Pilot og udrul Microsoft Defender for Endpoint
Gælder for:
- Microsoft Defender XDR
Denne artikel indeholder en arbejdsproces til pilotering og installation af Microsoft Defender for Endpoint i din organisation. Du kan bruge disse anbefalinger til at onboarde Microsoft Defender for Endpoint som et individuelt cybersikkerhedsværktøj eller som en del af en end-to-end-løsning med Microsoft Defender XDR.
I denne artikel antages det, at du har en Microsoft 365-produktionslejer og piloterer og udruller Microsoft Defender for Endpoint i dette miljø. Denne praksis bevarer alle indstillinger og tilpasninger, du konfigurerer under pilotprojektet for din fulde udrulning.
Defender for Endpoint bidrager til en Nul tillid arkitektur ved at hjælpe med at forhindre eller reducere forretningsskader som følge af et brud. Du kan få flere oplysninger under Forbyd eller reducer forretningsskader fra et forretningsscenarie for brud i Microsofts Nul tillid implementeringsrammer.
End-to-end-udrulning for Microsoft Defender XDR
Dette er artikel 4 af 6 i en serie, der kan hjælpe dig med at udrulle komponenterne i Microsoft Defender XDR, herunder undersøge og besvare hændelser.
Artiklerne i denne serie svarer til følgende faser i end-to-end-udrulningen:
| Fase | Sammenkæde |
|---|---|
| En. Start piloten | Start piloten |
| B. Pilot og udrul Microsoft Defender XDR komponenter |
-
Pilot og udrul Defender for Identity - Pilot og udrul Defender for Office 365 - Pilot og installér Defender for Endpoint (denne artikel) - Pilot og udrul Microsoft Defender for Cloud Apps |
| C. Undersøg og reager på trusler | Øvelse af undersøgelse og svar på hændelser |
Pilot og udrul arbejdsproces for Defender for Identity
I følgende diagram illustreres en almindelig proces til installation af et produkt eller en tjeneste i et it-miljø.
Du starter med at evaluere produktet eller tjenesten, og hvordan det fungerer i din organisation. Derefter kan du teste produktet eller tjenesten med et passende lille undersæt af din produktionsinfrastruktur til test, læring og tilpasning. Derefter skal du gradvist øge omfanget af udrulningen, indtil hele din infrastruktur eller organisation er dækket.
Her er arbejdsprocessen til pilotering og installation af Defender for Identity i dit produktionsmiljø.
Følg disse trin:
- Kontrollér licenstilstand
- Onboarde slutpunkter ved hjælp af et af de understøttede administrationsværktøjer
- Bekræft pilotgruppe
- Prøv funktioner
Her er de anbefalede trin for hver udrulningsfase.
| Udrulningsfase | Beskrivelse |
|---|---|
| Evaluere | Udfør produktevaluering for Defender for Endpoint. |
| Pilot | Udfør trin 1-4 for en pilotgruppe. |
| Fuld udrulning | Konfigurer pilotgruppen i trin 3, eller tilføj grupper for at udvide ud over pilotprojektet, og medtag til sidst alle dine enheder. |
Beskyttelse af din organisation mod hackere
Defender for Identity giver stærk beskyttelse på egen hånd. Men når defender for Endpoint kombineres med de andre funktioner i Microsoft Defender XDR, leverer den data til de delte signaler, som tilsammen hjælper med at stoppe angreb.
Her er et eksempel på et cyberangreb, og hvordan komponenterne i Microsoft Defender XDR hjælpe med at registrere og afhjælpe det.
Defender for Endpoint registrerer sikkerhedsrisici for enheder og netværk, der ellers kan udnyttes til enheder, der administreres af din organisation.
Microsoft Defender XDR korrelerer signalerne fra alle Microsoft Defender komponenter for at levere hele angrebshistorien.
Defender for Endpoint-arkitektur
Følgende diagram illustrerer Microsoft Defender for Endpoint arkitektur og integrationer.
