Eszközök migrálása az egyszerűsített kapcsolati módszer használatához

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Ez a cikk bemutatja, hogyan migrálhatja (újracsatlakoztathatja) azokat az eszközöket, amelyeket korábban előkészítettek a Végponthoz készült Defenderbe az egyszerűsített eszközkapcsolati módszer használatához. Az egyszerűsített kapcsolattal kapcsolatos további információkért lásd: Eszközök előkészítése egyszerűsített kapcsolat használatával. Az eszközöknek meg kell felelniük az egyszerűsített kapcsolatra vonatkozó előfeltételeknek.

A legtöbb esetben nincs szükség teljes eszköz-kivezetésre az újrabeléptetéskor. Futtathatja a frissített előkészítési csomagot, és újraindíthatja az eszközt a kapcsolatváltáshoz. Az egyes operációs rendszerekkel kapcsolatos részletekért tekintse meg az alábbi információkat.

Fontos

Korlátozások és ismert problémák:

• Háttérbeli problémát találtunk a ConnectivityType speciális veszélyforrás-keresés oszlopának DeviceInfo table feltöltésével, hogy nyomon tudja követni a migrálási folyamatot. Célunk, hogy a lehető leghamarabb megoldjuk ezt a problémát.
• Eszközáttelepítések (újratelepítés) esetén: A kivezetés nem szükséges az egyszerűsített kapcsolati módszerre való váltáshoz. A frissített előkészítési csomag futtatása után teljes eszköz-újraindítás szükséges a Windows-eszközökhöz, valamint a szolgáltatás újraindítása macOS és Linux rendszereken. További információt az ebben a cikkben található részletekben talál.
• Windows 10 1607-re, 1703-ra, 1709-re és 1803-ra vonatkozó verziók nem támogatják az újrabeléptetést. Először kapcsolja ki, majd a frissített csomag használatával végezze el az előkészítést. Ezekhez a verziókhoz hosszabb URL-lista is szükséges.
• Az MMA-ügynököt futtató eszközök nem támogatottak, és továbbra is az MMA előkészítési módszerét kell használniuk.

Eszközök migrálása az egyszerűsített módszerrel

Migrálási javaslat

• Kezdje kicsiben. Javasoljuk, hogy először egy kis eszközkészlettel kezdjen. Alkalmazza az előkészítési blobot a támogatott üzembehelyezési eszközök bármelyikével, majd figyelje a kapcsolatot. Ha új előkészítési szabályzatot használ, az ütközések elkerülése érdekében mindenképpen zárja ki az eszközt a többi meglévő előkészítési szabályzatból.

• Ellenőrzés és figyelés. A kis eszközkészlet előkészítése után ellenőrizze, hogy az eszközök előkészítése sikeresen megtörtént-e, és hogy kommunikál-e a szolgáltatással.

• Fejezze be a migrálást. Ebben a szakaszban fokozatosan vezetheti be a migrálást egy nagyobb eszközkészletre. A migrálás befejezéséhez lecserélheti a korábbi előkészítési szabályzatokat, és eltávolíthatja a régi URL-címeket a hálózati eszközről.

A migrálások végrehajtása előtt ellenőrizze az eszköz előfeltételeit . Ezek az információk az előző cikkre épülnek, és a meglévő eszközök migrálására összpontosítanak.

Az eszközök újbóli előkészítéséhez az egyszerűsített előkészítési csomagot kell használnia. A csomag eléréséről további információt az Egyszerűsített kapcsolat című témakörben talál.

Az operációs rendszertől függően előfordulhat, hogy az áttelepítések az előkészítési csomag alkalmazása után az eszköz újraindítását vagy a szolgáltatás újraindítását igénylik:

• Windows: indítsa újra az eszközt

• macOS: Indítsa újra az eszközt, vagy indítsa újra a Végponthoz készült Defender szolgáltatást a következő futtatásával:

  1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
  2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

• Linux: Indítsa újra a Végponthoz készült Defender szolgáltatást a következő futtatásával: sudo systemctl restart mdatp

Az alábbi táblázat a rendelkezésre álló előkészítési eszközök áttelepítési utasításait sorolja fel az eszköz operációs rendszere alapján.

