שתף באמצעות

פריסת ניסיון ופריסה של Microsoft Defender עבור נקודת קצה

  • מאמר

חל על:

  • Microsoft Defender XDR

מאמר זה מספק זרימת עבודה לפריסה ופריסה של Microsoft Defender עבור נקודת קצה בארגון שלך. באפשרותך להשתמש בהמלצות אלה כדי לצרף את Microsoft Defender for Endpoint ככלי יחיד לאבטחת סייבר או כחלק מפתרון מקצה לקצה עם Microsoft Defender XDR.

מאמר זה מבוסס על ההנחה שיש לך דייר ייצור של Microsoft 365 ואתה בפריסת ניסיון ופריסה של Microsoft Defender עבור נקודת קצה בסביבה זו. תרגול זה ישמרו על ההגדרות וההתאמות האישיות שתקבע במהלך פריסת הניסיון עבור הפריסה המלאה.

Defender for Endpoint תורם לארכיטקטורה של Zero Trust בכך שהוא מסייע במניעה או בהפחתת נזק עסקי מהפרה. לקבלת מידע נוסף, עיין בנושא מניעה או צמצום של נזק עסקי מתרחיש עסקי להפרה במסגרת ההטמעה של Microsoft Zero Trust.

פריסה מקצה לקצה עבור Microsoft Defender XDR

מאמר 4 מתוך 6 בסידרה יעזור לך לפרוס את רכיבי ה- XDR של Microsoft Defender, כולל חקירה ומענה לתקריות.

דיאגרמה המציגה את נקודת הקצה של Microsoft Defender בפריסת ניסיון ופריסה של תהליך ה- XDR של Microsoft Defender.

המאמרים בסידרה זו תואמים לשלבים הבאים של פריסה מקצה לקצה:

שלב קישור
A. הפעל את הפיילוט הפעל את הפיילוט
B. פריסת ניסיון ופריסה של רכיבי XDR של Microsoft Defender - פריסת ניסיון ופריסה של Defender עבור זהות

- פריסת ניסיון ופריסה של Defender עבור Office 365

- פריסת ניסיון ופריסה של Defender עבור נקודת קצה (מאמר זה)

- פריסת ניסיון ופריסה של Microsoft Defender עבור אפליקציות ענן
C. חקור איומים והגב לאיומים תרגל חקירה ותגובה של מקרים

פריסת ניסיון ופריסה של זרימת עבודה עבור Defender עבור זהות

הדיאגרמה הבאה ממחישה תהליך נפוץ לפריסת מוצר או שירות בסביבות IT.

דיאגרמה של שלבי ההטמעה של פריסת הניסיון, ההערכה והפריסה המלאה.

התחל בהערכת המוצר או השירות והאופן שבו הם יפעלו בארגון שלך. לאחר מכן, תטיס את המוצר או השירות עם קבוצת משנה קטנה במידה המתאימה של תשתית הייצור שלך לבדיקה, למידה והתאמה אישית. לאחר מכן, הגדל בהדרגה את היקף הפריסה עד שכל התשתית או הארגון שלך מכוסים.

להלן זרימת העבודה לפריסת ניסיון ולפריסה של Defender עבור זהות בסביבת הייצור שלך.

דיאגרמה המציגה את השלבים לפריסת ניסיון ופריסה של Microsoft Defender עבור זהות.

בצע שלבים אלה:

  1. בדוק את מצב הרשיון
  2. צירוף נקודות קצה באמצעות כל אחד מכלי הניהול הנתמכים
  3. אימות קבוצת ניסיון
  4. נסה יכולות

להלן השלבים המומלצים עבור כל שלב פריסה.

שלב פריסה תיאור
להעריך בצע הערכת מוצר עבור Defender for Endpoint.
טייס בצע את שלבים 1-4 עבור קבוצת פיילוט.
פריסה מלאה קבע את תצורת קבוצת הפיילוט בשלב 3 או הוסף קבוצות כדי להרחיב מעבר לפיילוט ובסופו של דבר לכלול את כל המכשירים שלך.

