Microsoft Defender for Endpointin pilottikoe ja käyttöönotto
Koskee seuraavia:
- Microsoft Defender XDR
Tässä artikkelissa on työnkulku Microsoft Defender for Endpointin pilotointiin ja käyttöönottoon organisaatiossasi. Näiden suositusten avulla voit lisätä Microsoft Defender for Endpointin henkilökohtaisena kyberturvallisuustyökaluna tai osana päästä päähän -ratkaisua Microsoft Defender XDR:n kanssa.
Tässä artikkelissa oletetaan, että käytössäsi on Microsoft 365 -tuotantovuokraaja ja että olet luomassa ja ottamassa käyttöön Microsoft Defender for Endpointia tässä ympäristössä. Tämä käytäntö säilyttää kaikki pilottikokeilun aikana määrittämäsi asetukset ja mukautukset täyttä käyttöönottoa varten.
Defender for Endpoint osallistuu Zero Trust -arkkitehtuuriin auttamalla estämään tai vähentämään liiketoiminnan vaurioita murrosta. Lisätietoja on Microsoft Zero Trustin käyttöönoton kehyksessä Liiketoimintavaurioiden estäminen tai vähentäminen murron liiketoimintaskenaariosta.
Microsoft Defender XDR:n päästä päähän -käyttöönotto
Tämä on sarjan artikkeli 4/6, jonka avulla voit ottaa käyttöön Microsoft Defender XDR:n osia, mukaan lukien tapahtumien tutkiminen ja niihin vastaaminen.
Tämän sarjan artikkelit vastaavat seuraavia päästä päähän -käyttöönoton vaiheita:
Vaihe | Linkki |
---|---|
A. Käynnistä pilotti | Käynnistä pilotti |
B. Microsoft Defenderin XDR-osien pilottikoe ja käyttöönotto | - Defender for Identityn pilottikoe ja käyttöönotto - Defender for Office 365:n pilottikoe ja käyttöönotto - Defender for Endpointin pilottikoe ja käyttöönotto (tämä artikkeli) - Microsoft Defender for Cloud Appsin pilottikoe ja käyttöönotto |
C. Tutki uhkia ja reagoi niihin | Tapausten tutkinnan ja reagointikäytännön harjoittaminen |
Defender for Identityn pilotti- ja käyttöönottotyönkulku
Seuraavassa kaaviossa esitetään yleinen prosessi tuotteen tai palvelun käyttöönottoon IT-ympäristössä.
Aloitat arvioimalla tuotetta tai palvelua ja sitä, miten se toimii organisaatiossasi. Sen jälkeen voit kokeilla tuotetta tai palvelua sopivan pienellä osajoukolla tuotantoinfrastruktuuristasi testausta, oppimista ja mukauttamista varten. Kasvata sitten käyttöönottoa asteittain, kunnes koko infrastruktuuri tai organisaatio on katettu.
Tässä on työnkulku Defender for Identityn pilotointiin ja käyttöönottoon tuotantoympäristössäsi.
Toimi seuraavasti:
- Tarkista käyttöoikeuden tila
- Perehdytyspäätepisteet käyttämällä mitä tahansa tuetuista hallintatyökaluista
- Tarkista pilottiryhmä
- Kokeile ominaisuuksia
Seuraavassa on kunkin käyttöönottovaiheen suositellut vaiheet.
Käyttöönottovaihe | Kuvaus |
---|---|
Arvioida | Suorita tuotteen arviointi Defender for Endpointille. |
Lentäjä | Suorita vaiheet 1–4 pilottiryhmälle. |
Täysi käyttöönotto | Määritä pilottiryhmä vaiheessa 3 tai lisää ryhmiä laajentamaan pilottikokeilun ulkopuolelle ja lopulta sisällytä kaikki laitteesi. |
Organisaation suojaaminen hakkereilta
Defender for Identity tarjoaa tehokkaan suojauksen. Kun se yhdistetään Microsoft Defender XDR:n muihin ominaisuuksiin, Defender for Endpoint tarjoaa jaettuihin signaaleihin tietoja, jotka yhdessä auttavat pysäyttämään hyökkäykset.
Tässä on esimerkki kyberhyökkäyksestä ja siitä, miten Microsoft Defender XDR:n osat auttavat sen havaitsemisessa ja lieventämisessä.
Defender for Endpoint havaitsee laitteen ja verkon haavoittuvuudet, joita muuten voitaisiin hyödyntää organisaatiosi hallitsemien laitteiden kohdalla.
Microsoft Defender XDR korreloi kaikkien Microsoft Defenderin osien signaalit tarjotakseen koko hyökkäystarinan.
Defender for Endpoint -arkkitehtuuri
Seuraavassa kaaviossa esitetään Microsoft Defender for Endpoint -arkkitehtuuri ja integroinnit.
Tässä taulukossa kuvataan kuva.
