Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk bemutatja, hogyan migrálhatja (újracsatlakoztathatja) azokat az eszközöket, amelyeket korábban előkészítettek a Végponthoz készült Defenderbe az egyszerűsített eszközkapcsolati módszer használatához. Az egyszerűsített kapcsolattal kapcsolatos további információkért lásd: Eszközök előkészítése egyszerűsített kapcsolat használatával. Az eszközöknek meg kell felelniük az egyszerűsített kapcsolatra vonatkozó előfeltételeknek.
A legtöbb esetben nincs szükség teljes eszköz-kivezetésre az újrabeléptetéskor. Futtathatja a frissített előkészítési csomagot, és újraindíthatja az eszközt a kapcsolatváltáshoz. Az egyes operációs rendszerekkel kapcsolatos részletekért tekintse meg az alábbi információkat.
Fontos
Korlátozások és ismert problémák:
- Eszközáttelepítések (újratelepítés) esetén: Az egyszerűsített kapcsolódási módszerre való váltáshoz nincs szükség a kivezetésre. A frissített előkészítési csomag futtatása után teljes eszköz-újraindítás szükséges a Windows-eszközökhöz, valamint a szolgáltatás újraindítása macOS és Linux esetén. További információt az ebben a cikkben található részletekben talál.
- Windows 10 1607-re, 1703-ra, 1709-re és 1803-ra vonatkozó verziók nem támogatják az újrabeléptetést. Először kapcsolja ki, majd a frissített csomag használatával végezze el az előkészítést. Ezekhez a verziókhoz hosszabb URL-lista is szükséges.
- Az MMA-ügynököt futtató eszközök nem támogatottak, és továbbra is az MMA előkészítési módszerét kell használniuk.
Megjegyzés:
A Defender üzembe helyezési eszköze (amely most már nyilvános előzetes verzióban érhető el) a Defender végpontbiztonság windowsos és Linux eszközökön való üzembe helyezésére használható. Az eszköz egy egyszerű, önfrissítési alkalmazás, amely leegyszerűsíti az üzembe helyezési folyamatot. További információ: Microsoft Defender végpontbiztonság központi telepítése Windows-eszközökre a Defender üzembe helyezési eszközével (előzetes verzió) és Microsoft Defender végpontbiztonság üzembe helyezése Linux eszközökre a Defender üzembe helyezési eszközével (előzetes verzió).
Eszközök migrálása az egyszerűsített módszerrel
Migrálási javaslat
Kezdje kicsiben. Javasoljuk, hogy először egy kis eszközkészlettel kezdjen. Alkalmazza az előkészítési blobot a támogatott üzembehelyezési eszközök bármelyikével, majd figyelje a kapcsolatot. Ha új előkészítési szabályzatot használ, az ütközések elkerülése érdekében mindenképpen zárja ki az eszközt a többi meglévő előkészítési szabályzatból.
Ellenőrzés és figyelés. A kis eszközkészlet előkészítése után ellenőrizze, hogy az eszközök előkészítése sikeresen megtörtént-e, és hogy kommunikál-e a szolgáltatással.
Fejezze be a migrálást. Ebben a szakaszban fokozatosan vezetheti be a migrálást egy nagyobb eszközkészletre. A migrálás befejezéséhez lecserélheti a korábbi előkészítési szabályzatokat, és eltávolíthatja a régi URL-címeket a hálózati eszközről.
A migrálások végrehajtása előtt ellenőrizze az eszköz előfeltételeit . Ezek az információk az előző cikkre épülnek, és a meglévő eszközök migrálására összpontosítanak.
Az eszközök újbóli előkészítéséhez az egyszerűsített előkészítési csomagot kell használnia. A csomag eléréséről további információt az Egyszerűsített kapcsolat című témakörben talál.
