Megosztás a következőn keresztül:


Próbaüzem és üzembe helyezés Végponthoz készült Microsoft Defender

Érintett szolgáltatás:

  • Microsoft Defender XDR

Ez a cikk egy munkafolyamatot biztosít a Végponthoz készült Microsoft Defender a szervezetben való kipróbálásához és üzembe helyezéséhez. Ezekkel a javaslatokkal Végponthoz készült Microsoft Defender egyéni kiberbiztonsági eszközként vagy egy teljes körű megoldás részeként Microsoft Defender XDR.

Ez a cikk feltételezi, hogy éles Microsoft 365-bérlővel rendelkezik, és ebben a környezetben teszteli és telepíti a Végponthoz készült Microsoft Defender. Ez a gyakorlat megőrzi a próbaüzem során konfigurált beállításokat és testreszabásokat a teljes üzembe helyezéshez.

A Végponthoz készült Defender hozzájárul egy Teljes felügyelet architektúrához, és segít megelőzni vagy csökkenteni a biztonsági incidensből eredő üzleti károkat. További információ: A Microsoft Teljes felügyelet bevezetési keretrendszerének üzleti incidensekből eredő üzleti kárainak megelőzése vagy csökkentése.

Teljes körű üzembe helyezés Microsoft Defender XDR

Ez egy sorozat 6/4. cikke, amely segítséget nyújt a Microsoft Defender XDR összetevőinek üzembe helyezéséhez, beleértve az incidensek kivizsgálását és megválaszolását.

A próbaüzemben Végponthoz készült Microsoft Defender ábrázoló diagram, amely Microsoft Defender XDR folyamat üzembe helyezését mutatja be.

Az ebben a sorozatban szereplő cikkek a teljes üzembe helyezés következő fázisainak felelnek meg:

Fázis Láncszem
Egy. A próbaüzem indítása A próbaüzem indítása
B. Microsoft Defender XDR összetevők kipróbálása és üzembe helyezése - A Defender for Identity próbaüzeme és üzembe helyezése

- Próbaüzem és üzembe helyezés Office 365-höz készült Defender

- A Végponthoz készült Defender próbaüzeme és üzembe helyezése (ez a cikk)

- Próbaüzem és üzembe helyezés Microsoft Defender for Cloud Apps
C. Veszélyforrások vizsgálata és reagálás rájuk Incidensvizsgálat és reagálás gyakorlata

A Defender for Identity próba- és üzembe helyezési munkafolyamata

Az alábbi ábra egy termék vagy szolgáltatás informatikai környezetben történő üzembe helyezésének gyakori folyamatát szemlélteti.

A próbaüzem, a kiértékelés és a teljes üzembe helyezés bevezetési fázisának ábrája.

Első lépésként értékelje ki a terméket vagy szolgáltatást, és hogy hogyan fog működni a szervezeten belül. Ezután tesztelheti a terméket vagy szolgáltatást az éles infrastruktúra megfelelő kis részhalmazával a teszteléshez, a tanuláshoz és a testreszabáshoz. Ezután fokozatosan növelje az üzembe helyezés hatókörét, amíg a teljes infrastruktúrára vagy szervezetre ki nem terjed.

Az alábbi munkafolyamat a Defender for Identity éles környezetben való kipróbálására és üzembe helyezésére vonatkozik.

A Microsoft Defender for Identity próbaüzemének és üzembe helyezésének lépéseit bemutató diagram.

Hajtsa végre az alábbi lépéseket:

  1. Licenc állapotának ellenőrzése
  2. Végpontok előkészítése a támogatott felügyeleti eszközök bármelyikével
  3. Próbacsoport ellenőrzése
  4. Képességek kipróbálás

Az egyes üzembehelyezési szakaszokhoz az alábbi javasolt lépések tartoznak.