Kuvateksti | Kuvaus |
---|---|
1 | Laitteet on asennettu johonkin tuetuista hallintatyökaluista. |
2 | Laitteessa olevat laitteet tarjoavat Microsoft Defender for Endpoint -signaalitietoja ja vastaavat niihin. |
3 | Hallitut laitteet liitetään ja/tai rekisteröidään Microsoft Entra -tunnuksella. |
4 | Toimialueeseen liitetyt Windows-laitteet synkronoidaan Microsoft Entra ID:hen Microsoft Entra Connectin avulla. |
5 | Microsoft Defender for Endpoint -ilmoituksia, tutkimuksia ja vastauksia hallitaan Microsoft Defender XDR:ssä. |
Vihje
Microsoft Defender for Endpoint sisältää myös tuotteensisäisen arviointilaboratorion, jossa voit lisätä esimääritetyt laitteet ja suorittaa simulaatioita ympäristön ominaisuuksien arvioimiseksi. Labratyön mukana toimitetaan yksinkertaistettu määrityskokemus, joka voi auttaa nopeasti osoittamaan Microsoft Defender for Endpointin arvoa, mukaan lukien ohjeita monille ominaisuuksille, kuten kehittyneelle metsästykselle ja uhka-analytiikalle. Lisätietoja on kohdassa Ominaisuuksien arvioiminen. Suurin ero tässä artikkelissa annettujen ohjeiden ja arviointilaboratorion välillä on se, että arviointiympäristö käyttää tuotantolaitteita, kun taas arviointilaboratoriossa käytetään muita kuin tuotantolaitteita.
Vaihe 1: Tarkista käyttöoikeuden tila
Tarkista ensin käyttöoikeuden tila sen varmistamiseksi, että se on valmisteltiin oikein. Voit tehdä tämän hallintakeskuksen tai Microsoft Azure -portaalin kautta.
Jos haluat tarkastella käyttöoikeuksiasi, siirry Microsoft Azure -portaaliin ja siirry Microsoft Azure -portaalin käyttöoikeusosioon.
Vaihtoehtoisesti voit siirtyä hallintakeskuksessa kohtaanLaskutustilaukset>.
Näytössä näkyvät kaikki valmistetut käyttöoikeudet ja niiden nykyinen tila.
Vaihe 2: Perehdytyspäätepisteet minkä tahansa tuetun hallintatyökalun avulla
Kun olet varmistanut, että käyttöoikeustila on valmistellut oikein, voit aloittaa laitteiden käyttöönoton palveluun.
Microsoft Defender for Endpointin arviointia varten suosittelemme valitsemaan pari Windows-laitetta arviointia varten.
Voit halutessasi käyttää mitä tahansa tuetuista hallintatyökaluista, mutta Intune tarjoaa optimaalisen integroinnin. Lisätietoja on artikkelissa Microsoft Defenderin määrittäminen päätepisteelle Microsoft Intunessa.
Suunnitelman käyttöönotto -aiheessa esitellään yleiset vaiheet, jotka sinun on suoritettava Defender for Endpointin käyttöönottamiseksi.
Katso tästä videosta lyhyt yleiskatsaus perehdytysprosessista ja lue lisää käytettävissä olevista työkaluista ja menetelmistä.
Perehdyttämistyökalun asetukset
Seuraavassa taulukossa on lueteltu käytettävissä olevat työkalut sen päätepisteen perusteella, joka sinun on otettava käyttöön.
Päätepiste | Työkalun asetukset |
---|---|
Windows | - Paikallinen komentosarja (enintään 10 laitetta) - Ryhmäkäytäntö - Microsoft Intune / Mobiililaitteiden hallinta - Microsoft Endpoint Configuration Manager - VDI-komentosarjat |
macOS | - Paikalliset komentosarjat - Microsoft Intune - JAMF Pro - Mobiililaitteiden hallinta |
iOS | Sovelluspohjainen |
Android | Microsoft Intune |
Kun pilotoit Microsoft Defender for Endpointia, voit halutessasi ottaa käyttöön muutamia laitteita palveluun ennen koko organisaation perehdyttämistä.
Sen jälkeen voit kokeilla käytettävissä olevia ominaisuuksia, kuten hyökkäyssimulaatioiden suorittamista ja sitä, miten Defender for Endpoint havaitsee haitallisia toimintoja ja mahdollistaa tehokkaan vastauksen suorittamisen.
Vaihe 3: Pilottiryhmän tarkistaminen
Kun olet suorittanut Ota arviointi käyttöön -osiossa kuvatut käyttöönottovaiheet, sinun pitäisi nähdä laitteet Laitteen varasto -luettelossa noin tunnin kuluttua.
Kun näet perehdytyt laitteesi, voit jatkaa ominaisuuksien kokeilemista.
Vaihe 4: Ominaisuuksien kokeileminen
Nyt kun olet suorittanut joidenkin laitteiden käyttöönoton ja varmistanut, että ne raportoivat palveluun, tutustu tuotteeseen kokeilemalla tehokkaita ominaisuuksia, jotka ovat käytettävissä heti.
