Proteggere gli endpoint con la soluzione EDR integrata di Defender for Cloud: Microsoft Defender per endpoint
Con Microsoft Defender per server, è possibile distribuire Microsoft Defender per endpoint Piano 2 nelle risorse del server. Microsoft Defender per endpoint è una soluzione olistica di sicurezza degli endpoint fornita dal cloud. Le sue caratteristiche principali sono:
- Gestione e valutazione delle vulnerabilità basate sui rischi
- Riduzione della superficie di attacco
- Protezione basata sul comportamento e basata sul cloud
- Rilevamento e reazione dagli endpoint (EDR)
- Analisi e correzione automatiche
- Servizi di ricerca gestiti
Per informazioni sull'integrazione di Defender for Cloud con Microsoft Defender per endpoint, guardare questo video dalla serie video di Defender for Cloud: Integrazione di Defender for Servers con Microsoft Defender per endpoint
Per altre informazioni sulla migrazione dei server da Defender per endpoint a Defender for Cloud, vedere la guida alla migrazione da Microsoft Defender per endpoint a Microsoft Defender per la migrazione cloud.
Disponibilità
| Aspetto | Dettagli |
|---|---|
| Stato della versione: | Disponibilità generale (GA) |
| Prezzi: | Richiede Microsoft Defender per server piano 1 o piano 2 |
| Ambienti supportati: |  Computer abilitati per Azure Arc che eseguono Windows/Linux Macchine virtuali di Azure che eseguono Linux (versioni supportate)Macchine virtuali di Azure che eseguono Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Windows 10/11 Enterprise multisessione (in precedenza Enterprise per desktop virtuali) Macchine virtuali di Azure che eseguono Windows 10 o Windows 11 (ad eccezione dell'esecuzione di Windows 10/11 Enterprise multisessione) |
| Autorizzazioni e ruoli obbligatori: | - Per abilitare/disabilitare l'integrazione: Amministratore della sicurezza o Proprietario - Per visualizzare gli avvisi di Defender per endpoint in Defender for Cloud: lettore, lettore, collaboratore gruppo di risorse, proprietario del gruppo di risorse, amministratore della sicurezza, proprietario della sottoscrizione o collaboratore della sottoscrizione |
| Cloud: | Cloud commercialiAzure per enti pubblici Azure China 21Vianet Account AWS connessi Progetti GCP connessi |
Vantaggi dell'integrazione di Microsoft Defender per endpoint con Defender for Cloud
Microsoft Defender per endpoint Piano 2 protegge i computer Windows e Linux, indipendentemente dal fatto che siano ospitati in Azure, cloud ibridi (in locale) o multicloud. Le protezioni includono:
Sensori avanzati di rilevamento post-violazione. I sensori di Defender per endpoint raccolgono una vasta gamma di segnali comportamentali dai computer.
Valutazione della vulnerabilità dalla soluzione Microsoft gestione di minacce e vulnerabilità. Con Microsoft Defender per endpoint installato, Defender for Cloud può visualizzare le vulnerabilità individuate dal modulo gestione di minacce e vulnerabilità e offrire anche questo modulo come soluzione di valutazione della vulnerabilità supportata. Per altre informazioni, vedere Analizzare i punti deboli con gestione di minacce e vulnerabilità di Microsoft Defender per endpoint.
Questo modulo include anche le funzionalità di inventario software descritte in Accedere a un inventario software e può essere abilitato automaticamente per i computer supportati con le impostazioni di distribuzione automatica.
Rilevamento post-violazione basato su analisi, basato sul cloud. Defender per endpoint si adatta rapidamente alle minacce mutevoli. sfruttando strumenti di analisi avanzata e Big Data. Viene amplificato dalla potenza di Intelligent Security Graph con segnali in Windows, Azure e Office per rilevare minacce sconosciute. Fornisce avvisi interattivi e consente di reagire con tempestività.
Intelligence per le minacce. Defender per endpoint genera avvisi quando identifica strumenti, tecniche e procedure degli utenti malintenzionati. Usa i dati generati dagli specialisti di minacce e dai team di sicurezza di Microsoft, integrati con intelligence fornita da partner.
Integrando Defender per endpoint con Defender for Cloud, si trarranno vantaggio dalle funzionalità aggiuntive seguenti:
Onboarding automatizzato. Defender for Cloud abilita automaticamente il sensore Defender per endpoint in tutti i computer supportati connessi a Defender for Cloud.
Un solo riquadro di vetro. Le pagine del portale di Defender for Cloud visualizzano gli avvisi di Defender per endpoint. Per approfondire l'analisi, usare le pagine del portale di Microsoft Defender per endpoint in cui verranno visualizzate informazioni aggiuntive, ad esempio l'albero del processo di avviso e il grafico degli eventi imprevisti. È anche possibile visualizzare una sequenza temporale dettagliata che mostra ogni comportamento per un determinato periodo, fino a un massimo di sei mesi.
