Jaa


Microsoft Defender for Endpointin pilottikoe ja käyttöönotto

Koskee seuraavia:

  • Microsoft Defender XDR

Tässä artikkelissa on työnkulku Microsoft Defender for Endpointin pilotointiin ja käyttöönottoon organisaatiossasi. Näiden suositusten avulla voit lisätä Microsoft Defender for Endpointin henkilökohtaisena kyberturvallisuustyökaluna tai osana päästä päähän -ratkaisua Microsoft Defender XDR:n kanssa.

Tässä artikkelissa oletetaan, että käytössäsi on Microsoft 365 -tuotantovuokraaja ja että olet luomassa ja ottamassa käyttöön Microsoft Defender for Endpointia tässä ympäristössä. Tämä käytäntö säilyttää kaikki pilottikokeilun aikana määrittämäsi asetukset ja mukautukset täyttä käyttöönottoa varten.

Defender for Endpoint osallistuu Zero Trust -arkkitehtuuriin auttamalla estämään tai vähentämään liiketoiminnan vaurioita murrosta. Lisätietoja on Microsoft Zero Trustin käyttöönoton kehyksessä Liiketoimintavaurioiden estäminen tai vähentäminen murron liiketoimintaskenaariosta.

Microsoft Defender XDR:n päästä päähän -käyttöönotto

Tämä on sarjan artikkeli 4/6, jonka avulla voit ottaa käyttöön Microsoft Defender XDR:n osia, mukaan lukien tapahtumien tutkiminen ja niihin vastaaminen.

Kaavio, joka näyttää Microsoft Defender for Endpointin pilottikokeessa ja ottaa käyttöön Microsoft Defender XDR -prosessin.

Tämän sarjan artikkelit vastaavat seuraavia päästä päähän -käyttöönoton vaiheita:

Vaihe Linkki
A. Käynnistä pilotti Käynnistä pilotti
B. Microsoft Defenderin XDR-osien pilottikoe ja käyttöönotto - Defender for Identityn pilottikoe ja käyttöönotto

- Defender for Office 365:n pilottikoe ja käyttöönotto

- Defender for Endpointin pilottikoe ja käyttöönotto (tämä artikkeli)

- Microsoft Defender for Cloud Appsin pilottikoe ja käyttöönotto
C. Tutki uhkia ja reagoi niihin Tapausten tutkinnan ja reagointikäytännön harjoittaminen

Defender for Identityn pilotti- ja käyttöönottotyönkulku

Seuraavassa kaaviossa esitetään yleinen prosessi tuotteen tai palvelun käyttöönottoon IT-ympäristössä.

Pilottikokeilun, arvioinnin ja täyden käyttöönoton käyttöönottovaiheiden kaavio.

Aloitat arvioimalla tuotetta tai palvelua ja sitä, miten se toimii organisaatiossasi. Sen jälkeen voit kokeilla tuotetta tai palvelua sopivan pienellä osajoukolla tuotantoinfrastruktuuristasi testausta, oppimista ja mukauttamista varten. Kasvata sitten käyttöönottoa asteittain, kunnes koko infrastruktuuri tai organisaatio on katettu.

Tässä on työnkulku Defender for Identityn pilotointiin ja käyttöönottoon tuotantoympäristössäsi.

Kaavio, joka näyttää Microsoft Defender for Identityn pilottikoe- ja käyttöönottovaiheet.

Toimi seuraavasti:

  1. Tarkista käyttöoikeuden tila
  2. Perehdytyspäätepisteet käyttämällä mitä tahansa tuetuista hallintatyökaluista
  3. Tarkista pilottiryhmä
  4. Kokeile ominaisuuksia

Seuraavassa on kunkin käyttöönottovaiheen suositellut vaiheet.

Käyttöönottovaihe Kuvaus
Arvioida Suorita tuotteen arviointi Defender for Endpointille.
Lentäjä Suorita vaiheet 1–4 pilottiryhmälle.
Täysi käyttöönotto Määritä pilottiryhmä vaiheessa 3 tai lisää ryhmiä laajentamaan pilottikokeilun ulkopuolelle ja lopulta sisällytä kaikki laitteesi.