Windows 10 és 11

Windows 10 és 11

Fontos

Windows 10 1607-es, 1703-es, 1709-es és 1803-es verzió nem támogatja az újrabeléptetést. A meglévő eszközök migrálásához teljesen ki kell vennie és be kell kapcsolnia az egyszerűsített előkészítési csomag használatával.

A Windows-ügyféleszközök előkészítésére vonatkozó általános információkért lásd: Windows-ügyfél előkészítése.

Ellenőrizze, hogy teljesülnek-e az előfeltételek: Az egyszerűsített módszer használatának előfeltételei.

Helyi szkript

Kövesse a Helyi szkript (legfeljebb 10 eszköz) című cikkben található útmutatást az egyszerűsített előkészítési csomag használatával. A lépések elvégzése után újra kell indítania az eszközt, hogy az eszköz kapcsolata átváltson.

Csoportházirend

Kövesse a csoportházirendben található útmutatást az egyszerűsített előkészítési csomag használatával. A lépések elvégzése után újra kell indítania az eszközt, hogy az eszköz kapcsolata átváltson.

Microsoft Intune

Kövesse az Intune útmutatót az egyszerűsített előkészítési csomag használatával. Használhatja az "automatikus összekötőből" lehetőséget; ez a beállítás azonban nem alkalmazza automatikusan újra az előkészítési csomagot. Létrehozás egy új előkészítési szabályzatot, és először egy tesztcsoportot céloz meg. A lépések elvégzése után újra kell indítania az eszközt, hogy az eszköz kapcsolata átváltson.

Microsoft Configuration Manager

Kövesse a Configuration Manager útmutatását.

VDI

Használja a nem állandó virtuális asztali infrastruktúra (VDI) eszközeinek előkészítéséről szóló útmutatót. A lépések elvégzése után újra kell indítania az eszközt, hogy az eszköz kapcsolata átváltson.

Windows Server

Windows Server

A Windows Server-eszközök előkészítésére vonatkozó általános információkért lásd: Windows-kiszolgálók előkészítése a Végponthoz készült Microsoft Defender szolgáltatásba.

Ellenőrizze, hogy teljesülnek-e az előfeltételek: Az egyszerűsített módszer előfeltételei.

Microsoft Defender for Cloud

A már előkészített eszközök nem lesznek automatikusan újra regisztrálva. Kapcsolja be a következő Speciális szolgáltatás beállítást a Microsoft Defender portálon (Beállítások > Végpontok > speciális szolgáltatások), és válassza az "Egyszerűsített kapcsolati beállítások alkalmazása a Intune és a Felhőhöz készült Defender által felügyelt eszközökre" lehetőséget. Az újonnan hozzáadott eszközök körülbelül 48 órán belül elkezdik használni az új előkészítési információkat. A meglévő eszközök újbóli regisztrálásához alkalmazza az előkészítési szkriptet – lásd: Windows-kiszolgálók előkészítése a Végponthoz készült Microsoft Defender szolgáltatásra.

Microsoft Configuration Manager

Új szabályzat üzembe helyezéséhez kövesse az Configuration Manager útmutatását.

Csoportházirend

Kövesse a csoportházirendben található útmutatást az egyszerűsített előkészítési csomag használatával. A lépések elvégzése után újra kell indítania az eszközt, hogy az eszköz kapcsolata átváltson.

VDI

Kövesse a nem állandó virtuális asztali infrastruktúra (VDI) eszközeinek előkészítéséről szóló útmutatót. A lépések elvégzése után újra kell indítania az eszközt, hogy az eszköz kapcsolata átváltson.

macOS

macOS

Általános információk a macOS-eszközök előkészítéséről: Végponthoz készült Microsoft Defender macOS rendszeren.

Ellenőrizze, hogy teljesülnek-e az előfeltételek: Az egyszerűsített módszer előfeltételei.