Quali sono i requisiti per il tenant di Microsoft Defender per endpoint?
Quando si usa Defender for Cloud per monitorare i computer, viene creato automaticamente un tenant di Defender per endpoint.
- Posizione: I dati raccolti da Defender per endpoint vengono archiviati nella posizione geografica del tenant, come identificato durante il provisioning. I dati dei clienti, in forma pseudonima, possono essere archiviati anche nei sistemi di archiviazione e elaborazione centrali nel Stati Uniti. Dopo aver configurato la posizione, non è possibile modificarla. Se si ha una licenza personalizzata per Microsoft Defender per endpoint ed è necessario spostare i dati in un'altra posizione, contattare Microsoft supporto tecnico per reimpostare il tenant.
- Spostamento delle sottoscrizioni: Se la sottoscrizione di Azure è stata spostata tra tenant di Azure, sono necessari alcuni passaggi preliminari manuali prima che Defender for Cloud distribuirà Defender per endpoint. Per informazioni dettagliate, contattare Microsoft supporto tecnico.
Abilitare l'integrazione Microsoft Defender per endpoint
Prerequisiti
Verificare che il computer soddisfi i requisiti necessari per Defender per endpoint:
Verificare che il computer sia connesso ad Azure e a Internet in base alle esigenze:
Macchine virtuali di Azure (Windows o Linux): configurare le impostazioni di rete descritte in Configurare le impostazioni di connettività Internet e proxy del dispositivo: Windows o Linux.
Computer locali : connettere i computer di destinazione ad Azure Arc come illustrato in Connettere computer ibridi con i server abilitati per Azure Arc.
Abilitare Microsoft Defender per i server. Vedere Guida introduttiva: Abilitare le funzionalità di sicurezza avanzate di Defender for Cloud.
Importante
L'integrazione di Defender for Cloud con Microsoft Defender per endpoint è abilitata per impostazione predefinita. Pertanto, quando si abilitano funzionalità di sicurezza avanzate, si concede il consenso per Microsoft Defender per i server per accedere ai dati Microsoft Defender per endpoint correlati a vulnerabilità, software installato e avvisi per gli endpoint.
Per i server Windows, assicurarsi che i server soddisfino i requisiti per l'onboarding Microsoft Defender per endpoint.
Se la sottoscrizione è stata spostata tra tenant di Azure, sono necessari anche alcuni passaggi preliminari manuali. Per informazioni dettagliate, contattare Microsoft supporto tecnico.
Abilitare l'integrazione
La soluzione unificata MDE non usa o richiede l'installazione dell'agente di Log Analytics. La soluzione unificata viene distribuita automaticamente per tutti i server Windows connessi tramite Azure Arc e server multicloud connessi tramite i connettori multicloud, ad eccezione dei server Windows 2012 R2 e 2016 in Azure protetti da Defender per server piano 2. È possibile scegliere di distribuire la soluzione unificata MDE in tali computer.
Si distribuirà Defender per endpoint nei computer Windows in uno dei due modi, a seconda che sia già stato distribuito nei computer Windows:
- Utenti con Defender per server abilitati e Microsoft Defender per endpoint distribuiti
- Utenti che non hanno mai abilitato l'integrazione con Microsoft Defender per endpoint
Utenti con Defender per server abilitati e Microsoft Defender per endpoint distribuiti
Se è già stata abilitata l'integrazione con Defender per endpoint, si ha il controllo completo su quando e se distribuire la soluzione unificata MDE nei computer Windows .
Per distribuire la soluzione unificata MDE, è necessario usare la chiamata API REST o il portale di Azure:
Dal menu di Defender for Cloud selezionare Impostazioni ambiente e selezionare la sottoscrizione con i computer Windows che si desidera ricevere Defender per endpoint.
Selezionare Integrations (Integrazioni). Si sa che l'integrazione è abilitata se la casella di controllo Consenti Microsoft Defender per endpoint di accedere ai dati è selezionata come illustrato di seguito:
Nota
Se non è selezionata, usare le istruzioni in Utenti che non hanno mai abilitato l'integrazione con Microsoft Defender per endpoint per Windows.
Per distribuire la soluzione unificata MDE nei computer Windows Server 2012 R2 e 2016:
- Selezionare Abilita soluzione unificata.
- Selezionare Salva.
- Nella richiesta di conferma verificare le informazioni e selezionare Abilita per continuare.
Microsoft Defender per Cloud:
- Arrestare il processo MDE esistente nell'agente di Log Analytics che raccoglie i dati per Defender per server.
- Installare la soluzione unificata MDE per tutti i computer esistenti e nuovi Windows Server 2012 R2 e 2016.
