Pilotare e distribuire Microsoft Defender per endpoint
Si applica a:
- Microsoft Defender XDR
Questo articolo fornisce un flusso di lavoro per la distribuzione pilota e la distribuzione di Microsoft Defender per endpoint nell'organizzazione. È possibile usare queste raccomandazioni per eseguire l'onboarding di Microsoft Defender per endpoint come singolo strumento di cybersecurity o come parte di una soluzione end-to-end con Microsoft Defender XDR.
Questo articolo presuppone che l'utente disponga di un tenant di Microsoft 365 di produzione e stia pilotando e distribuendo Microsoft Defender per endpoint in questo ambiente. Questa procedura manterrà tutte le impostazioni e le personalizzazioni configurate durante il progetto pilota per la distribuzione completa.
Defender per endpoint contribuisce a un'architettura Zero Trust contribuendo a prevenire o ridurre i danni aziendali causati da una violazione. Per altre informazioni, vedere Prevenire o ridurre i danni aziendali causati da uno scenario aziendale di violazione nel framework di adozione di Microsoft Zero Trust.
Distribuzione end-to-end per Microsoft Defender XDR
Questo è l'articolo 4 di 6 di una serie che consente di distribuire i componenti di Microsoft Defender XDR, inclusa l'analisi e la risposta agli eventi imprevisti.
Gli articoli di questa serie corrispondono alle fasi seguenti della distribuzione end-to-end:
| Fase | Collegamento |
|---|---|
| R. Avviare il progetto pilota | Avviare il progetto pilota |
| B. Pilotare e distribuire componenti XDR di Microsoft Defender | - Pilotare e distribuire Defender per identità - Pilotare e distribuire Defender per Office 365 - Pilotare e distribuire Defender per endpoint (questo articolo) - Pilotare e distribuire Microsoft Defender per le app cloud |
| C. Analizzare e rispondere alle minacce | Praticare l'indagine e la risposta agli eventi imprevisti |
Pilotare e distribuire il flusso di lavoro per Defender per identità
Il diagramma seguente illustra un processo comune per distribuire un prodotto o un servizio in un ambiente IT.
Per iniziare, valutare il prodotto o il servizio e come funzionerà all'interno dell'organizzazione. Si pilota quindi il prodotto o il servizio con un subset adeguatamente piccolo dell'infrastruttura di produzione per il test, l'apprendimento e la personalizzazione. Quindi, aumentare gradualmente l'ambito della distribuzione fino a quando non viene coperta l'intera infrastruttura o l'organizzazione.
Ecco il flusso di lavoro per il piloting e la distribuzione di Defender for Identity nell'ambiente di produzione.
attenersi alla seguente procedura:
- Controllare lo stato della licenza
- Eseguire l'onboarding degli endpoint usando uno degli strumenti di gestione supportati
- Verificare il gruppo pilota
- Provare le funzionalità
Ecco i passaggi consigliati per ogni fase di distribuzione.
| Fase di distribuzione | Descrizione |
|---|---|
| Valutazione | Eseguire la valutazione del prodotto per Defender per endpoint. |
| Distribuzione pilota | Eseguire i passaggi da 1 a 4 per un gruppo pilota. |
| Distribuzione completa | Configurare il gruppo pilota nel passaggio 3 o aggiungere gruppi per espandere oltre il progetto pilota e infine includere tutti i dispositivi. |
Protezione dell'organizzazione dagli hacker
Defender per identità offre protezione avanzata autonomamente. Tuttavia, in combinazione con le altre funzionalità di Microsoft Defender XDR, Defender per endpoint fornisce dati nei segnali condivisi che insieme consentono di arrestare gli attacchi.
Ecco un esempio di attacco informatico e di come i componenti di Microsoft Defender XDR consentono di rilevarlo e attenuarlo.
Defender per endpoint rileva vulnerabilità di dispositivo e rete che potrebbero altrimenti essere sfruttate per i dispositivi gestiti dall'organizzazione.