Helyi szkript

Kövesse a macOS-en Végponthoz készült Microsoft Defender manuális üzembe helyezésével kapcsolatos útmutatót az egyszerűsített előkészítési csomag használatával.

A lépések elvégzése után újra kell indítania az eszközt, vagy újra kell indítania a szolgáltatást a kapcsolatváltáshoz.

Microsoft Intune

1. A Microsoft Intune hozzon létre egy új előkészítési szabályzatot egyéni konfigurációs profillal. Még ne rendelje hozzá. Kövesse a Mac Végponthoz készült Microsoft Defender Intune-alapú üzembe helyezését ismertető szakasz utasításait.

2. Zárja ki az újra regisztrálni kívánt macOS-eszközt a meglévő előkészítési szabályzatából. További információ a csoportok szabályzat-hozzárendelésekből való kizárásáról: Csoportok kizárása szabályzat-hozzárendelésből.

3. Adja hozzá a szabályzat hozzárendelését egyszerűsített előkészítési csomag használatával.

4. Indítsa újra az eszközt.

JAMF Pro

1. Az eszköz kizárása a JAMF Pro meglévő "előkészítési" szabályzataiból.

2. Létrehozás egy új előkészítési szabályzatot az egyszerűsített kapcsolati megközelítéshez.

3. Vegye fel az eszközt az új egyszerűsített előkészítési szabályzatba.

4. Indítsa újra az eszközt, ha azt korábban előkészítette a Végponthoz készült Defenderbe. Másik lehetőségként újraindíthatja a szolgáltatást a következő parancsokkal:

   1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
   2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

További JAMF-irányelvekért lásd: Végponthoz készült Microsoft Defender üzembe helyezése macOS rendszeren a JAMF Pro használatával.

Linux

Linux

A Linux-eszközök előkészítésére vonatkozó általános információkért lásd: Végponthoz készült Microsoft Defender Linuxon.

Ellenőrizze, hogy teljesülnek-e az előfeltételek: Az egyszerűsített módszer előfeltételei.

Helyi szkript

Használja a Végponthoz készült Microsoft Defender manuális üzembe helyezése Linuxon az egyszerűsített előkészítési csomag használatával című témakör útmutatását.

A lépések elvégzése után újra kell indítania az eszközt, vagy újra kell indítania a szolgáltatást a használatával sudo systemctl restart mdatp.

Az egyszerűsített megközelítéshez való eszközkapcsolat nem indul el, ha nem indítja újra az eszközt.

Külső linuxos üzembehelyezési eszközök (Puppet, Ansible, Chef)

Cserélje le az előkészítési csomagfájlt az aktuális üzembehelyezési módszerben.

Eszközkapcsolat ellenőrzése egyszerűsített módszerrel a migrált eszközökhöz

Az alábbi módszerekkel ellenőrizheti, hogy sikeresen csatlakoztatta-e a Windows-eszközöket:

• Ügyfélelemző
• Nyomon követés speciális veszélyforrás-kereséssel Microsoft Defender XDR
• Helyi nyomon követés eseménymegtekintő használatával (Windows esetén)
• Tesztek futtatása a Végponthoz készült Defender-szolgáltatásokkal való kapcsolat megerősítéséhez
• A beállításszerkesztő ellenőrzése
• PowerShell-észlelési teszt

MacOS és Linux rendszeren a következő módszereket használhatja:

• MDATP-kapcsolati tesztek
• Nyomon követés speciális veszélyforrás-kereséssel Microsoft Defender XDR
• Tesztek futtatása a Végponthoz készült Defender-szolgáltatásokkal való kapcsolat megerősítéséhez

A Végponthoz készült Defender ügyfélelemző (Windows) használata a migrált végpontok előkészítését követően a kapcsolat ellenőrzéséhez

Az előkészítést követően futtassa a MDE Ügyfélelemzőt annak ellenőrzéséhez, hogy az eszköz csatlakozik-e a megfelelő frissített URL-címekhez.

Töltse le az Végponthoz készült Microsoft Defender Ügyfélelemző eszközt, amelyen a Végponthoz készült Defender érzékelő fut.