- Rimuovere la soluzione abilita una soluzione unificata dalle opzioni Integrazioni.
Microsoft Defender for Cloud eseguirà automaticamente l'onboarding dei computer in Microsoft Defender per endpoint. L'onboarding potrebbe richiedere fino a 12 ore. Per i nuovi computer creati dopo l'abilitazione dell'integrazione, l'onboarding richiede fino a un'ora.
Nota
Se si sceglie di non distribuire la soluzione unificata MDE nei server Windows 2012 R2 e 2016 in Defender for Servers Piano 2 e quindi effettuare il downgrade di Defender per server al piano 1, la soluzione unificata MDE non viene distribuita in tali server in modo che la distribuzione esistente non venga modificata senza il consenso esplicito.
Utenti che non hanno mai abilitato l'integrazione con Microsoft Defender per endpoint per Windows
Se non è mai stata abilitata l'integrazione per Windows, l'opzione Consenti Microsoft Defender per endpoint di accedere ai dati consentirà a Defender for Cloud di distribuire Defender per endpoint nei computer Windows e Linux.
Per distribuire la soluzione unificata MDE, è necessario usare la chiamata API REST o il portale di Azure:
Dal menu di Defender for Cloud selezionare Impostazioni ambiente e selezionare la sottoscrizione con i computer che si desidera ricevere Defender per endpoint.
Selezionare Integrations (Integrazioni).
Selezionare Consenti Microsoft Defender per endpoint di accedere ai dati personali e selezionare Salva.
La soluzione unificata dell'agente MDE viene distribuita in tutti i computer nella sottoscrizione selezionata.
Abilitare la soluzione unificata MDE su larga scala
È anche possibile abilitare la soluzione unificata MDE su larga scala tramite l'API REST fornita versione 2022-05-01. Per informazioni dettagliate, vedere la documentazione dell'API.
Questo è un corpo di richiesta di esempio per la richiesta PUT per abilitare la soluzione unificata MDE:
URI: https://management.azure.com/subscriptions/<subscriptionId>providers/Microsoft.Security/settings/WDATP_UNIFIED_SOLUTION?api-version=2022-05-01
{
"name": "WDATP_UNIFIED_SOLUTION",
"type": "Microsoft.Security/settings",
"kind": "DataExportSettings",
"properties": {
"enabled": true
}
}
Accedere al portale di Microsoft Defender per endpoint
Verificare che l'account utente disponga delle autorizzazioni necessarie. Per altre informazioni, vedere Assegnare l'accesso utente a Microsoft Defender Security Center.
Controllare se è disponibile un proxy o un firewall che blocca il traffico anonimo. Il sensore Defender per endpoint si connette dal contesto di sistema, quindi il traffico anonimo deve essere consentito. Per garantire l'accesso non richiesto al portale di Defender per endpoint, seguire le istruzioni in Abilitare l'accesso agli URL del servizio nel server proxy.
Aprire il portale del Centro sicurezza di Defender per endpoint. Altre informazioni sulle funzionalità e le icone del portale sono disponibili nella panoramica del portale di Defender per Endpoint Security Center.
Inviare un avviso di test
Per generare un avviso di test non dannoso da Defender per endpoint, selezionare la scheda per il sistema operativo pertinente dell'endpoint:
Per gli endpoint che eseguono Windows:
Creare una cartella 'C:\test-MDATP-test'.
Usare Desktop remoto per accedere al computer.
Aprire una finestra della riga di comando.
Al prompt copiare ed eseguire il comando seguente. La finestra del prompt dei comandi verrà chiusa automaticamente.
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
Se il comando ha esito positivo, verrà visualizzato un nuovo avviso nel dashboard di protezione del carico di lavoro e nel portale di Microsoft Defender per endpoint. Possono trascorrere alcuni minuti prima che l'avviso venga visualizzato.
Per esaminare l'avviso in Defender for Cloud, passare a Avvisi> di sicurezza Riga di comando sospetta diPowerShell.
Nella finestra di indagine selezionare il collegamento per passare al portale di Microsoft Defender per endpoint.
Suggerimento
L'avviso viene attivato con gravità informativa .
Rimuovere Defender per endpoint da un computer
Per rimuovere la soluzione Defender per endpoint dai computer:
Disabilitare l'integrazione:
- Dal menu di Defender for Cloud selezionare Impostazioni ambiente e selezionare la sottoscrizione con i computer pertinenti.
- Aprire Integrazioni e deselezionare la casella di controllo Consenti Microsoft Defender per endpoint di accedere ai dati personali.
- Selezionare Salva.
Rimuovere l'assistente al debug gestito. Windows/MDE. Estensione Linux dal computer.
