Microsoft Defender for Endpoint pilottikoe ja käyttöönotto
Koskee seuraavia:
- Microsoft Defender XDR
Tässä artikkelissa on työnkulku Microsoft Defender for Endpoint pilotointiin ja käyttöönottoon organisaatiossasi. Näiden suositusten avulla voit ottaa Microsoft Defender for Endpoint käyttöön yksittäisenä kyberturvallisuustyökaluna tai osana päästä päähän -ratkaisua, jossa on Microsoft Defender XDR.
Tässä artikkelissa oletetaan, että käytössäsi on Microsoft 365 -tuotantovuokraaja ja että olet luomassa ja ottamassa käyttöön Microsoft Defender for Endpoint tässä ympäristössä. Tämä käytäntö säilyttää kaikki pilottikokeilun aikana määrittämäsi asetukset ja mukautukset täyttä käyttöönottoa varten.
Defender for Endpoint osallistuu Zero Trust -suojausmalli arkkitehtuuriin auttamalla estämään tai vähentämään murron aiheuttamia liiketoimintavaurioita. Lisätietoja on Microsoft Zero Trust -suojausmalli käyttöönoton viitekehyksen kohdassa Liiketoiminnan vahingoittumisen estäminen tai vähentäminen murron aiheuttamasta liiketoimintavahingosta.
Microsoft Defender XDR käyttöönotto päästä päähän
Tämä on sarjan artikkeli 4/6, jonka avulla voit ottaa käyttöön Microsoft Defender XDR osia, mukaan lukien tapausten tutkiminen ja niihin vastaaminen.
Tämän sarjan artikkelit vastaavat seuraavia päästä päähän -käyttöönoton vaiheita:
| Vaihe | Linkki |
|---|---|
| A. Käynnistä pilotti | Käynnistä pilotti |
| B. Microsoft Defender XDR osien pilottikoe ja käyttöönotto |
-
Defender for Identityn pilottikoe ja käyttöönotto - Defender for Office 365 pilottikoe ja käyttöönotto - Defender for Endpointin pilottikoe ja käyttöönotto (tämä artikkeli) - Microsoft Defender for Cloud Apps pilottikoe ja käyttöönotto |
| C. Tutki uhkia ja reagoi niihin | Tapausten tutkinnan ja reagointikäytännön harjoittaminen |
Defender for Identityn pilotti- ja käyttöönottotyönkulku
Seuraavassa kaaviossa esitetään yleinen prosessi tuotteen tai palvelun käyttöönottoon IT-ympäristössä.
Aloitat arvioimalla tuotetta tai palvelua ja sitä, miten se toimii organisaatiossasi. Sen jälkeen voit kokeilla tuotetta tai palvelua sopivan pienellä osajoukolla tuotantoinfrastruktuuristasi testausta, oppimista ja mukauttamista varten. Kasvata sitten käyttöönottoa asteittain, kunnes koko infrastruktuuri tai organisaatio on katettu.
Tässä on työnkulku Defender for Identityn pilotointiin ja käyttöönottoon tuotantoympäristössäsi.
Toimi seuraavasti:
- Tarkista käyttöoikeuden tila
- Perehdytyspäätepisteet käyttämällä mitä tahansa tuetuista hallintatyökaluista
- Tarkista pilottiryhmä
- Kokeile ominaisuuksia
Seuraavassa on kunkin käyttöönottovaiheen suositellut vaiheet.
| Käyttöönottovaihe | Kuvaus |
|---|---|
| Arvioida | Suorita tuotteen arviointi Defender for Endpointille. |
| Lentäjä | Suorita vaiheet 1–4 pilottiryhmälle. |
| Täysi käyttöönotto | Määritä pilottiryhmä vaiheessa 3 tai lisää ryhmiä laajentamaan pilottikokeilun ulkopuolelle ja lopulta sisällytä kaikki laitteesi. |
Organisaation suojaaminen hakkereilta
Defender for Identity tarjoaa tehokkaan suojauksen. Kun se yhdistetään Microsoft Defender XDR muihin ominaisuuksiin, Defender for Endpoint tarjoaa jaettuihin signaaleihin tietoja, jotka yhdessä auttavat pysäyttämään hyökkäykset.
Tässä on esimerkki kyberhyökkäyksestä ja siitä, miten Microsoft Defender XDR osat auttavat sen havaitsemisessa ja lieventämisessä.
Defender for Endpoint havaitsee laitteen ja verkon haavoittuvuudet, joita muuten voitaisiin hyödyntää organisaatiosi hallitsemien laitteiden kohdalla.
Microsoft Defender XDR korreloi kaikkien Microsoft Defender osien signaalit ja tarjoaa koko hyökkäystarinan.
Defender for Endpoint -arkkitehtuuri
Seuraavassa kaaviossa kuvataan Microsoft Defender for Endpoint arkkitehtuuria ja integrointeja.