Kövesse ugyanazokat az utasításokat, mint az Ügyfélkapcsolat ellenőrzése Végponthoz készült Microsoft Defender szolgáltatáshoz. A szkript automatikusan az eszközön konfigurált előkészítési csomagot használja (egyszerűsített verziójúnak kell lennie) a kapcsolat teszteléséhez.

Győződjön meg arról, hogy a megfelelő URL-címekkel létesített kapcsolat létrejött.

Nyomon követés speciális veszélyforrás-kereséssel Microsoft Defender XDR

A Microsoft Defender portálon speciális veszélyforrás-kereséssel megtekintheti a kapcsolattípus állapotát.

Ezek az információk a DeviceInfo táblában, a "ConnectivityType" oszlop alatt találhatók:

• Oszlop neve: ConnectivityType
• Lehetséges értékek: <blank>, Egyszerűsített, Standard
• Adattípus: Sztring
• Leírás: Az eszköz és a felhő közötti kapcsolat típusa

Miután migrált egy eszközt az egyszerűsített módszer használatára, és az eszköz sikeresen kommunikál az EDR-paranccsal & vezérlőcsatornával, az érték "Egyszerűsített" értékként jelenik meg.

Ha az eszközt visszaállítja a normál metódusra, az érték "standard".

Az olyan eszközök esetében, amelyek még nem kíséreltek meg újra üzembe helyezése, az érték üres marad.

Helyi nyomon követés egy eszközön a Windows eseménymegtekintő

A Windows eseménymegtekintő SENSE műveleti naplójával helyileg ellenőrizheti a kapcsolatokat az új egyszerűsített megközelítéssel. A SENSE 4 eseményazonosítója nyomon követi a sikeres EDR-kapcsolatokat.

Nyissa meg a Végponthoz készült Defender szolgáltatás eseménynaplót az alábbi lépésekkel:

1. A Windows menüben válassza a Start gombot, majd írja be eseménymegtekintő. Ezután válassza a eseménymegtekintő lehetőséget.

2. A naplólistában a Napló összegzése területen görgessen lefelé, amíg meg nem jelenik a Microsoft-Windows-SENSE/Operational elem. Kattintson duplán az elemre a napló megnyitásához.

   

   A naplót úgy is elérheti, hogy kibontja azAlkalmazások és szolgáltatások naplói>Microsoft>Windows>SENSE elemet, majd a Működési lehetőséget választja.

3. A 4-es eseményazonosító nyomon követi a Defender for Endpoint Command & Control csatornával való sikeres kapcsolatokat. Ellenőrizze a sikeres kapcsolatokat a frissített URL-címmel. Például:

   Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com.
   <EventData>
    <Data Name="UInt1">6</Data>
    <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com>
   </EventData>
   

4. Az 1. üzenet a megadott URL-címet tartalmazza. Ellenőrizze, hogy az esemény tartalmazza-e az egyszerűsített URL-címet (endpoint.security.microsoft, com).

5. Az 5-ös eseményazonosító adott esetben nyomon követi a hibákat.

Megjegyzés:

A SENSE a Végponthoz készült Microsoft Defender ható viselkedésérzékelőre való hivatkozáshoz használt belső név.
A szolgáltatás által rögzített események megjelennek a naplóban.
További információ: Események és hibák áttekintése eseménymegtekintő használatával.

Tesztek futtatása a Végponthoz készült Defender-szolgáltatásokkal való kapcsolat megerősítéséhez

Miután előkészítette az eszközt a Végponthoz készült Defenderbe, ellenőrizze, hogy továbbra is megjelenik-e az Eszközleltárban. A DeviceID-nek változatlannak kell maradnia.

Ellenőrizze az Eszközoldal idővonala lapon, hogy az események az eszközről áramlanak-e.

Élő válasz

Győződjön meg arról, hogy az élő válasz működik a teszteszközön. Kövesse az Entitások vizsgálata az eszközökön élő válasz használatával című témakör utasításait.

