Sdílet prostřednictvím


Povolení integrace Defenderu pro koncový bod

Integrace Microsoft Defenderu pro cloud s Microsoft Defenderem for Endpoint poskytuje cloudové řešení zabezpečení koncových bodů, které nabízí širokou škálu funkcí. Integrace poskytuje správa ohrožení zabezpečení a posouzení na základě rizik, což pomáhá identifikovat a určit prioritu ohrožení zabezpečení, která je potřeba řešit. Řešení také zahrnuje snížení prostoru pro útoky, což pomáhá minimalizovat prostor pro útoky koncových bodů a také ochranu založenou na chování a cloudové ochraně, která umožňuje detekovat hrozby a reagovat na ně. Microsoft Defender for Endpoint navíc nabízí detekce a reakce u koncových bodů (EDR), automatické vyšetřování a nápravu a spravované služby proaktivního vyhledávání, které organizacím pomáhají rychle zjišťovat, zkoumat a reagovat na bezpečnostní incidenty.

Požadavky

Než budete moct povolit integraci Microsoft Defenderu for Endpoint s defenderem pro cloud, musíte ověřit, že váš počítač splňuje nezbytné požadavky pro Defender for Endpoint:

  • Podle potřeby se ujistěte, že je počítač připojený k Azure a internetu:

  • Povolte Microsoft Defender for Servers. Viz Rychlý start: Povolení funkcí rozšířeného zabezpečení v programu Defender for Cloud.

    Důležité

    Integrace Defenderu pro cloud s Microsoft Defenderem for Endpoint je ve výchozím nastavení povolená. Když tedy povolíte vylepšené funkce zabezpečení, udělíte souhlas programu Microsoft Defender for Servers pro přístup k datům Microsoft Defenderu for Endpoint související s chybami zabezpečení, nainstalovaným softwarem a výstrahami pro vaše koncové body.

  • U serverů s Windows se ujistěte, že vaše servery splňují požadavky na onboarding programu Microsoft Defender for Endpoint.

  • Pro servery s Linuxem musíte mít nainstalovaný Python. Python 3 se doporučuje pro všechna distribuce, ale vyžaduje se pro RHEL 8.x a Ubuntu 20.04 nebo vyšší. V případě potřeby si přečtěte podrobné pokyny k instalaci Pythonu v Linuxu.

  • Pokud jste přesunuli předplatné mezi tenanty Azure, vyžadují se také některé ruční přípravné kroky. Podrobnosti získáte od podpory Microsoftu.

Povolení integrace

Windows

Jednotné řešení Defenderu pro koncový bod nepoužívá nebo nevyžaduje instalaci agenta Log Analytics. Jednotné řešení se automaticky nasadí pro servery Azure Windows 2012 R2 a 2016, servery Windows připojené přes Azure Arc a multicloudové servery Windows připojené prostřednictvím konektorů s více cloudy.

Defender for Endpoint nasadíte na počítače s Windows jedním ze dvou způsobů – v závislosti na tom, jestli jste ho už nasadili na počítače s Windows:

Uživatelé s povoleným defenderem pro servery a nasazeným Microsoft Defenderem for Endpoint

Pokud jste už povolili integraci s programem Defender for Endpoint, máte úplnou kontrolu nad tím, kdy a jestli chcete do počítačů s Windows nasadit jednotné řešení Defenderu for Endpoint.

Pokud chcete nasadit sjednocené řešení Defender for Endpoint, musíte použít volání rozhraní REST API nebo Azure Portal:

  1. V nabídce Defenderu pro cloud vyberte Nastavení prostředí a vyberte předplatné s počítači s Windows, které chcete dostávat defender pro koncový bod.

  2. Ve sloupci Pokrytí monitorování v plánu Defender for Servers vyberte Nastavení.

    Stav komponenty Endpoint Protections je částečný, což znamená, že nejsou povoleny všechny části komponenty.

  3. Výběrem možnosti Opravit zobrazíte součásti, které nejsou povolené.

    Snímek obrazovky s tlačítkem Opravit, které umožňuje podporu Microsoft Defenderu for Endpoint

  4. Pokud chcete povolit jednotné řešení pro počítače s Windows Serverem 2012 R2 a 2016, vyberte Povolit.

    Snímek obrazovky s povolením jednotného řešení Defender for Endpoint pro počítače s Windows Serverem 2012 R2 a 2016

  5. Změny uložíte tak, že v horní části stránky vyberete Uložit a pak na stránce Nastavení a monitorování vyberete Pokračovat .