I denne tabel beskrives illustrationen.
| Opkald | Beskrivelse |
|---|---|
| 1 | Enheder er om bord via et af de understøttede administrationsværktøjer. |
| 2 | Enheder om bord leverer og reagerer på Microsoft Defender for Endpoint signaldata. |
| 3 | Administrerede enheder er tilmeldt og/eller tilmeldt Microsoft Entra ID. |
| 4 | Domænetilsluttede Windows-enheder synkroniseres til Microsoft Entra ID ved hjælp af Microsoft Entra Opret forbindelse. |
| 5 | Microsoft Defender for Endpoint beskeder, undersøgelser og svar administreres i Microsoft Defender XDR. |
Tip
Microsoft Defender for Endpoint leveres også med et laboratorie til evaluering i produktet, hvor du kan tilføje forudkonfigurerede enheder og køre simuleringer for at evaluere platformens funktioner. Laboratoriet leveres med en forenklet konfiguration, der kan hjælpe med hurtigt at demonstrere værdien af Microsoft Defender for Endpoint herunder vejledning til mange funktioner som avanceret jagt og trusselsanalyse. Du kan finde flere oplysninger under Evaluer funktioner. Den primære forskel mellem vejledningen i denne artikel og evalueringslaboratoriet er, at evalueringsmiljøet bruger produktionsenheder, mens evalueringslaboratoriet bruger enheder, der ikke er produktionsenheder.
Trin 1: Kontrollér licenstilstand
Du skal først kontrollere licenstilstanden for at bekræfte, at den er korrekt klargjort. Du kan gøre dette via Administration eller via Microsoft Azure Portal.
Hvis du vil have vist dine licenser, skal du gå til Microsoft Azure Portal og navigere til afsnittet Microsoft Azure Portal licens.
Alternativt kan du i Administration navigere til Faktureringsabonnementer>.
På skærmen kan du se alle de klargjorte licenser og deres aktuelle status.
Trin 2: Onboard slutpunkter ved hjælp af et af de understøttede administrationsværktøjer
Når du har bekræftet, at licenstilstanden er blevet klargjort korrekt, kan du begynde at onboarde enheder til tjenesten.
Med henblik på evaluering af Microsoft Defender for Endpoint anbefaler vi, at du vælger et par Windows-enheder til at udføre evalueringen på.
Du kan vælge at bruge et hvilket som helst af de understøttede administrationsværktøjer, men Intune sikrer optimal integration. Du kan få flere oplysninger under Konfigurer Microsoft Defender for Endpoint i Microsoft Intune.
I emnet Planinstallation beskrives de generelle trin, du skal udføre for at installere Defender for Endpoint.
Se denne video for at få et hurtigt overblik over onboardingprocessen og få mere at vide om de tilgængelige værktøjer og metoder.
Indstillinger for onboardingværktøj
I følgende tabel vises de tilgængelige værktøjer, der er baseret på det slutpunkt, du skal onboarde.
| Slutpunkt | Værktøjsindstillinger |
|---|---|
| Windows |
-
Lokalt script (op til 10 enheder) - Gruppepolitik - Microsoft Intune/mobil Enhedshåndtering - Microsoft Endpoint Configuration Manager - VDI-scripts |
| macOS |
-
Lokale scripts - Microsoft Intune - JAMF Pro - Mobil Enhedshåndtering |
| iOS | Appbaseret |
| Android | Microsoft Intune |
Når du styrer Microsoft Defender for Endpoint, kan du vælge at onboarde nogle få enheder til tjenesten, før du onboarder hele organisationen.
Du kan derefter afprøve funktioner, der er tilgængelige, f.eks. kørsel af angrebssimuleringer og se, hvordan Defender for Endpoint viser skadelige aktiviteter og giver dig mulighed for at udføre et effektivt svar.
Trin 3: Bekræft pilotgruppe
Når du har fuldført de onboardingtrin, der er beskrevet i afsnittet Aktivér evaluering, kan du se enhederne på listen Over enheder ca. efter en time.
Når du ser dine onboardede enheder, kan du fortsætte med at afprøve funktioner.
Trin 4: Prøv funktioner
Nu, hvor du er færdig med at onboarde nogle enheder og bekræftet, at de rapporterer til tjenesten, kan du blive fortrolig med produktet ved at afprøve de effektive funktioner, der er tilgængelige lige fra starten.