Organisaation suojaaminen hakkereilta

Defender for Identity tarjoaa tehokkaan suojauksen. Kun se yhdistetään Microsoft Defender XDR:n muihin ominaisuuksiin, Defender for Endpoint tarjoaa jaettuihin signaaleihin tietoja, jotka yhdessä auttavat pysäyttämään hyökkäykset.

Tässä on esimerkki kyberhyökkäyksestä ja siitä, miten Microsoft Defender XDR:n osat auttavat sen havaitsemisessa ja lieventämisessä.

Kaavio, joka näyttää, miten Microsoft Defender XDR pysäyttää uhkaketjun.

Defender for Endpoint havaitsee laitteen ja verkon haavoittuvuudet, joita muuten voitaisiin hyödyntää organisaatiosi hallitsemien laitteiden kohdalla.

Microsoft Defender XDR korreloi kaikkien Microsoft Defenderin osien signaalit tarjotakseen koko hyökkäystarinan.

Defender for Endpoint -arkkitehtuuri

Seuraavassa kaaviossa esitetään Microsoft Defender for Endpoint -arkkitehtuuri ja integroinnit.

Kaavio, joka näyttää vaiheet Microsoft Defender for Endpointin lisäämiseksi Microsoft Defender XDR -arviointiympäristöön.

Tässä taulukossa kuvataan kuva.

Kuvateksti Kuvaus
1 Laitteet on asennettu johonkin tuetuista hallintatyökaluista.
2 Laitteessa olevat laitteet tarjoavat Microsoft Defender for Endpoint -signaalitietoja ja vastaavat niihin.
3 Hallitut laitteet liitetään ja/tai rekisteröidään Microsoft Entra -tunnuksella.
4 Toimialueeseen liitetyt Windows-laitteet synkronoidaan Microsoft Entra ID:hen Microsoft Entra Connectin avulla.
5 Microsoft Defender for Endpoint -ilmoituksia, tutkimuksia ja vastauksia hallitaan Microsoft Defender XDR:ssä.

Vihje

Microsoft Defender for Endpoint sisältää myös tuotteensisäisen arviointilaboratorion, jossa voit lisätä esimääritetyt laitteet ja suorittaa simulaatioita ympäristön ominaisuuksien arvioimiseksi. Labratyön mukana toimitetaan yksinkertaistettu määrityskokemus, joka voi auttaa nopeasti osoittamaan Microsoft Defender for Endpointin arvoa, mukaan lukien ohjeita monille ominaisuuksille, kuten kehittyneelle metsästykselle ja uhka-analytiikalle. Lisätietoja on kohdassa Ominaisuuksien arvioiminen. Suurin ero tässä artikkelissa annettujen ohjeiden ja arviointilaboratorion välillä on se, että arviointiympäristö käyttää tuotantolaitteita, kun taas arviointilaboratoriossa käytetään muita kuin tuotantolaitteita.

Vaihe 1: Tarkista käyttöoikeuden tila

Tarkista ensin käyttöoikeuden tila sen varmistamiseksi, että se on valmisteltiin oikein. Voit tehdä tämän hallintakeskuksen tai Microsoft Azure -portaalin kautta.

  1. Jos haluat tarkastella käyttöoikeuksiasi, siirry Microsoft Azure -portaaliin ja siirry Microsoft Azure -portaalin käyttöoikeusosioon.

    Näyttökuva Azure-käyttöoikeussivusta Microsoft Defender -portaalissa.

  2. Vaihtoehtoisesti voit siirtyä hallintakeskuksessa kohtaanLaskutustilaukset>.

    Näytössä näkyvät kaikki valmistetut käyttöoikeudet ja niiden nykyinen tila.

    Näyttökuva Microsoft Azure -portaalin Laskutuskäyttöoikeudet-sivusta.