Microsoft Defender for Cloud bude:

  • Zastavte stávající proces Defenderu pro koncový bod v agentu Log Analytics, který shromažďuje data pro Defender for Servers.
  • Nainstalujte sjednocené řešení Defender for Endpoint pro všechny existující a nové počítače s Windows Serverem 2012 R2 a 2016.

Microsoft Defender for Cloud automaticky nasadí vaše počítače do programu Microsoft Defender for Endpoint. Onboarding může trvat až 12 hodin. U nových počítačů vytvořených po povolení integrace trvá registrace až hodinu.

Poznámka:

Pokud se rozhodnete nenasazovat sjednocené řešení Defender for Endpoint na servery Se systémem Windows 2012 R2 a 2016 v programu Defender for Servers Plan 2 a pak downgrade Defender for Servers na Plán 1, jednotné řešení Defender for Endpoint se na tyto servery nenasadí, aby se vaše stávající nasazení bez vašeho výslovného souhlasu nezměnilo.

Uživatelé, kteří nikdy nepovolili integraci s Microsoft Defenderem for Endpoint pro Windows

Pokud jste integraci s Windows nikdy nepovolili, služba Endpoint Protection umožňuje defenderu for Cloud nasadit Defender for Endpoint na počítače s Windows i Linuxem.

Pokud chcete nasadit jednotné řešení Defenderu pro koncový bod, budete muset použít volání rozhraní REST API nebo Azure Portal:

  1. V nabídce Defenderu pro cloud vyberte Nastavení prostředí a vyberte předplatné s počítači, které chcete dostávat defender for Endpoint.

  2. Ve stavu komponenty Endpoint Protection vyberte Zapnuto a povolte integraci s Microsoft Defenderem for Endpoint.

    Snímek obrazovky s přepínačem Stav, který umožňuje Microsoft Defender for Endpoint

Jednotné řešení agenta Defender for Endpoint se nasadí na všechny počítače ve vybraném předplatném.

Linux

Defender for Endpoint nasadíte na počítače s Linuxem jedním z těchto způsobů v závislosti na tom, jestli jste ho už nasadili na počítače s Windows:

Poznámka:

Když povolíte automatické nasazení, přeruší se instalace defenderu for Endpoint pro Linux na počítačích s již existujícími spuštěnými službami pomocí fanotify a dalších služeb, které můžou také způsobit selhání defenderu for Endpoint nebo může být ovlivněn programem Defender for Endpoint, jako jsou služby zabezpečení. Po ověření potenciálních problémů s kompatibilitou doporučujeme na tyto servery ručně nainstalovat Defender for Endpoint.

Stávající uživatelé s povolenými funkcemi rozšířeného zabezpečení v programu Defender for Cloud a Microsoft Defenderem for Endpoint pro Windows

Pokud jste už povolili integraci s programem Defender for Endpoint pro Windows, máte úplnou kontrolu nad tím, kdy a jestli chcete nasadit Defender for Endpoint na počítače s Linuxem .

  1. V nabídce Defenderu pro cloud vyberte Nastavení prostředí a vyberte předplatné s počítači s Linuxem, které chcete dostávat defender for Endpoint.

  2. Ve sloupci Pokrytí monitorování plánu Defender for Server vyberte Nastavení.

    Stav komponenty Endpoint Protections je částečný, což znamená, že nejsou povoleny všechny části komponenty.

  3. Výběrem možnosti Opravit zobrazíte součásti, které nejsou povolené.

    Snímek obrazovky s tlačítkem Opravit, které umožňuje podporu Microsoft Defenderu for Endpoint

  4. Pokud chcete povolit nasazení na počítače s Linuxem, vyberte Povolit.

    Snímek obrazovky s povolením integrace mezi defenderem for Cloud a řešením EDR od Microsoftu v programu Microsoft Defender for Endpoint pro Linux

  5. Změny uložíte tak, že v horní části stránky vyberete Uložit a pak na stránce Nastavení a monitorování vyberete Pokračovat .

    Microsoft Defender for Cloud bude:

    • Automatické onboardingu počítačů s Linuxem do defenderu for Endpoint
    • Zjištění všech předchozích instalací Defenderu for Endpoint a jejich změna konfigurace pro integraci s Defenderem pro cloud

    Microsoft Defender for Cloud automaticky nasadí vaše počítače do programu Microsoft Defender for Endpoint. Onboarding může trvat až 12 hodin. U nových počítačů vytvořených po povolení integrace trvá registrace až hodinu.

    Poznámka:

    Při příštím návratu na tuto stránku webu Azure Portal se tlačítko Povolit pro počítače s Linuxem nezobrazí. Pokud chcete zakázat integraci pro Linux, budete ji muset také zakázat pro Windows vypnutím přepínače v Endpoint Protection a výběrem možnosti Pokračovat.