הגנה על הארגון שלך מפני פורצים

Defender for Identity מספק הגנה רבת-עוצמה בעצמו. עם זאת, בשילוב עם היכולות האחרות של XDR של Microsoft Defender, Defender for Endpoint מספק נתונים לאותות המשותפים אשר יחד עוזרים לעצור תקיפות.

להלן דוגמה של מתקפת סייבר וכיצד הרכיבים של Microsoft Defender XDR עוזרים לזהות ולצמצם אותה.

דיאגרמה המציגה כיצד XDR של Microsoft Defender מפסיק שרשרת איומים.

Defender for Endpoint מזהה פגיעויות של מכשירים ורשת שעלולות לנצל באופן אחר מכשירים המנוהלות על-ידי הארגון שלך.

Microsoft Defender XDR מתאם את האותות מכל רכיבי Microsoft Defender כדי לספק את סיפור ההתקפה המלא.

Defender for Endpoint architecture

הדיאגרמה הבאה מציגה את הארכיטקטורה והשילובים של Microsoft Defender for Endpoint.

דיאגרמה המציגה את השלבים להוספת נקודת קצה של Microsoft Defender לסביבת הערכת XDR של Microsoft Defender.

טבלה זו מתארת את האיור.

הסבר תיאור
1 מכשירים מחוברים באמצעות אחד ממכשירי הניהול הנתמכים.
2 מכשירים סלולאריים מספקים ומגיבים ל- Microsoft Defender עבור נתוני אותות נקודת קצה.
3 מכשירים מנוהלים מצורפים ו/או רשומים במזהה Microsoft Entra.
4 מכשירי Windows המצורפים לתחום מסונכרנים עם מזהה Microsoft באמצעות Microsoft Entra Connect.
5 Microsoft Defender עבור התראות נקודת קצה, חקירות ותגובות מנוהלות ב- Microsoft Defender XDR.

עצה

Microsoft Defender for Endpoint כולל גם מעבדה להערכת מוצרים שבה ניתן להוסיף מכשירים מוגדרים מראש ולהפעיל הדמיות כדי להעריך את היכולות של הפלטפורמה. המעבדה כוללת חוויית הגדרה פשוטה יותר, שעשויה לעזור להדגים במהירות את הערך של Microsoft Defender עבור נקודת קצה, כולל הדרכה עבור תכונות רבות כגון ניתוחי ציד ואיומים מתקדמים. לקבלת מידע נוסף, ראה הערכת יכולות. ההבדל העיקרי בין ההנחיות שסופקו במאמר זה למעבדת ההערכה הוא סביבת ההערכה משתמשת במכשירי ייצור בעוד מעבדת ההערכה משתמשת במכשירים שאינם ייצור.

שלב 1: בדיקת מצב הרשיון

תחילה יהיה עליך לבדוק את מצב הרשיון כדי לוודא שהוא הוקצה כראוי. תוכל לעשות זאת דרך מרכז הניהול או באמצעות פורטל Microsoft Azure.

  1. כדי להציג את הרשיונות שלך, עבור אל פורטל Microsoft Azure ונווט אל המקטע רשיון פורטל Microsoft Azure.

    צילום מסך של דף הרישוי של Azure בפורטל Microsoft Defender.

  2. לחלופין, במרכז הניהול, נווט אל מנויי>חיוב.

    במסך, תראה את כל הרשיונות שהוקצו והמצב הנוכחי שלהם.

    צילום מסך של הדף 'רשיונות חיוב' בפורטל Microsoft Azure.

שלב 2: צירוף נקודות קצה באמצעות כל אחד מכלי הניהול הנתמכים

לאחר אימות כי מצב הרשיון הוקצה כראוי, באפשרותך להתחיל בצירוף מכשירים לשירות.