A kapcsolat megerősítéséhez futtasson néhány egyszerű parancsot a csatlakozás után (például cd, feladatok, csatlakozás).

Automatizált vizsgálat és reagálás

Győződjön meg arról, hogy az automatizált vizsgálat és válasz működik a teszteszközön: Automatizált vizsgálati és válaszképességek konfigurálása.

Az automatikus integrációs modul tesztelési tesztkörnyezeteihez lépjen az Microsoft Defender XDR>Evaluations & Oktatóanyagok oktatóanyagok>& szimulációk> **Oktatóanyagok >automatizált vizsgálat oktatóanyagokhoz.

Felhőben nyújtott védelem

1. Nyisson meg egy parancssort rendszergazdaként.

2. Kattintson a jobb gombbal az elemre a Start menüben, válassza a Futtatás rendszergazdaként lehetőséget, majd válassza az Igen lehetőséget az engedélykérésnél.

3. Az alábbi argumentummal ellenőrizze a Microsoft Defender Víruskereső parancssori segédprogrammal (mpcmdrun.exe), hogy a hálózat képes-e kommunikálni a Microsoft Defender Víruskereső felhőszolgáltatással:

   "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
   

Megjegyzés:

Ez a parancs csak Windows 10, 1703-es vagy újabb verzión vagy Windows 11 fog működni. További információ: Microsoft Defender víruskereső kezelése a mpcmdrun.exe parancssori eszközzel.

Tesztblokk első látásra

Kövesse az Végponthoz készült Microsoft Defender Block at First Sight (BAFS) bemutató utasításait.

SmartScreen tesztelése

Kövesse Microsoft Defender SmartScreen bemutató (msft.net) utasításait.

PowerShell-észlelési teszt

1. A Windows-eszközön hozzon létre egy mappát: C:\test-MDATP-test.

2. Nyissa meg a parancssort rendszergazdaként.

3. A Parancssor ablakban futtassa a következő PowerShell-parancsot:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

A parancs futtatása után a parancssori ablak automatikusan bezárul. Ha sikeres, az észlelési teszt befejezettként lesz megjelölve.

MacOS és Linux rendszeren a következő módszereket használhatja:

• MDATP-kapcsolati tesztek
• Nyomon követés speciális veszélyforrás-kereséssel Microsoft Defender XDR
• Tesztek futtatása a Végponthoz készült Defender-szolgáltatásokkal való kapcsolat megerősítéséhez

MDATP kapcsolati teszt (macOS és Linux)

Futtassa a parancsot mdatp health -details features a következő simplified_connectivity megerősítéséhez: "engedélyezve".

Futtassa a parancsot mdatp health -details edr annak ellenőrzéséhez edr_partner_geo_location , hogy elérhető-e. Az értéknek ott kell lennie GW_<geo> , ahol a "geo" a bérlő földrajzi helye.

Futtassa az mdatp kapcsolati tesztet. Győződjön meg arról, hogy az egyszerűsített URL-minta megtalálható. A "\storage" esetében kettőre, az egyikre a \mdav, a másik a \xplat, a másik a "/packages" kifejezésre számíthat.

Például: https:mdav.us.endpoint.security.microsoft/com/storage

Nyomon követés speciális veszélyforrás-kereséssel Microsoft Defender XDR

Kövesse ugyanazokat az utasításokat, mint a Windows esetében.

A Végponthoz készült Defender ügyfélelemző (platformfüggetlen) használata az újonnan migrált végpontok kapcsolatainak ellenőrzéséhez

Töltse le és futtassa az ügyfélelemzőt macOS vagy Linux rendszeren. További információ: Az ügyfélelemző letöltése és futtatása.

1. Futtassa a parancsot mdeclientanalyzer.cmd -o <path to cmd file> az MDEClientAnalyzer mappából. A parancs az előkészítési csomag paramétereit használja a kapcsolat teszteléséhez.

2. Futtassa a parancsot mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> (ahol a paraméter értéke GW_US, GW_EU, GW_UK). A GW az egyszerűsített beállításra utal. Futtassa a parancsot a megfelelő bérlő földrajzi helyével.