Tässä taulukossa kuvataan kuva.
| Kuvateksti | Kuvaus |
|---|---|
| 1 | Laitteet on asennettu johonkin tuetuista hallintatyökaluista. |
| 2 | Aluksella olevat laitteet tarjoavat Microsoft Defender for Endpoint signaalitietoja ja vastaavat niihin. |
| 3 | Hallitut laitteet liitetään ja/tai rekisteröidään Microsoft Entra ID. |
| 4 | Toimialueeseen liitetyt Windows-laitteet synkronoidaan Microsoft Entra ID kanssa käyttämällä Microsoft Entra Connectia. |
| 5 | Microsoft Defender for Endpoint ilmoituksia, tutkimuksia ja vastauksia hallitaan Microsoft Defender XDR. |
Vihje
Microsoft Defender for Endpoint mukana on myös tuotteensisäinen arviointiympäristö, jossa voit lisätä esimääritetyt laitteet ja suorittaa simulaatioita ympäristön ominaisuuksien arvioimiseksi. Labratyön mukana toimitetaan yksinkertaistettu määrityskokemus, joka voi auttaa nopeasti osoittamaan Microsoft Defender for Endpoint arvoa, mukaan lukien ohjeita monille ominaisuuksille, kuten kehittyneelle metsästykselle ja uhka-analytiikalle. Lisätietoja on kohdassa Ominaisuuksien arvioiminen. Suurin ero tässä artikkelissa annettujen ohjeiden ja arviointilaboratorion välillä on se, että arviointiympäristö käyttää tuotantolaitteita, kun taas arviointilaboratoriossa käytetään muita kuin tuotantolaitteita.
Vaihe 1: Tarkista käyttöoikeuden tila
Tarkista ensin käyttöoikeuden tila sen varmistamiseksi, että se on valmisteltiin oikein. Voit tehdä tämän hallintakeskuksen tai Microsoft-Azure-portaali kautta.
Jos haluat tarkastella käyttöoikeuksiasi, siirry Microsoft Azure-portaali ja siirry Microsoft Azure-portaali -käyttöoikeusosioon.
Vaihtoehtoisesti voit siirtyä hallintakeskuksessa kohtaanLaskutustilaukset>.
Näytössä näkyvät kaikki valmistetut käyttöoikeudet ja niiden nykyinen tila.
Vaihe 2: Perehdytyspäätepisteet minkä tahansa tuetun hallintatyökalun avulla
Kun olet varmistanut, että käyttöoikeustila on valmistellut oikein, voit aloittaa laitteiden käyttöönoton palveluun.
Microsoft Defender for Endpoint arviointia varten suosittelemme valitsemaan pari Windows-laitetta arviointia varten.
Voit halutessasi käyttää mitä tahansa tuetuista hallintatyökaluista, mutta Intune optimaalisen integroinnin. Lisätietoja on artikkelissa Microsoft Defender for Endpoint määrittäminen Microsoft Intune.
Suunnitelman käyttöönotto -aiheessa esitellään yleiset vaiheet, jotka sinun on suoritettava Defender for Endpointin käyttöönottamiseksi.
Katso tästä videosta lyhyt yleiskatsaus perehdytysprosessista ja lue lisää käytettävissä olevista työkaluista ja menetelmistä.
Perehdyttämistyökalun asetukset
Seuraavassa taulukossa on lueteltu käytettävissä olevat työkalut sen päätepisteen perusteella, joka sinun on otettava käyttöön.
| Päätepiste | Työkalun asetukset |
|---|---|
| Windows |
-
Paikallinen komentosarja (enintään 10 laitetta) - ryhmäkäytäntö - Microsoft Intune / mobiililaitteiden Laitehallinta - Microsoftin päätepisteen Configuration Manager - VDI-komentosarjat |
| macOS |
-
Paikalliset komentosarjat - Microsoft Intune - JAMF Pro - Mobiililaitteiden Laitteiden hallinta |
| iOS | Sovelluspohjainen |
| Android | Microsoft Intune |
Kun luot pilottikokeiluja Microsoft Defender for Endpoint, voit halutessasi ottaa käyttöön muutamia laitteita ennen koko organisaation perehdyttämistä.
Sen jälkeen voit kokeilla käytettävissä olevia ominaisuuksia, kuten hyökkäyssimulaatioiden suorittamista ja sitä, miten Defender for Endpoint havaitsee haitallisia toimintoja ja mahdollistaa tehokkaan vastauksen suorittamisen.
Vaihe 3: Pilottiryhmän tarkistaminen
Kun olet suorittanut Ota arviointi käyttöön -osiossa kuvatut käyttöönottovaiheet, sinun pitäisi nähdä laitteet Laitteen varasto -luettelossa noin tunnin kuluttua.
Kun näet perehdytyt laitteesi, voit jatkaa ominaisuuksien kokeilemista.
Vaihe 4: Ominaisuuksien kokeileminen
Nyt kun olet suorittanut joidenkin laitteiden käyttöönoton ja varmistanut, että ne raportoivat palveluun, tutustu tuotteeseen kokeilemalla tehokkaita ominaisuuksia, jotka ovat käytettävissä heti.