Az operációs rendszertől függően előfordulhat, hogy az áttelepítések az előkészítési csomag alkalmazása után az eszköz újraindítását vagy a szolgáltatás újraindítását igénylik:
Windows: indítsa újra az eszközt
macOS: Indítsa újra az eszközt, vagy indítsa újra a Végponthoz készült Defender szolgáltatást a következő futtatásával:
sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plistsudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist
Linux: Indítsa újra a Végponthoz készült Defender szolgáltatást a következő futtatásával:
sudo systemctl restart mdatp
Az alábbi táblázat a rendelkezésre álló előkészítési eszközök áttelepítési utasításait sorolja fel az eszköz operációs rendszere alapján.
Windows 10 és 11
Fontos
Windows 10 1607-re, 1703-ra, 1709-re és 1803-ra vonatkozó verziók nem támogatják az újrabeléptetést. A meglévő eszközök migrálásához teljes mértékben ki kell vennie és be kell kapcsolnia az egyszerűsített előkészítési csomag használatával.
A Windows-ügyféleszközök előkészítésére vonatkozó általános információkért lásd: Windows-ügyfél előkészítése.
Ellenőrizze, hogy teljesülnek-e az előfeltételek: Az egyszerűsített módszer használatának előfeltételei.
Helyi szkript
Kövesse a Helyi szkript (legfeljebb 10 eszköz) című cikkben található útmutatást az egyszerűsített előkészítési csomag használatával. A lépések elvégzése után újra kell indítania az eszközt, hogy az eszköz kapcsolata átváltson.
Csoportházirend
Kövesse a csoportházirendben található útmutatást az egyszerűsített előkészítési csomag használatával. A lépések elvégzése után újra kell indítania az eszközt, hogy az eszköz kapcsolata átváltson.
Microsoft Intune
Kövesse az Intune útmutatót az egyszerűsített előkészítési csomag használatával. Használhatja az "automatikus összekötőből" lehetőséget; ez a beállítás azonban nem alkalmazza automatikusan újra az előkészítési csomagot. Hozzon létre egy új előkészítési szabályzatot, és először egy tesztcsoportot céloz meg. A lépések elvégzése után újra kell indítania az eszközt, hogy az eszköz kapcsolata átváltson.
Microsoft Configuration Manager
Kövesse a Konfigurációkezelő útmutatását.
VDI
Használja a nem állandó virtuális asztali infrastruktúra (VDI) eszközeinek előkészítéséről szóló útmutatót. A lépések elvégzése után újra kell indítania az eszközt, hogy az eszköz kapcsolata átváltson.
Eszközkapcsolat ellenőrzése egyszerűsített módszerrel a migrált eszközökhöz
Az alábbi módszerekkel ellenőrizheti, hogy sikeresen csatlakoztatta-e a Windows-eszközöket:
- Ügyfélelemző
- Nyomon követés speciális veszélyforrás-kereséssel Microsoft Defender XDR
- Helyi nyomon követés eseménymegtekintő használatával (Windows esetén)
- Tesztek futtatása a Végponthoz készült Defender-szolgáltatásokkal való kapcsolat megerősítéséhez
- A beállításszerkesztő ellenőrzése
- PowerShell-észlelési teszt
MacOS és Linux esetén a következő módszereket használhatja:
- MDATP-kapcsolati tesztek
- Nyomon követés speciális veszélyforrás-kereséssel Microsoft Defender XDR
- Tesztek futtatása a Végponthoz készült Defender-szolgáltatásokkal való kapcsolat megerősítéséhez
A Végponthoz készült Defender ügyfélelemző (Windows) használata a migrált végpontok előkészítését követően a kapcsolat ellenőrzéséhez
Az előkészítést követően futtassa a MDE Ügyfélelemzőt annak ellenőrzéséhez, hogy az eszköz csatlakozik-e a megfelelő frissített URL-címekhez.
Töltse le az Végponthoz készült Microsoft Defender Ügyfélelemző eszközt, amelyen a Végponthoz készült Defender érzékelő fut.
Kövesse ugyanazokat az utasításokat, mint az Ügyfélkapcsolat ellenőrzése Végponthoz készült Microsoft Defender szolgáltatáshoz. A szkript automatikusan az eszközön konfigurált előkészítési csomagot használja (egyszerűsített verziójúnak kell lennie) a kapcsolat teszteléséhez.