Seguire la procedura descritta in Offboard devices from the Microsoft Defender per endpoint service (Offboard devices from the Microsoft Defender per endpoint service) dalla documentazione di Defender per endpoint.
Domande frequenti - Microsoft Defender per l'integrazione cloud con Microsoft Defender per endpoint
- Cos'è questo "MDE. Windows" / "MDE. Estensione Linux in esecuzione nel computer?
- Quali sono i requisiti di licenza per Microsoft Defender per endpoint?
- È necessario acquistare una soluzione antimalware separata per proteggere i computer?
- Se si dispone già di una licenza per Microsoft Defender per endpoint, è possibile ottenere uno sconto per Microsoft Defender per i server?
- Ricerca per categorie passare da uno strumento EDR di terze parti?
Cos'è questo "MDE. Windows" / "MDE. Estensione Linux in esecuzione nel computer?
In passato, Microsoft Defender per endpoint è stato effettuato il provisioning dall'agente di Log Analytics. Quando è stato esteso il supporto per includere Windows Server 2019 e Linux, è stata aggiunta anche un'estensione per eseguire l'onboarding automatico.
Defender for Cloud distribuisce automaticamente l'estensione nei computer che eseguono:
- Windows Server 2019 e Windows Server 2022
- Windows Server 2012 R2 e 2016 se l'integrazione della soluzione unificata MDE è abilitata
- Windows 10 in Desktop virtuale Azure.
- Altre versioni di Windows Server se Defender for Cloud non riconosce la versione del sistema operativo, ad esempio quando viene usata un'immagine di macchina virtuale personalizzata. In questo caso, Microsoft Defender per endpoint viene ancora effettuato il provisioning dall'agente di Log Analytics.
- Linux.
Importante
Se si elimina l'assistente al debug gestito. Windows/MDE. L'estensione Linux non rimuoverà Microsoft Defender per endpoint. per "offboard", vedere Offboard Windows servers..
Ho abilitato la soluzione, ma "MDE. Windows" / "MDE. L'estensione Linux non viene visualizzata nel computer
Se è stata abilitata l'integrazione, ma non viene comunque visualizzata l'estensione in esecuzione nei computer:
- Se non sono passate 12 ore dall'abilitazione della soluzione, è necessario attendere fino alla fine di questo periodo per assicurarsi che sia presente un problema da analizzare.
- Dopo 12 ore, se non viene ancora visualizzata l'estensione in esecuzione nei computer, verificare di aver soddisfatto i prerequisiti per l'integrazione.
- Assicurarsi di aver abilitato il piano Microsoft Defender per i server per le sottoscrizioni correlate ai computer in fase di analisi.
- Se la sottoscrizione di Azure è stata spostata tra tenant di Azure, sono necessari alcuni passaggi preliminari manuali prima che Defender for Cloud distribuirà Defender per endpoint. Per informazioni dettagliate, contattare Microsoft supporto tecnico.
Quali sono i requisiti di licenza per Microsoft Defender per endpoint?
Le licenze per Defender per endpoint per i server sono incluse in Microsoft Defender per i server.
È necessario acquistare una soluzione antimalware separata per proteggere i computer?
No. Con l'integrazione di MDE in Defender per server, si otterrà anche la protezione malware nei computer.
- In Windows Server 2012 R2 con l'integrazione unificata della soluzione MDE abilitata, Defender per server distribuirà Microsoft Defender Antivirus in modalità attiva.
- Nei sistemi operativi Windows Server più recenti, Microsoft Defender Antivirus fa parte del sistema operativo e verrà abilitato in modalità attiva.
- In Linux, Defender per server distribuirà MDE, incluso il componente antimalware, e imposterà il componente in modalità passiva.
Se si dispone già di una licenza per Microsoft Defender per endpoint, è possibile ottenere uno sconto per Microsoft Defender per i server?
Se si dispone già di una licenza per Microsoft Defender per endpoint per server , non si pagherà per quella parte della licenza di Microsoft Defender per server piano 2. Altre informazioni sulla licenza di Microsoft 365.
Per richiedere lo sconto, contattare il team di supporto di Defender for Cloud. Sarà necessario specificare l'ID, l'area e il numero di Microsoft Defender per endpoint pertinenti per le licenze dei server applicate per i computer nell'area di lavoro specificata.
Lo sconto sarà effettivo a partire dalla data di approvazione e non verrà eseguito retroattivamente.
Ricerca per categorie passare da uno strumento EDR di terze parti?
Le istruzioni complete per il passaggio da una soluzione endpoint non Microsoft sono disponibili nella documentazione di Microsoft Defender per endpoint: Panoramica della migrazione.
Quale piano Microsoft Defender per endpoint è supportato in Defender per server?
Defender per server Piano 1 e Piano 2 offre le funzionalità di Microsoft Defender per endpoint Piano 2.