Pilottikokeilun aikana voit helposti aloittaa joidenkin ominaisuuksien kokeilemisen, jotta näet tuotteen toiminnassa käymättä läpi monimutkaisia määritysvaiheita.
Aloitetaan tutustumalla koontinäyttöihin.
Laitteen luettelon tarkasteleminen
Laitteen varastossa näet luettelon verkon päätepisteistä, verkkolaitteista ja IoT-laitteista. Sen lisäksi, että se tarjoaa näkymän verkon laitteille, se antaa myös tarkempia tietoja niistä, kuten toimialueen, riskitason, käyttöjärjestelmäympäristön ja muita tietoja, jotta riskialttiimpien laitteiden tunnistaminen on helppoa.
Tarkastele Microsoft Defenderin haavoittuvuuksien hallinta koontinäyttöä
Defenderin haavoittuvuuksien hallinta auttaa keskittymään heikkouksiin, jotka aiheuttavat kiireellisimmän ja suurimman riskin organisaatiolle. Koontinäytöstä saat korkean tason näkymän organisaation altistumispisteistä, Microsoftin suojauspisteistä laitteille, laitteen altistumisen jakelusta, tärkeimmistä suojaussuosituksista, haavoittuvimmat ohjelmistot, tärkeimmät korjaustoiminnot ja suosituimmat paljastetut laitetiedot.
Simulaation suorittaminen
Microsoft Defender for Endpoint mukana tulee "Tee se itse" -hyökkäysskenaariot, joita voit käyttää pilottilaitteissasi. Jokainen asiakirja sisältää käyttöjärjestelmä- ja sovellusvaatimukset sekä yksityiskohtaiset ohjeet hyökkäysskenaariota varten. Nämä komentosarjat ovat turvallisia, dokumentoituja ja helppokäyttöisia. Nämä skenaariot kuvastavat Defender for Endpoint -ominaisuuksia ja opastavat sinut tutkimuskokemuksen läpi.
Jotta voit suorittaa jonkin annetuista simulaatioista, tarvitset vähintään yhden perehdytetyssä laitteessa.
Valitse ohjesimulaatioiden>& opetusohjelmissa, mitä käytettävissä olevista hyökkäysskenaarioita haluat simuloida:
Skenaario 1: Asiakirja putoaa takaovesta - simuloi sosiaalisesti suunnitellun houkutinasiakirjan toimittamista. Asiakirja käynnistää erityisesti laaditun takaoven, joka antaa hyökkääjille hallinnan.
Skenaario 2: PowerShell-komentosarja tiedostottomassa hyökkäyksessä - simuloi tiedostotonta hyökkäystä, joka on riippuvainen PowerShellistä, esittelee hyökkäyspinnan pienentämistä ja laitteen oppimistunnistusta haitallisesta muistitoiminnasta.
Skenaario 3: Automatisoitu tapausten käsittely – käynnistää automatisoidun tutkimuksen, joka etsii ja korjaa murtoartefaktit automaattisesti tapausten käsittelykapasiteetin skaalaamiseksi.
Lataa ja lue vastaava vaiheittaiset ohjeet, jotka on annettu valitsemallesi skenaariolle.
Lataa simulointitiedosto tai kopioi simulointikomentosarja siirtymällä ohjesimulaatioiden>& opetusohjelmiin. Voit halutessasi ladata tiedoston tai komentosarjan testilaitteeseen, mutta se ei ole pakollinen.
Suorita simulointitiedosto tai -komentosarja testilaitteessa vaiheittaisen asiakirjan ohjeiden mukaisesti.
Huomautus
Simulointitiedostot tai komentosarjat jäljittelevät hyökkäystoimintaa, mutta ovat todella hyvänlaatuisia eivätkä vahingoita tai vaaranna testilaitetta.
SIEM-integrointi
Voit integroida Defender for Endpointin Microsoft Sentinel tai yleiseen suojaustietoihin ja tapahtumienhallintapalveluun (SIEM), jos haluat ottaa käyttöön yhdistettyjen sovellusten ilmoitusten ja toimintojen keskitetyn seurannan. Microsoft Sentinel avulla voit analysoida organisaatiosi suojaustapahtumia kattavammin ja luoda pelikirjoja, jotta ne voivat toimia tehokkaasti ja välittömästi.
Microsoft Sentinel sisältää Defender for Endpoint -liittimen. Lisätietoja on kohdassa Microsoft Sentinel liittimen Microsoft Defender for Endpoint.
Lisätietoja integroinnista yleisiin SIEM-järjestelmiin on kohdassa OTA SIEM-integrointi käyttöön Microsoft Defender for Endpoint.
Seuraavat vaiheet
Sisällytä Defender for Endpoint Security Operations Guide -sovelluksen tiedot SecOps-prosesseihin.
Seuraava vaihe Microsoft Defender XDR käyttöönottoa varten.
Jatka Microsoft Defender XDR käyttöönottoa päästä päähän pilotilla ja ota käyttöön Microsoft Defender for Cloud Apps.
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.