Vaihe 2: Perehdytyspäätepisteet minkä tahansa tuetun hallintatyökalun avulla

Kun olet varmistanut, että käyttöoikeustila on valmistellut oikein, voit aloittaa laitteiden käyttöönoton palveluun.

Microsoft Defender for Endpointin arviointia varten suosittelemme valitsemaan pari Windows-laitetta arviointia varten.

Voit halutessasi käyttää mitä tahansa tuetuista hallintatyökaluista, mutta Intune tarjoaa optimaalisen integroinnin. Lisätietoja on artikkelissa Microsoft Defenderin määrittäminen päätepisteelle Microsoft Intunessa.

Suunnitelman käyttöönotto -aiheessa esitellään yleiset vaiheet, jotka sinun on suoritettava Defender for Endpointin käyttöönottamiseksi.

Katso tästä videosta lyhyt yleiskatsaus perehdytysprosessista ja lue lisää käytettävissä olevista työkaluista ja menetelmistä.

Perehdyttämistyökalun asetukset

Seuraavassa taulukossa on lueteltu käytettävissä olevat työkalut sen päätepisteen perusteella, joka sinun on otettava käyttöön.

Päätepiste Työkalun asetukset
Windows - Paikallinen komentosarja (enintään 10 laitetta)
- Ryhmäkäytäntö
- Microsoft Intune / Mobiililaitteiden hallinta
- Microsoft Endpoint Configuration Manager
- VDI-komentosarjat
macOS - Paikalliset komentosarjat
- Microsoft Intune
- JAMF Pro
- Mobiililaitteiden hallinta
iOS Sovelluspohjainen
Android Microsoft Intune

Kun pilotoit Microsoft Defender for Endpointia, voit halutessasi ottaa käyttöön muutamia laitteita palveluun ennen koko organisaation perehdyttämistä.

Sen jälkeen voit kokeilla käytettävissä olevia ominaisuuksia, kuten hyökkäyssimulaatioiden suorittamista ja sitä, miten Defender for Endpoint havaitsee haitallisia toimintoja ja mahdollistaa tehokkaan vastauksen suorittamisen.

Vaihe 3: Pilottiryhmän tarkistaminen

Kun olet suorittanut Ota arviointi käyttöön -osiossa kuvatut käyttöönottovaiheet, sinun pitäisi nähdä laitteet Laitteen varasto -luettelossa noin tunnin kuluttua.

Kun näet perehdytyt laitteesi, voit jatkaa ominaisuuksien kokeilemista.

Vaihe 4: Ominaisuuksien kokeileminen

Nyt kun olet suorittanut joidenkin laitteiden käyttöönoton ja varmistanut, että ne raportoivat palveluun, tutustu tuotteeseen kokeilemalla tehokkaita ominaisuuksia, jotka ovat käytettävissä heti.

Pilottikokeilun aikana voit helposti aloittaa joidenkin ominaisuuksien kokeilemisen, jotta näet tuotteen toiminnassa käymättä läpi monimutkaisia määritysvaiheita.

Aloitetaan tutustumalla koontinäyttöihin.

Laitteen luettelon tarkasteleminen

Laitteen varastossa näet luettelon verkon päätepisteistä, verkkolaitteista ja IoT-laitteista. Sen lisäksi, että se tarjoaa näkymän verkon laitteille, se antaa myös tarkempia tietoja niistä, kuten toimialueen, riskitason, käyttöjärjestelmäympäristön ja muita tietoja, jotta riskialttiimpien laitteiden tunnistaminen on helppoa.

Tarkastele Microsoft Defenderin haavoittuvuuden hallinnan koontinäyttöä

Defenderin haavoittuvuuden hallinta auttaa keskittymään heikkouksiin, jotka aiheuttavat kiireellisimmän ja suurimman riskin organisaatiolle. Koontinäytöstä saat korkean tason näkymän organisaation altistumispisteistä, Microsoftin suojauspisteistä laitteille, laitteen altistumisen jakelusta, tärkeimmistä suojaussuosituksista, haavoittuvimmat ohjelmistot, tärkeimmät korjaustoiminnot ja suosituimmat paljastetut laitetiedot.

