为 50 台及以上数量的计算机单独购买许可。
如果已有 Microsoft Defender for Endpoint 许可证,能否获得 Microsoft Defender for Servers 的折扣?
如果你已获得适用于服务器的 Defender for Endpoint 的许可证,则无需为 Microsoft Defender for Servers 计划 2 许可证的相应部分付费。 详细了解 Microsoft 365 许可证。
若要请求折扣,请联系 Defender for Cloud 的支持团队。 需要提供相关的工作区 ID、区域以及为给定工作区中的计算机应用的适用于服务器的 Microsoft Defender for Endpoint 许可证数。
该折扣将从批准之日起生效,且不具追溯效力。
如何从第三方 EDR 工具进行切换?
有关从非 Microsoft 终结点解决方案进行切换的完整说明,请参阅 Microsoft Defender for Endpoint 文档:迁移概述。
Defender for Servers 支持哪个 Microsoft Defender for Endpoint 计划?
Defender for Servers 计划 1 和计划 2 提供 Microsoft Defender for Endpoint 计划 2 的功能。 -->