לצורך הערכת Microsoft Defender עבור נקודת קצה, מומלץ לבחור כמה מכשירי Windows לצורך ביצוע ההערכה.

באפשרותך לבחור להשתמש בכל אחד מכלי הניהול הנתמכים, אך Intune מספק שילוב מיטבי. לקבלת מידע נוסף, ראה קביעת התצורה של Microsoft Defender עבור נקודת קצה ב- Microsoft Intune.

נושא פריסת התוכנית מתאר את השלבים הכלליים שעליך לבצע כדי לפרוס את Defender for Endpoint.

צפה בסרטון וידאו זה לקבלת סקירה מהירה של תהליך הצירוף וקבל מידע על הכלים והשיטות הזמינים.

אפשרויות כלי צירוף

הטבלה הבאה מפרטת את הכלים הזמינים בהתבסס על נקודת הקצה שעליך להקלוט.

נקודת הקצה אפשרויות כלי
Windows - קובץ Script מקומי (עד 10 מכשירים)
- מדיניות קבוצתית
- Microsoft Intune / מנהל ההתקנים הניידים
- Microsoft Endpoint Configuration Manager
- קבצי Script של VDI
macOS - קבצי Script מקומיים
- Microsoft Intune
- JAMF Pro
- ניהול מכשירים ניידים
iOS מבוסס-אפליקציה
Android Microsoft Intune

כאשר אתה בפריסת ניסיון של Microsoft Defender עבור נקודת קצה, באפשרותך לבחור לקלוט כמה מכשירים לשירות לפני קליטת הארגון כולו.

לאחר מכן תוכל לנסות יכולות הזמינות, כגון הפעלת הדמיות תקיפה וראה כיצד Defender for Endpoint מסמן פעילויות זדוניות ומאפשר לך לבצע תגובה יעילה.

שלב 3: אימות קבוצת ניסיון

לאחר השלמת שלבי הצירוף המתוארים במקטע הפוך הערכה לזמינה, אתה אמור לראות את המכשירים ברשימה מלאי מכשירים כ לאחר שעה.

כאשר תראה את המכשירים הקלוטים שלך, תוכל להמשיך לנסות את היכולות.

שלב 4: נסה את היכולות

כעת, לאחר שהשלמת את הצירוף של מכשירים מסוימים ו לאמת שהם מדווחים לשירות, הכר את המוצר על-ידי ניסיון של יכולות רבות-עוצמה הזמינות ישירות מהתיבה.

במהלך הפיילוט, תוכל להתחיל בקלות לנסות חלק מהתכונות כדי לראות את המוצר בפעולה מבלי לעבור שלבים מורכבים של קביעת תצורה.

נתחיל בבדיקת לוחות המחוונים.

הצג את מלאי המכשיר

רשימת מלאי המכשירים היא המקום שבו תוכל לראות את רשימת נקודות הקצה, התקני הרשת והתקני IoT ברשת שלך. לא רק שהיא מספקת לך תצוגה של המכשירים ברשת שלך, אלא גם מספקת לך מידע מעמיק לגביהם, כגון תחום, רמת סיכון, פלטפורמת מערכת ההפעלה ופרטים אחרים לצורך זיהוי קל של מכשירים הנמצאים בסיכון הרב ביותר.

הצג את לוח המחוונים של ניהול פגיעויות של Microsoft Defender

ניהול פגיעויות של Defender עוזר לך להתמקד בחולשות שמציבות את הסיכון הדחוי ביותר ואת הסיכון הגבוה ביותר לארגון. מלוח המחוונים, קבל תצוגה ברמה גבוהה של ציון החשיפה לארגון, ניקוד מאובטח של Microsoft עבור מכשירים, התפלגות חשיפת מכשירים, המלצות אבטחה מובילות, תוכנות פגיעות מובילות, פעילויות תיקון מובילות ותוני מכשירים חשופים מובילים.