  6. Pokud chcete ověřit instalaci defenderu for Endpoint na počítači s Linuxem, spusťte na počítačích následující příkaz prostředí:

    mdatp health

    Pokud je nainstalovaný Microsoft Defender for Endpoint, zobrazí se jeho stav:

    healthy : true

    licensed: true

    Na webu Azure Portal se také na vašich počítačích MDE.Linuxzobrazí nové rozšíření Azure.

Noví uživatelé, kteří nikdy nepovolili integraci s programem Microsoft Defender for Endpoint pro Windows

Pokud jste integraci s Windows nikdy nepovolili, ochrana koncových bodů umožňuje defenderu for Cloud nasadit Defender for Endpoint na počítače s Windows i Linuxem.

  1. V nabídce Defenderu pro cloud vyberte Nastavení prostředí a vyberte předplatné s počítači s Linuxem, které chcete dostávat defender for Endpoint.

  2. Ve sloupci Pokrytí monitorování plánu Defender for Server vyberte Nastavení.

  3. Ve stavu komponenty Endpoint Protection vyberte Zapnuto a povolte integraci s Microsoft Defenderem for Endpoint.

    Snímek obrazovky s přepínačem Stav, který umožňuje Microsoft Defender for Endpoint

    Microsoft Defender for Cloud bude:

    • Automatické připojení počítačů s Windows a Linuxem do programu Defender for Endpoint
    • Zjištění všech předchozích instalací Defenderu for Endpoint a jejich změna konfigurace pro integraci s Defenderem pro cloud

    Onboarding může trvat až 1 hodinu.

  4. Nastavení uložíte výběrem možnosti Pokračovat a Uložit .

  5. Pokud chcete ověřit instalaci defenderu for Endpoint na počítači s Linuxem, spusťte na počítačích následující příkaz prostředí:

    mdatp health

    Pokud je nainstalovaný Microsoft Defender for Endpoint, zobrazí se jeho stav:

    healthy : true

    licensed: true

    Kromě toho na webu Azure Portal uvidíte na svých počítačích MDE.Linuxnové rozšíření Azure.

Povolení více předplatných na řídicím panelu webu Azure Portal

Pokud jedno nebo více vašich předplatných nemá pro počítače s Linuxem povolenou ochranu koncových bodů, zobrazí se na řídicím panelu Defenderu pro cloud přehled. Na panelu přehledů se dozvíte o předplatných, která mají pro počítače s Windows povolenou integraci Defenderu for Endpoint, ale ne pro počítače s Linuxem. Pomocí panelu přehledů můžete zobrazit ovlivněná předplatná s počtem ovlivněných prostředků v každém předplatném. Předplatná, která nemají počítače s Linuxem, nezobrazují žádné ovlivněné prostředky. Potom můžete vybrat předplatná, která povolí ochranu koncových bodů pro integraci s Linuxem.

Po výběru možnosti Povolit na panelu přehledů defender for Cloud:

  • Automaticky nasadí počítače s Linuxem do programu Defender for Endpoint ve vybraných předplatných.
  • Zjistí všechny předchozí instalace Defenderu for Endpoint a překonfigurují je tak, aby se integrovaly s Defenderem pro cloud.

Pomocí sešitu stavu defenderu pro koncový bod ověřte stav instalace a nasazení defenderu pro koncový bod na počítači s Linuxem.

Povolení pro více předplatných pomocí skriptu PowerShellu

Pomocí našeho skriptu PowerShellu z úložiště Defender for Cloud GitHub povolte ochranu koncových bodů na počítačích s Linuxem, které jsou v několika předplatných.

Správa konfigurace automatických aktualizací pro Linux

V systému Windows jsou aktualizace verzí defenderu pro koncový bod poskytovány prostřednictvím průběžných aktualizací znalostní báze; v Linuxu je potřeba aktualizovat balíček Defender for Endpoint. Pokud používáte Defender for Servers s rozšířením MDE.Linux , jsou ve výchozím nastavení povolené automatické aktualizace pro Microsoft Defender for Endpoint. Pokud chcete aktualizace verze Defenderu for Endpoint spravovat ručně, můžete automatické aktualizace na počítačích zakázat. Uděláte to tak, že přidáte následující značku pro počítače, které jsou nasazené s rozšířením MDE.Linux .

  • Název značky: ExcludeMdeAutoUpdate
  • Hodnota značky: true

Tato konfigurace je podporovaná pro virtuální počítače Azure a počítače Azure Arc, kde MDE.Linux rozšíření iniciuje automatickou aktualizaci.