Simulaation suorittaminen

Microsoft Defender for Endpoint sisältää "Tee se itse" -hyökkäysskenaarioita , joita voit käyttää pilottilaitteissasi. Jokainen asiakirja sisältää käyttöjärjestelmä- ja sovellusvaatimukset sekä yksityiskohtaiset ohjeet hyökkäysskenaariota varten. Nämä komentosarjat ovat turvallisia, dokumentoituja ja helppokäyttöisia. Nämä skenaariot kuvastavat Defender for Endpoint -ominaisuuksia ja opastavat sinut tutkimuskokemuksen läpi.

Jotta voit suorittaa jonkin annetuista simulaatioista, tarvitset vähintään yhden perehdytetyssä laitteessa.

  1. Valitse ohjesimulaatioiden>& opetusohjelmissa, mitä käytettävissä olevista hyökkäysskenaarioita haluat simuloida:

    • Skenaario 1: Asiakirja putoaa takaovesta - simuloi sosiaalisesti suunnitellun houkutinasiakirjan toimittamista. Asiakirja käynnistää erityisesti laaditun takaoven, joka antaa hyökkääjille hallinnan.

    • Skenaario 2: PowerShell-komentosarja tiedostottomassa hyökkäyksessä - simuloi tiedostotonta hyökkäystä, joka on riippuvainen PowerShellistä, esittelee hyökkäyspinnan pienentämistä ja laitteen oppimistunnistusta haitallisesta muistitoiminnasta.

    • Skenaario 3: Automatisoitu tapausten käsittely – käynnistää automatisoidun tutkimuksen, joka etsii ja korjaa murtoartefaktit automaattisesti tapausten käsittelykapasiteetin skaalaamiseksi.

  2. Lataa ja lue vastaava vaiheittaiset ohjeet, jotka on annettu valitsemallesi skenaariolle.

  3. Lataa simulointitiedosto tai kopioi simulointikomentosarja siirtymällä ohjesimulaatioiden>& opetusohjelmiin. Voit halutessasi ladata tiedoston tai komentosarjan testilaitteeseen, mutta se ei ole pakollinen.

  4. Suorita simulointitiedosto tai -komentosarja testilaitteessa vaiheittaisen asiakirjan ohjeiden mukaisesti.

Huomautus

Simulointitiedostot tai komentosarjat jäljittelevät hyökkäystoimintaa, mutta ovat todella hyvänlaatuisia eivätkä vahingoita tai vaaranna testilaitetta.

SIEM-integrointi

Voit integroida Defender for Endpointin Microsoft Sentineliin tai yleiseen suojaustietoihin ja tapahtumienhallintapalveluun (SIEM), jos haluat ottaa käyttöön yhdistettyjen sovellusten ilmoitusten ja toimintojen keskitetyn seurannan. Microsoft Sentinelin avulla voit analysoida organisaatiosi suojaustapahtumia kattavammin ja luoda pelikirjoja tehokkaaksi ja välittömäksi reagoinnille.

Kaavio, joka näyttää Microsoft Defender for Endpointin arkkitehtuurin SIEM-integroinnilla.

Microsoft Sentinel sisältää Defender for Endpoint -liittimen. Lisätietoja on artikkelissa Microsoft Defender for Endpoint -yhdistin Microsoft Sentinelille.

Lisätietoja integroinnista yleisiin SIEM-järjestelmiin on kohdassa OTA SIEM-integrointi käyttöön Microsoft Defender for Endpointissa.

Seuraavat vaiheet

Sisällytä Defender for Endpoint Security Operations Guide -sovelluksen tiedot SecOps-prosesseihin.

Seuraava vaihe Microsoft Defender XDR:n päästä päähän -käyttöönotossa

Jatka Microsoft Defender XDR:n käyttöönottoa pilottikokeilun avulla ja ota käyttöön Microsoft Defender for Cloud Apps.

Kaavio, joka näyttää Microsoft Defender for Cloud Appsin pilottikokeilun ja Microsoft Defender XDR -prosessin käyttöönoton.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.