Üzembe helyezési szakasz Leírás
Kiértékel Végezze el a végponthoz készült Defender termékértékelését.
Pilóta Végezze el az 1–4. lépést egy próbacsoport esetében.
Teljes üzembe helyezés Konfigurálja a próbacsoportot a 3. lépésben, vagy adjon hozzá csoportokat a próbaüzemen túli bővítéshez, és végül foglalja bele az összes eszközét.

Szervezet védelme a hackerek ellen

A Defender for Identity önállóan nyújt hatékony védelmet. A végponthoz készült Defender azonban a Microsoft Defender XDR egyéb képességeivel kombinálva adatokat biztosít a megosztott jelekhez, amelyek együttesen segítenek a támadások leállításában.

Íme egy példa egy kibertámadásra, valamint arra, hogy a Microsoft Defender XDR összetevői hogyan segítenek észlelni és enyhíteni a támadást.

Egy diagram, amely bemutatja, hogyan állítja le Microsoft Defender XDR a fenyegetésláncot.

A Végponthoz készült Defender észleli azokat az eszköz- és hálózati biztonsági réseket, amelyek egyébként kihasználhatók a szervezet által felügyelt eszközök esetében.

Microsoft Defender XDR az összes Microsoft Defender összetevőtől érkező jeleket korrelálja a teljes támadási történet biztosítása érdekében.

Végponthoz készült Defender architektúrája

Az alábbi ábra Végponthoz készült Microsoft Defender architektúrát és integrációt szemlélteti.

Egy diagram, amely a Végponthoz készült Microsoft Defender Microsoft Defender XDR kiértékelési környezethez való hozzáadásának lépéseit mutatja be.

Ez a táblázat az ábrát ismerteti.

Kihívás Leírás
1 Az eszközök a támogatott felügyeleti eszközök egyikén keresztül érhetők el.
2 A fedélzeti eszközök Végponthoz készült Microsoft Defender jeladatokat biztosítanak és reagálnak rájuk.
3 A felügyelt eszközök Microsoft Entra ID csatlakoznak és/vagy regisztrálva vannak.
4 A tartományhoz csatlakoztatott Windows-eszközök a Microsoft Entra Connect használatával lesznek szinkronizálva Microsoft Entra ID.
5 Végponthoz készült Microsoft Defender riasztásokat, vizsgálatokat és válaszokat a Microsoft Defender XDR kezeli.

Tipp

Végponthoz készült Microsoft Defender egy terméken belüli kiértékelési tesztkörnyezetet is tartalmaz, ahol előre konfigurált eszközöket adhat hozzá, és szimulációkat futtathat a platform képességeinek kiértékeléséhez. A tesztkörnyezet egyszerűsített beállítási felülettel rendelkezik, amely segít gyorsan bemutatni a Végponthoz készült Microsoft Defender értékét, és útmutatást nyújt számos funkcióhoz, például a speciális veszélyforrás-kereséshez és fenyegetéselemzéshez. További információ: Képességek kiértékelése. A cikkben szereplő útmutatás és a kiértékelési tesztkörnyezet közötti fő különbség az, hogy a kiértékelési környezet éles eszközöket használ, míg a kiértékelési tesztkörnyezet nem éles eszközöket használ.

1. lépés: A licenc állapotának ellenőrzése

Először ellenőriznie kell a licenc állapotát annak ellenőrzéséhez, hogy megfelelően lett-e kiépítve. Ezt a felügyeleti központban vagy a Microsoft Azure Portal keresztül teheti meg.

  1. A licencek megtekintéséhez lépjen a Microsoft Azure Portal, és lépjen a Microsoft Azure Portal licenc szakaszra.

    Képernyőkép a Microsoft Defender portál Azure-licencelési oldaláról.

  2. Másik megoldásként a Felügyeleti központban lépjen a Számlázási>előfizetések területre.

    A képernyőn láthatja az összes kiosztott licencet és azok aktuális állapotát.