Microsoft Defender XDR correla i segnali provenienti da tutti i componenti di Microsoft Defender per fornire la storia completa degli attacchi.
Architettura di Defender per endpoint
Il diagramma seguente illustra l'architettura e le integrazioni di Microsoft Defender per endpoint.
Questa tabella descrive l'illustrazione.
| Call-out | Descrizione |
|---|---|
| 1 | I dispositivi sono incorporati tramite uno degli strumenti di gestione supportati. |
| 2 | I dispositivi incorporati forniscono e rispondono ai dati del segnale di Microsoft Defender per endpoint. |
| 3 | I dispositivi gestiti vengono aggiunti e/o registrati in Microsoft Entra ID. |
| 4 | I dispositivi Windows aggiunti al dominio vengono sincronizzati con Microsoft Entra ID usando Microsoft Entra Connect. |
| 5 | Gli avvisi, le indagini e le risposte di Microsoft Defender per endpoint vengono gestiti in Microsoft Defender XDR. |
Consiglio
Microsoft Defender per endpoint include anche un lab di valutazione all'interno del prodotto in cui è possibile aggiungere dispositivi pre-configurati ed eseguire simulazioni per valutare le funzionalità della piattaforma. Il lab include un'esperienza di configurazione semplificata che consente di dimostrare rapidamente il valore di Microsoft Defender per endpoint, incluse indicazioni per molte funzionalità come la ricerca avanzata e l'analisi delle minacce. Per altre informazioni, vedere Valutare le funzionalità. La differenza principale tra le indicazioni fornite in questo articolo e il lab di valutazione è che l'ambiente di valutazione usa i dispositivi di produzione, mentre il lab di valutazione usa dispositivi non di produzione.
Passaggio 1: Controllare lo stato della licenza
È prima di tutto necessario controllare lo stato della licenza per verificare che sia stato effettuato correttamente il provisioning. A tale scopo, è possibile usare l'interfaccia di amministrazione o il portale di Microsoft Azure.
Per visualizzare le licenze, passare al portale di Microsoft Azure e passare alla sezione relativa alle licenze del portale di Microsoft Azure.
In alternativa, nell'interfaccia di amministrazione passare a Sottoscrizioni di fatturazione>.
Nella schermata verranno visualizzate tutte le licenze di cui è stato effettuato il provisioning e il relativo stato corrente.
Passaggio 2: Eseguire l'onboarding degli endpoint usando uno degli strumenti di gestione supportati
Dopo aver verificato che il provisioning dello stato della licenza sia stato eseguito correttamente, è possibile avviare l'onboarding dei dispositivi nel servizio.
Ai fini della valutazione di Microsoft Defender per endpoint, è consigliabile scegliere un paio di dispositivi Windows in cui eseguire la valutazione.
È possibile scegliere di usare uno degli strumenti di gestione supportati, ma Intune offre un'integrazione ottimale. Per altre informazioni, vedere Configurare Microsoft Defender per endpoint in Microsoft Intune.
L'argomento Pianificare la distribuzione descrive i passaggi generali da eseguire per distribuire Defender per endpoint.
Guardare questo video per una rapida panoramica del processo di onboarding e per informazioni sugli strumenti e i metodi disponibili.
Opzioni dello strumento di onboarding
Nella tabella seguente sono elencati gli strumenti disponibili in base all'endpoint di cui è necessario eseguire l'onboarding.
| Endpoint | Opzioni dello strumento |
|---|---|
| Windows | - Script locale (fino a 10 dispositivi) - Criteri di gruppo - Microsoft Intune/Gestione dispositivi mobili - Microsoft Endpoint Configuration Manager - Script VDI |
| macOS | - Script locali - Microsoft Intune - JAMF Pro - Gestione dei dispositivi mobili |
| iOS | Basato su app |
| Android | Microsoft Intune |
Quando si pilota Microsoft Defender per endpoint, è possibile scegliere di eseguire l'onboarding di alcuni dispositivi nel servizio prima di eseguire l'onboarding dell'intera organizzazione.