Győződjön meg arról, hogy a megfelelő URL-címekkel létesített kapcsolat létrejött.
Nyomon követés speciális veszélyforrás-kereséssel Microsoft Defender XDR
A Microsoft Defender portálon speciális veszélyforrás-kereséssel megtekintheti a kapcsolattípus állapotát.
Ezek az információk a DeviceInfo táblában, a "ConnectivityType" oszlop alatt találhatók:
- Oszlop neve: ConnectivityType
- Lehetséges értékek:
<blank>, Egyszerűsített, Standard - Adattípus: Sztring
- Leírás: Az eszköz és a felhő közötti kapcsolat típusa
Miután migrált egy eszközt az egyszerűsített módszer használatára, és az eszköz sikeresen kommunikál az EDR-paranccsal & vezérlőcsatornával, az érték "Egyszerűsített" értékként jelenik meg.
Ha az eszközt visszaállítja a normál metódusra, az érték "standard".
Az olyan eszközök esetében, amelyek nem kísérelték meg az újbóli előkészítést, az érték üres marad.
Helyi nyomon követés egy eszközön a Windows eseménymegtekintő
A Windows eseménymegtekintő SENSE műveleti naplójával helyileg ellenőrizheti a kapcsolatokat az új egyszerűsített megközelítéssel. A SENSE 4 eseményazonosítója nyomon követi a sikeres EDR-kapcsolatokat.
Nyissa meg a Végponthoz készült Defender szolgáltatás eseménynaplót az alábbi lépésekkel:
A Windows menüben válassza a Start gombot, majd írja be eseménymegtekintő. Ezután válassza a eseménymegtekintő lehetőséget.
A naplólistában a Napló összegzése területen görgessen lefelé, amíg meg nem jelenik a Microsoft-Windows-SENSE/Operational elem. Kattintson duplán az elemre a napló megnyitásához.
A naplót úgy is elérheti, hogy kibontja az Alkalmazások és szolgáltatások naplói>Microsoft>Windows>SENSE elemet, majd a Működési lehetőséget választja.
A 4-es eseményazonosító nyomon követi a Defender for Endpoint Command & Control csatornával való sikeres kapcsolatokat. Ellenőrizze a sikeres kapcsolatokat a frissített URL-címmel. Például:
Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com. <EventData> <Data Name="UInt1">6</Data> <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com> </EventData>Az 1. üzenet a megadott URL-címet tartalmazza. Ellenőrizze, hogy az esemény tartalmazza-e az egyszerűsített URL-címet (endpoint.security.microsoft.com).
Az 5-ös eseményazonosító adott esetben nyomon követi a hibákat.
Megjegyzés:
A SENSE a Végponthoz készült Microsoft Defender ható viselkedésérzékelőre való hivatkozáshoz használt belső név.
A szolgáltatás által rögzített események megjelennek a naplóban.
További információ: Események és hibák áttekintése eseménymegtekintő használatával.
Tesztek futtatása a Végponthoz készült Defender-szolgáltatásokkal való kapcsolat megerősítéséhez
Miután előkészítette az eszközt a Végponthoz készült Defenderbe, ellenőrizze, hogy továbbra is megjelenik-e az Eszközleltárban. A DeviceID-nek változatlannak kell maradnia.
Ellenőrizze az Eszközoldal idővonala lapon, hogy az események az eszközről áramlanak-e.
Élő válasz
Győződjön meg arról, hogy az élő válasz működik a teszteszközön. Kövesse az Entitások vizsgálata az eszközökön élő válasz használatával című témakör utasításait.
A kapcsolat megerősítéséhez futtasson néhány egyszerű parancsot a csatlakozás után (például cd, feladatok, csatlakozás).
Automatizált vizsgálat és reagálás
Győződjön meg arról, hogy az automatizált vizsgálat és válasz működik a teszteszközön: Automatizált vizsgálati és válaszképességek konfigurálása.
Az automatikus integrációs modul tesztelési tesztkörnyezeteihez lépjen a Microsoft Defender XDR>Evaluations & Oktatóanyagok oktatóanyagok>& Szimulációk oktatóanyagok>>Automatizált vizsgálat oktatóanyagokhoz.