Povolení sjednoceného řešení Microsoft Defender for Endpoint ve velkém měřítku

Jednotné řešení Defender for Endpoint můžete také povolit ve velkém měřítku prostřednictvím dodaného rozhraní REST API verze 2022-05-01. Úplné podrobnosti najdete v dokumentaci k rozhraní API.

Tady je příklad textu požadavku PUT, který umožňuje jednotné řešení Defenderu pro koncový bod:

Identifikátor uri: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Sledování stavu nasazení MDE

Pomocí sešitu stavu nasazení defenderu for Endpoint můžete sledovat stav nasazení Defenderu for Endpoint na virtuálních počítačích Azure a počítačích mimo Azure, které jsou připojené přes Azure Arc. Interaktivní sešit poskytuje přehled počítačů ve vašem prostředí se stavem nasazení rozšíření Microsoft Defender for Endpoint.

Přístup k portálu Microsoft Defender for Endpoint

  1. Ujistěte se, že uživatelský účet má potřebná oprávnění. Další informace najdete v článku Přiřazení uživatelského přístupu k Centrum zabezpečení v programu Microsoft Defender.

  2. Zkontrolujte, jestli máte proxy server nebo bránu firewall, která blokuje anonymní provoz. Senzor Defenderu pro koncový bod se připojuje z kontextu systému, takže musí být povolený anonymní provoz. Pokud chcete zajistit nerušený přístup k portálu Defender for Endpoint Portal, postupujte podle pokynů v tématu Povolení přístupu k adresám URL služeb na proxy serveru.

  3. Otevřete portál Microsoft Defenderu. Přečtěte si o programu Microsoft Defender for Endpoint v XDR v programu Microsoft Defender.

Odeslání testovacího upozornění

Pokud chcete v programu Defender for Endpoint vygenerovat neškodné testovací upozornění, vyberte kartu příslušného operačního systému vašeho koncového bodu:

Testování ve Windows

Pro koncové body se systémem Windows:

  1. Vytvořte složku C:\test-MDATP-test.

  2. Pro přístup k počítači použijte vzdálenou plochu.

  3. Otevřete okno příkazového řádku.

  4. Na příkazovém řádku zkopírujte a spusťte následující příkaz. Okno příkazového řádku se automaticky zavře.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

    Okno příkazového řádku s příkazem pro vygenerování testovací výstrahy.

    Pokud je příkaz úspěšný, zobrazí se na řídicím panelu ochrany úloh a na portálu Microsoft Defender for Endpoint nová výstraha. Zobrazení tohoto upozornění může trvat několik minut.

  5. Pokud chcete zkontrolovat výstrahu v defenderu pro cloud, přejděte do části Výstrahy>zabezpečení Podezřelé příkazového řádku PowerShellu.

  6. V okně šetření vyberte odkaz, který přejde na portál Microsoft Defender for Endpoint.

    Tip

    Výstraha se aktivuje s informační závažností.

Testování v Linuxu

Pro koncové body s Linuxem:

  1. Stáhněte si nástroj testovacího upozornění z: https://aka.ms/LinuxDIY

  2. Extrahujte obsah souboru ZIP a spusťte tento skript prostředí:

    ./mde_linux_edr_diy

    Pokud je příkaz úspěšný, zobrazí se na řídicím panelu ochrany úloh a na portálu Microsoft Defender for Endpoint nová výstraha. Zobrazení tohoto upozornění může trvat několik minut.

  3. Pokud chcete zkontrolovat výstrahu v defenderu pro cloud, přejděte do části Výčtu výstrah>zabezpečení souborů s citlivými daty.

  4. V okně šetření vyberte odkaz, který přejde na portál Microsoft Defender for Endpoint.

    Tip

    Výstraha se aktivuje s nízkou závažností.

Odebrání defenderu pro koncový bod z počítače

Odebrání řešení Defender for Endpoint z počítačů:

  1. Zakažte integraci:

    1. V nabídce Defenderu pro cloud vyberte Nastavení prostředí a vyberte předplatné s příslušnými počítači.
    2. Na stránce Plány Defenderu vyberte Nastavení a monitorování.
    3. Ve stavu komponenty Endpoint Protection výběrem možnosti Vypnuto zakažte integraci s programem Microsoft Defender for Endpoint.
    4. Nastavení uložíte výběrem možnosti Pokračovat a Uložit .
  2. Odeberte MDE. Windows/MDE. Rozšíření Linuxu z počítače.

  3. Postupujte podle pokynů v části Offboard devices from the Microsoft Defender for Endpoint service from the Defender for Endpoint documentation.