Under pilotprojektet kan du nemt komme i gang med at afprøve nogle af funktionerne for at se produktet i aktion uden at gennemgå komplekse konfigurationstrin.
Lad os starte med at tjekke dashboards ud.
Få vist enhedslageret
Enhedsoversigten er stedet, hvor du kan se en liste over slutpunkter, netværksenheder og IoT-enheder på dit netværk. Den giver dig ikke blot en visning af enhederne i dit netværk, men den giver dig også detaljerede oplysninger om dem, f.eks. domæne, risikoniveau, OS-platform og andre oplysninger, så du nemt kan identificere de enheder, der er mest udsatte.
Få vist det Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender dashboard
Administration af håndtering af sikkerhedsrisici til Defender hjælper dig med at fokusere på de svagheder, der udgør den mest presserende og højeste risiko for organisationen. Fra dashboardet kan du få en overordnet visning af organisationens eksponeringsscore, Microsoft Secure Score for Devices, distribution af enhedseksponering, topsikkerhedsanbefalinger, top sårbar software, topafhjælpningsaktiviteter og topeksponerede enhedsdata.
Kør en simulering
Microsoft Defender for Endpoint leveres med "Gør det selv"-angrebsscenarier, som du kan køre på dine pilotenheder. Hvert dokument indeholder krav til operativsystem og program samt detaljerede instruktioner, der er specifikke for et angrebsscenarie. Disse scripts er sikre, dokumenterede og nemme at bruge. Disse scenarier afspejler funktionerne i Defender for Endpoint og fører dig gennem undersøgelsesoplevelsen.
Hvis du vil køre en af de angivne simuleringer, skal du bruge mindst én onboardet enhed.
I Hjælp-simuleringer> & selvstudier skal du vælge, hvilke af de tilgængeligeangrebsscenarier du vil simulere:
Scenarie 1: Dokumentet falder bagdør – simulerer levering af et dokument, der er socialt manipuleret. Dokumentet starter en særligt udformet bagdør, der giver angribere kontrol.
Scenarie 2: PowerShell-script i et filløst angreb – simulerer et filuafhængigt angreb, der er baseret på PowerShell, og viser reduktion af angrebsoverfladen og registrering af enhedslæring for skadelig hukommelsesaktivitet.
Scenarie 3: Automatiseret svar på hændelser – udløser automatiseret undersøgelse, som automatisk søger efter og afhjælper brudartefakter for at skalere din kapacitet til svar på hændelser.
Download og læs det tilsvarende gennemgangsdokument, der følger med det valgte scenarie.
Download simuleringsfilen, eller kopiér simuleringsscriptet ved at gå tilHjælp-simuleringer> & selvstudier. Du kan vælge at downloade filen eller scriptet på testenheden, men det er ikke obligatorisk.
Kør simuleringsfilen eller scriptet på testenheden som beskrevet i gennemgangsdokumentet.
Bemærk!
Simuleringsfiler eller scripts efterligner angrebsaktivitet, men er faktisk godartede og vil ikke skade eller kompromittere testenheden.
SIEM-integration
Du kan integrere Defender for Endpoint med Microsoft Sentinel eller en generisk SIEM-tjeneste (Security Information and Event Management) for at aktivere centraliseret overvågning af beskeder og aktiviteter fra forbundne apps. Med Microsoft Sentinel kan du analysere sikkerhedshændelser mere omfattende på tværs af din organisation og oprette playbooks, så du kan reagere effektivt og øjeblikkeligt.
Microsoft Sentinel indeholder en Defender for Endpoint-connector. Du kan få flere oplysninger under Microsoft Defender for Endpoint connector til Microsoft Sentinel.
Du kan finde oplysninger om integration med generiske SIEM-systemer under Aktivér SIEM-integration i Microsoft Defender for Endpoint.
Næste trin
Inkorporer oplysningerne i Defender for Endpoint Security Operations Guide i dine SecOps-processer.
Næste trin til end-to-end-udrulning af Microsoft Defender XDR
Fortsæt din komplette installation af Microsoft Defender XDR med Pilot, og udrul Microsoft Defender for Cloud Apps.
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.