Felhőben nyújtott védelem
ellenőrizze, hogy működik-e a Cloud Protection hálózati kapcsolata.
Nyisson meg egy rendszergazda jogú parancssort (a Futtatás rendszergazdaként lehetőséget választva megnyitott parancssori ablakot). Például:
- Nyissa meg a Start menüt, és írja be a cmd parancsot.
- Kattintson a jobb gombbal a parancssor eredményére, majd válassza a Futtatás rendszergazdaként parancsot.
Az emelt szintű parancssorban futtassa a következő parancsokat:
Tipp
Az első parancs a kártevőirtó platform legújabb verziójára <> módosítja a könyvtárat a rendszerben
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Ha ez az elérési út nem létezik, akkor a lesz.%ProgramFiles%\Windows Defender(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1 MpCmdRun.exe -ValidateMapsConnection
További információ az MpCmdRun-ról: Microsoft Defender víruskereső konfigurálása és kezelése az MpCmdRun parancssori eszközzel.
Tesztblokk első látásra
Kövesse az Végponthoz készült Microsoft Defender Block at First Sight (BAFS) bemutató utasításait.
SmartScreen tesztelése
Kövesse Microsoft Defender SmartScreen bemutató (msft.net) utasításait.
PowerShell-észlelési teszt
A Windows-eszközön hozzon létre egy mappát:
C:\test-MDATP-test.Nyissa meg a parancssort rendszergazdaként.
A Parancssor ablakban futtassa a következő PowerShell-parancsot:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
A parancs futtatása után a parancssori ablak automatikusan bezárul. Ha sikeres, az észlelési teszt befejezettként lesz megjelölve.
MacOS és Linux esetén a következő módszereket használhatja:
- MDATP-kapcsolati tesztek
- Nyomon követés speciális veszélyforrás-kereséssel Microsoft Defender XDR
- Tesztek futtatása a Végponthoz készült Defender-szolgáltatásokkal való kapcsolat megerősítéséhez
MDATP kapcsolati teszt (macOS és Linux)
Futtassa a parancsot mdatp health --details edr annak ellenőrzéséhez edr_partner_geo_location , hogy elérhető-e. Az értéknek ott kell lennie GW_<geo> , ahol a "geo" a bérlő földrajzi helye.
Futtassa az mdatp kapcsolati tesztet. Győződjön meg arról, hogy az egyszerűsített URL-minta megtalálható. A "\storage" esetében kettőre, az egyikre a \mdav, a másik a \xplat, a másik a "/packages" kifejezésre számíthat.
Például: https://mdav.us.endpoint.security.microsoft.com/storage
Nyomon követés speciális veszélyforrás-kereséssel Microsoft Defender XDR
Az összes eszköz (30 000-es korlát) és a legutóbb jelentett kapcsolattípus megtekintése:
DeviceInfo
| where OnboardingStatus == "Onboarded"
| summarize arg_max(ConnectivityType, Timestamp) by DeviceName
Az OSPlatform-eszközök számának és kapcsolattípusának megtekintése sávdiagramon:
DeviceInfo
| where OnboardingStatus == "Onboarded"
| summarize arg_max(ConnectivityType, Timestamp, OSPlatform) by DeviceName
| summarize count() by OSPlatform, ConnectivityType
| render columnchart
A Végponthoz készült Defender ügyfélelemző (platformfüggetlen) használata az újonnan migrált végpontok kapcsolatainak ellenőrzéséhez
Töltse le és futtassa az ügyfélelemzőt macOS-hez vagy Linux. További információ: Az ügyfélelemző letöltése és futtatása.
Futtassa a parancsot
mdeclientanalyzer.cmd -o <path to cmd file>az MDEClientAnalyzer mappából. A parancs az előkészítési csomag paramétereit használja a kapcsolat teszteléséhez.Futtassa a parancsot
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>(ahol a paraméter értéke GW_US, GW_EU, GW_UK). A GW az egyszerűsített beállításra utal. Futtassa a parancsot a megfelelő bérlő földrajzi helyével.