    Képernyőkép a Microsoft Azure Portal Számlázási licencek oldaláról.

2. lépés: Végpontok előkészítése a támogatott felügyeleti eszközök bármelyikével

Miután meggyőződött arról, hogy a licenc állapota megfelelően lett kiépítve, megkezdheti az eszközök előkészítését a szolgáltatásba.

A Végponthoz készült Microsoft Defender kiértékeléséhez javasoljuk, hogy válasszon ki néhány Windows-eszközt a kiértékeléshez.

A támogatott felügyeleti eszközök bármelyikét használhatja, de Intune optimális integrációt biztosít. További információ: Végponthoz készült Microsoft Defender konfigurálása a Microsoft Intune-ben.

Az Üzembe helyezés megtervezése témakör ismerteti a Végponthoz készült Defender üzembe helyezéséhez szükséges általános lépéseket.

Ebből a videóból gyorsan áttekintheti az előkészítési folyamatot, és megismerheti az elérhető eszközöket és módszereket.

Előkészítési eszköz beállításai

Az alábbi táblázat az előkészítéshez szükséges végponton alapuló elérhető eszközöket sorolja fel.

Végpont Eszközbeállítások
A Windows - Helyi szkript (legfeljebb 10 eszköz)
- Csoportházirend
- Microsoft Intune/ Mobil Eszközkezelő
- Microsoft Endpoint Configuration Manager
- VDI-szkriptek
macOS - Helyi szkriptek
- Microsoft Intune
- JAMF Pro
- Mobil Eszközkezelés
iOS Alkalmazásalapú
Android Microsoft Intune

A Végponthoz készült Microsoft Defender próbaüzeme során dönthet úgy, hogy a teljes szervezet előkészítése előtt néhány eszközt regisztrál a szolgáltatásba.

Ezután kipróbálhatja az elérhető képességeket, például futtathat támadásszimulációkat, és megnézheti, hogyan jeleníti meg a Végponthoz készült Defender a rosszindulatú tevékenységeket, és lehetővé teszi a hatékony reagálást.

3. lépés: Próbacsoport ellenőrzése

A Kiértékelés engedélyezése szakaszban ismertetett előkészítési lépések elvégzése után körülbelül egy óra elteltével meg kell jelennie az eszközöknek az Eszközleltár listában.

Amikor megjelenik az előkészített eszközök, folytathatja a képességek kipróbálásával.

4. lépés: Képességek kipróbálás

Most, hogy befejezte néhány eszköz előkészítését, és meggyőződett arról, hogy jelentéskészítést végeznek a szolgáltatásnak, ismerkedjen meg a termékkel a azonnal elérhető hatékony képességek kipróbálásával.

A próbaüzem során egyszerűen megkezdheti néhány funkció kipróbálását, hogy működés közben láthassa a terméket anélkül, hogy összetett konfigurációs lépéseken megy keresztül.

Először nézzük meg az irányítópultokat.

Az eszközleltár megtekintése

Az eszközleltárban láthatja a hálózat végpontjainak, hálózati eszközeinek és IoT-eszközeinek listáját. Nemcsak a hálózatban lévő eszközökről nyújt áttekintést, hanem részletes információkat is nyújt róluk, például a tartományról, a kockázati szintről, az operációsrendszer-platformról és egyéb részletekről a leginkább veszélyeztetett eszközök egyszerű azonosításához.

Az Microsoft Defender biztonságirés-kezelés irányítópult megtekintése

Defender biztonságirés-kezelés segít azokra a gyengeségekre összpontosítani, amelyek a szervezet számára a legsürgetőbb és legnagyobb kockázatot jelentik. Az irányítópulton magas szintű áttekintést kaphat a szervezet expozíciós pontszámáról, az eszközök microsoftos biztonsági pontszámáról, az eszközök expozíciós eloszlásáról, a leggyakoribb biztonsági javaslatokról, a legkiszolgáltatottabb szoftverekről, a leggyakoribb szervizelési tevékenységekről és a leginkább közzétett eszközadatokról.