Pilottikokeilun aikana voit helposti aloittaa joidenkin ominaisuuksien kokeilemisen, jotta näet tuotteen toiminnassa käymättä läpi monimutkaisia määritysvaiheita.
Aloitetaan tutustumalla koontinäyttöihin.
Laitteen luettelon tarkasteleminen
Laitteen varastossa näet luettelon verkon päätepisteistä, verkkolaitteista ja IoT-laitteista. Sen lisäksi, että se tarjoaa näkymän verkon laitteille, se antaa myös tarkempia tietoja niistä, kuten toimialueen, riskitason, käyttöjärjestelmäympäristön ja muita tietoja, jotta riskialttiimpien laitteiden tunnistaminen on helppoa.
Tarkastele Microsoft Defenderin haavoittuvuuden hallinnan koontinäyttöä
Defenderin haavoittuvuuden hallinta auttaa keskittymään heikkouksiin, jotka aiheuttavat kiireellisimmän ja suurimman riskin organisaatiolle. Koontinäytöstä saat korkean tason näkymän organisaation altistumispisteistä, Microsoftin suojauspisteistä laitteille, laitteen altistumisen jakelusta, tärkeimmistä suojaussuosituksista, haavoittuvimmat ohjelmistot, tärkeimmät korjaustoiminnot ja suosituimmat paljastetut laitetiedot.
Simulaation suorittaminen
Microsoft Defender for Endpoint sisältää "Tee se itse" -hyökkäysskenaarioita , joita voit käyttää pilottilaitteissasi. Jokainen asiakirja sisältää käyttöjärjestelmä- ja sovellusvaatimukset sekä yksityiskohtaiset ohjeet hyökkäysskenaariota varten. Nämä komentosarjat ovat turvallisia, dokumentoituja ja helppokäyttöisia. Nämä skenaariot kuvastavat Defender for Endpoint -ominaisuuksia ja opastavat sinut tutkimuskokemuksen läpi.
Jotta voit suorittaa jonkin annetuista simulaatioista, tarvitset vähintään yhden perehdytetyssä laitteessa.
Valitse ohjesimulaatioiden>& opetusohjelmissa, mitä käytettävissä olevista hyökkäysskenaarioita haluat simuloida:
Skenaario 1: Asiakirja putoaa takaovesta - simuloi sosiaalisesti suunnitellun houkutinasiakirjan toimittamista. Asiakirja käynnistää erityisesti laaditun takaoven, joka antaa hyökkääjille hallinnan.
Skenaario 2: PowerShell-komentosarja tiedostottomassa hyökkäyksessä - simuloi tiedostotonta hyökkäystä, joka on riippuvainen PowerShellistä, esittelee hyökkäyspinnan pienentämistä ja laitteen oppimistunnistusta haitallisesta muistitoiminnasta.
Skenaario 3: Automatisoitu tapausten käsittely – käynnistää automatisoidun tutkimuksen, joka etsii ja korjaa murtoartefaktit automaattisesti tapausten käsittelykapasiteetin skaalaamiseksi.
Lataa ja lue vastaava vaiheittaiset ohjeet, jotka on annettu valitsemallesi skenaariolle.
Lataa simulointitiedosto tai kopioi simulointikomentosarja siirtymällä ohjesimulaatioiden>& opetusohjelmiin. Voit halutessasi ladata tiedoston tai komentosarjan testilaitteeseen, mutta se ei ole pakollinen.
Suorita simulointitiedosto tai -komentosarja testilaitteessa vaiheittaisen asiakirjan ohjeiden mukaisesti.
Huomautus
Simulointitiedostot tai komentosarjat jäljittelevät hyökkäystoimintaa, mutta ovat todella hyvänlaatuisia eivätkä vahingoita tai vaaranna testilaitetta.
SIEM-integrointi
Voit integroida Defender for Endpointin Microsoft Sentineliin tai yleiseen suojaustietoihin ja tapahtumienhallintapalveluun (SIEM), jos haluat ottaa käyttöön yhdistettyjen sovellusten ilmoitusten ja toimintojen keskitetyn seurannan. Microsoft Sentinelin avulla voit analysoida organisaatiosi suojaustapahtumia kattavammin ja luoda pelikirjoja tehokkaaksi ja välittömäksi reagoinnille.
Microsoft Sentinel sisältää Defender for Endpoint -liittimen. Lisätietoja on artikkelissa Microsoft Defender for Endpoint -yhdistin Microsoft Sentinelille.
Lisätietoja integroinnista yleisiin SIEM-järjestelmiin on kohdassa OTA SIEM-integrointi käyttöön Microsoft Defender for Endpointissa.
Seuraavat vaiheet
Sisällytä Defender for Endpoint Security Operations Guide -sovelluksen tiedot SecOps-prosesseihin.
Seuraava vaihe Microsoft Defender XDR:n päästä päähän -käyttöönotossa
Jatka Microsoft Defender XDR:n käyttöönottoa pilottikokeilun avulla ja ota käyttöön Microsoft Defender for Cloud Apps.
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.