载入设备并配置 Microsoft Defender for Endpoint 功能
适用于:
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
希望体验 Defender for Endpoint? 注册免费试用版。
部署Microsoft Defender for Endpoint是一个双重过程。
- 将设备载入服务
- 配置服务的功能
将设备载入服务
需要转到 Defender for Endpoint 门户的载入部分,以载入任何受支持的设备。 根据设备的不同,你将指导你采取适当的步骤,并提供适合设备的管理和部署工具选项。
将设备载入到服务:
- 验证设备是否满足 最低要求
- 根据设备,按照 Defender for Endpoint 门户的载入部分中提供的配置步骤操作
- 为设备使用适当的管理工具和部署方法
- 运行检测测试以验证设备是否已正确载入并向服务报告
本文提供适用于 Windows 客户端和服务器版本的载入方法的信息。
载入和配置工具选项
下表列出了基于需要载入的终结点的可用工具。
| 端点 | 工具选项 |
|---|---|
| Windows 客户端 | 移动设备管理/Microsoft Intune 组策略 本地脚本 (多达 10 台设备) VDI 脚本 与 Microsoft Defender for Cloud 集成 |
| Windows Server | Microsoft Endpoint Configuration Manager 组策略 VDI 脚本 与 Microsoft Defender for Cloud 集成 |
| macOS | 本地脚本 Microsoft Endpoint Manager JAMF Pro 移动设备管理 |
| Linux Server | 本地脚本 木偶 Ansible 与 Microsoft Defender for Cloud 集成 |
| iOS | Microsoft Endpoint Manager |
| Android | Microsoft Endpoint Manager |
备注
对于不受 Microsoft Endpoint Manager (Microsoft Intune 或 Microsoft Endpoint Configuration Manager) 管理的设备,可以使用安全管理进行Microsoft Defender for Endpoint 直接从Endpoint Manager接收 Microsoft Defender 的安全配置。
下表列出了基于需要载入的终结点的可用工具。
配置服务的功能
载入设备可有效地实现终结点检测和响应功能Microsoft Defender for Endpoint。
载入设备后,需要配置服务的其他功能。 下表列出了可以配置的功能,以获得对环境的最佳保护。
| 功能 | 说明 |
|---|---|
| 配置威胁&漏洞管理 (TVM) | 威胁&漏洞管理是Microsoft Defender for Endpoint的组成部分,为安全管理员和安全运营团队提供独特的价值,包括: - 实时终结点检测和响应 (EDR) 与终结点漏洞相关的见解。 - 事件调查期间宝贵的设备漏洞上下文。 - 通过 Microsoft Intune 和 Microsoft System Center Configuration Manager 进行内置修正过程。 |
| 配置下一代保护 (NGP) | Microsoft Defender 防病毒是一种内置的反恶意软件解决方案,可为桌面、便携式计算机和服务器提供下一代保护。 Microsoft Defender 防病毒包括以下功能: -云提供的保护,用于近乎即时检测和阻止新威胁和新出现的威胁。 在机器学习和 Intelligent Security Graph 功能的基础上,Microsoft Defender 防病毒的下一代技术包括云提供的保护功能。 - 使用高级文件和进程行为监视和其他启发式扫描的 Always-on 扫描 (也称为“实时保护”) 。 - 基于机器学习、人工和自动化大数据分析以及深入的威胁抵抗研究的专用保护更新。 |
| 配置攻击面减少 (ASR) | Microsoft Defender for Endpoint中的攻击面减少功能有助于保护组织中的设备和应用程序免受新威胁和新出现的威胁。 |
| 配置自动调查&修正 (AIR) 功能 | Microsoft Defender for Endpoint使用自动调查大幅减少需要单独调查的警报量。 自动调查功能利用各种检查算法和分析员使用的流程 (如 playbook) 来检查警报并立即采取修正措施来解决违规问题。 这将极大地减少警报量,使安全操作专家能够专注于更复杂的威胁和其他高价值计划。 |
| 配置 Microsoft 威胁专家 (MTE) 功能 | Microsoft 威胁专家是一项托管搜寻服务,为安全操作中心 (SOC) 提供专家级别的监视和分析,以帮助他们确保其独特的环境中的关键威胁不会丢失。 |
Windows 设备支持的功能
| 操作系统 | Windows 10 & 11 | Windows Server 2012 R2 [1] | Windows Server 2016[1] | Windows Server 2019 & 2022 | Windows Server 1803+ |
|---|---|---|---|---|---|
| 预防 | |||||
| 攻击面减少规则 | Y | Y | Y | Y | Y |
| 设备控制 | Y | N | N | N | N |
| 防火墙 | Y | Y | Y | Y | Y |
| 网络保护 | Y | Y | Y | Y | Y |
| 下一代保护 | Y | Y | Y | Y | Y |
| 篡改防护 | Y | Y | Y | Y | Y |
| Web 保护 | Y | Y | Y | Y | Y |
| 检测 | |||||
| 高级搜寻 | Y | Y | Y | Y | Y |
| 自定义文件指示器 | Y | Y | Y | Y | Y |
| 自定义网络指示器 | Y | Y | Y | Y | Y |
| EDR 块&被动模式 | Y | Y | Y | Y | Y |
| 感知检测传感器 | Y | Y | Y | Y | Y |
| 终结点&网络设备发现 | Y | N | N | N | N |
| 响应 | |||||
| AIR) (自动调查&响应 | Y | Y | Y | Y | Y |
| 设备响应功能:隔离、收集调查包、运行 AV 扫描 | Y | Y | Y | Y | Y |
| 文件响应功能:收集文件、深度分析、阻止文件、停止和隔离过程 | Y | Y | Y | Y | Y |
| 实时响应 | Y | Y | Y | Y | Y |
(1) 是指适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案。 有关详细信息,请参阅 将 Windows Server 载入 Defender for Endpoint 服务。
备注
Windows 7、8.1、Windows Server 2008 R2 包括对 EDR 传感器的支持,以及使用 System Center Endpoint Protection (SCEP) 的 AV。