Szimuláció futtatása

Végponthoz készült Microsoft Defender a "Do It Yourself" támadási forgatókönyveket tartalmaz, amelyeket futtathat a próbaeszközökön. Minden dokumentum tartalmazza az operációs rendszer és az alkalmazás követelményeit, valamint a támadási forgatókönyvre vonatkozó részletes utasításokat. Ezek a szkriptek biztonságosak, dokumentáltak és könnyen használhatók. Ezek a forgatókönyvek tükrözik a Végponthoz készült Defender képességeit, és végigvezetik a vizsgálati folyamaton.

A megadott szimulációk futtatásához legalább egy előkészített eszközre van szükség.

  1. ASúgószimulációk> & oktatóanyagok területen válassza ki az elérhető támadási forgatókönyvek közül, amelyeket szimulálni szeretne:

    • 1. forgatókönyv: Dokumentumelejtési backdoor – egy közösségileg megtervezett csali dokumentum kézbesítését szimulálja. A dokumentum elindít egy speciálisan kialakított backdoort, amely lehetővé teszi a támadók számára az irányítást.

    • 2. forgatókönyv: PowerShell-szkript fájl nélküli támadásban – fájl nélküli támadást szimulál, amely a PowerShellre támaszkodik, megjeleníti a támadási felület csökkentését és a kártékony memóriatevékenységek eszköztanulási észlelését.

    • 3. forgatókönyv: Automatizált incidenskezelés – automatikus vizsgálatot indít, amely automatikusan megkeresi és orvosolja az incidens-összetevőket az incidensmegoldási kapacitás méretezéséhez.

  2. Töltse le és olvassa el a kiválasztott forgatókönyvhez tartozó bemutató dokumentumot.

  3. Töltse le a szimulációs fájlt, vagy másolja ki a szimulációs szkriptet aSúgószimulációk> & oktatóanyagok között. Letöltheti a fájlt vagy a szkriptet a teszteszközre, de ez nem kötelező.

  4. Futtassa a szimulációs fájlt vagy a szkriptet a teszteszközön az útmutatóban leírtak szerint.

Megjegyzés:

A szimulációs fájlok vagy szkriptek utánozzák a támadási tevékenységet, de valójában jóindulatúak, és nem károsítják vagy veszélyeztetik a teszteszközt.

SIEM-integráció

A Végponthoz készült Defender integrálható Microsoft Sentinel vagy egy általános biztonsági információ- és eseménykezelési (SIEM) szolgáltatással, amely lehetővé teszi a csatlakoztatott alkalmazások riasztásainak és tevékenységeinek központosított monitorozását. A Microsoft Sentinel átfogóbban elemezheti a szervezet biztonsági eseményeit, és forgatókönyveket hozhat létre a hatékony és azonnali reagálás érdekében.

Az SIEM-integrációval rendelkező Végponthoz készült Microsoft Defender architektúráját bemutató diagram.

Microsoft Sentinel tartalmaz egy Végponthoz készült Defender-összekötőt. További információ: Végponthoz készült Microsoft Defender Microsoft Sentinel összekötője.

További információ az általános SIEM-rendszerekkel való integrációról: SIEM-integráció engedélyezése Végponthoz készült Microsoft Defender.

További lépés

Építse be az információkat a Végponthoz készült Defender biztonsági üzemeltetési útmutatójában a SecOps-folyamatokba.

A Microsoft Defender XDR teljes körű üzembe helyezésének következő lépése

Folytassa a Microsoft Defender XDR teljes körű üzembe helyezését a Próbaüzem és az üzembe helyezés Microsoft Defender for Cloud Apps használatával.

A próbaüzemben Microsoft Defender for Cloud Apps és Microsoft Defender XDR üzembe helyezését bemutató ábra.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.