הפעל הדמיה

Microsoft Defender for Endpoint מגיע עם תרחישי תקיפה "עשה זאת בעצמך" שבאפשרותך להפעיל במכשירי הניסיון שלך. כל מסמך כולל דרישות מערכת הפעלה ויישומים וכן הוראות מפורטות ספציפיות לתרחיש תקיפה. קבצי Script אלה בטוחים, מסמכים וקלים לשימוש. תרחישים אלה ישקפו את יכולות Defender for Endpoint וידריך אותך לאורך חוויית החקירה.

כדי להפעיל את אחת מההדמיות שסופקו, דרושה לך לפחות מכשיר אחד מחובר.

  1. בהדמיות>עזרה & ערכות לימוד, בחר אילו מתרחישי ההתקפה הזמינים ברצונך לדמות:

    • תרחיש 1: המסמך משחרר דלת אחורית - מדמה מסירה של מסמך פיתוי הנדסה חברתית. המסמך מפעיל דלת אחורית בעלת מבנה מיוחד, שמספקת לתוקפים שליטה.

    • תרחיש 2: קובץ Script של PowerShell בתקיפה ללא קבצים - מדמה מתקפה ללא קובץ שמסתמכת על PowerShell, מציגה הפחתת שטח של התקפה וזיהוי למידה של מכשירים של פעילות זיכרון זדוני.

    • תרחיש 3: תגובה אוטומטית לתקריות - מפעילה חקירה אוטומטית, אשר תרדוף ותתקן באופן אוטומטי ממצאי הפרה כדי לשנות את קנה המידה של קיבולת התגובה לתקריות שלך.

  2. הורד וקרא את מסמך ההדרכה המתאים שסופק עם התרחיש שנבחר.

  3. הורד את קובץ הסימולציה או העתק את תסריט הסימולציה על-ידי ניווט אל הדמיות>עזרה & ערכות לימוד. באפשרותך לבחור להוריד את הקובץ או את קובץ ה- Script בהתקן הבדיקה, אך הוא אינו הכרחי.

  4. הפעל את קובץ הסימולציה או את קובץ ה- Script במכשיר הבדיקה, בהתאם להוראות במסמך ההדרכה.

הערה

קבצי הדמיה או קבצי Script מחקים פעילות תקיפה, אך הם למעשה מזיקים ולא יפגעו או יתפשרו על מכשיר הבדיקה.

שילוב SIEM

באפשרותך לשלב את Defender for Endpoint עם Microsoft Sentinel או שירות כללי של מידע אבטחה וניהול אירועים (SIEM) כדי לאפשר ניטור מרכזי של התראות ופעילויות מאפליקציות מחוברות. באמצעות Microsoft Sentinel, באפשרותך לנתח אירועי אבטחה בצורה מקיפה יותר ברחבי הארגון ולבנות ספרי משחקים לתגובה יעילה ומידית.

דיאגרמה המציגה את הארכיטקטורה של Microsoft Defender עבור נקודת קצה עם שילוב SIEM.

Microsoft Sentinel כולל מחבר של Defender for Endpoint. לקבלת מידע נוסף, ראה Microsoft Defender עבור מחבר נקודת קצה עבור Microsoft Sentinel.

לקבלת מידע אודות שילוב עם מערכות SIEM כלליות, ראה הפיכת שילוב SIEM לזמין ב- Microsoft Defender for Endpoint.

השלב הבא

שלב את המידע במדריך הפעולות של Defender for Endpoint Security בתהליכים של SecOps.

השלב הבא עבור הפריסה מקצה לקצה של Microsoft Defender XDR

המשך את הפריסה מקצה לקצה של Microsoft Defender XDR באמצעות פריסת ניסיון ופרוס את Microsoft Defender עבור אפליקציות ענן.

דיאגרמה המציגה את אפליקציות הענן של Microsoft Defender בפריסת ניסיון ופריסה של תהליך ה- XDR של Microsoft Defender.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.