È quindi possibile provare le funzionalità disponibili, ad esempio l'esecuzione di simulazioni di attacco e il modo in cui Defender per endpoint presenta attività dannose e consente di eseguire una risposta efficiente.
Passaggio 3: Verificare il gruppo pilota
Dopo aver completato i passaggi di onboarding descritti nella sezione Abilita valutazione, i dispositivi verranno visualizzati nell'elenco Inventario dispositivi circa dopo un'ora.
Quando vengono visualizzati i dispositivi di cui è stato eseguito l'onboarding, è possibile procedere con il tentativo di provare le funzionalità.
Passaggio 4: Provare le funzionalità
Dopo aver completato l'onboarding di alcuni dispositivi e aver verificato che segnalano al servizio, acquisire familiarità con il prodotto provando le potenti funzionalità disponibili immediatamente.
Durante il progetto pilota, è possibile iniziare facilmente a provare alcune delle funzionalità per visualizzare il prodotto in azione senza eseguire passaggi di configurazione complessi.
Per iniziare, controllare i dashboard.
Visualizzare l'inventario dei dispositivi
L'inventario dei dispositivi è il punto in cui verrà visualizzato l'elenco di endpoint, dispositivi di rete e dispositivi IoT nella rete. Non solo offre una visualizzazione dei dispositivi nella rete, ma fornisce anche informazioni approfondite su di essi, ad esempio dominio, livello di rischio, piattaforma del sistema operativo e altri dettagli per una facile identificazione dei dispositivi più a rischio.
Visualizzare il dashboard gestione delle vulnerabilità di Microsoft Defender
Defender Vulnerability Management consente di concentrarsi sui punti deboli che rappresentano il rischio più urgente e più alto per l'organizzazione. Dal dashboard è possibile ottenere una visualizzazione generale del punteggio di esposizione dell'organizzazione, del punteggio di sicurezza Microsoft per i dispositivi, della distribuzione dell'esposizione dei dispositivi, delle raccomandazioni di sicurezza principali, del software più vulnerabile, delle principali attività di correzione e dei dati principali dei dispositivi esposti.
Eseguire una simulazione
Microsoft Defender per endpoint include scenari di attacco "Do It Yourself" che è possibile eseguire nei dispositivi pilota. Ogni documento include i requisiti del sistema operativo e dell'applicazione, nonché istruzioni dettagliate specifiche per uno scenario di attacco. Questi script sono sicuri, documentati e facili da usare. Questi scenari rifletteranno le funzionalità di Defender per endpoint e illustreranno l'esperienza di analisi.
Per eseguire una delle simulazioni fornite, è necessario almeno un dispositivo di onboarding.
In Simulazioni della Guida>& esercitazioni selezionare gli scenari di attacco disponibili da simulare:
Scenario 1: Il documento elimina la backdoor : simula il recapito di un documento di esca socialmente progettato. Il documento avvia una backdoor appositamente creata che consente agli utenti malintenzionati di controllare.
Scenario 2: Script di PowerShell in un attacco senza file : simula un attacco senza file che si basa su PowerShell, mostrando la riduzione della superficie di attacco e il rilevamento dell'apprendimento dei dispositivi delle attività di memoria dannose.
Scenario 3: risposta automatica agli eventi imprevisti : attiva un'indagine automatizzata, che cerca e corregge automaticamente gli artefatti di violazione per ridimensionare la capacità di risposta agli eventi imprevisti.
Scaricare e leggere il documento della procedura dettagliata corrispondente fornito con lo scenario selezionato.
Scaricare il file di simulazione o copiare lo script di simulazione passando alleesercitazioni & Simulazionidella Guida>. È possibile scegliere di scaricare il file o lo script nel dispositivo di test, ma non è obbligatorio.
Eseguire il file o lo script di simulazione nel dispositivo di test come indicato nel documento della procedura dettagliata.
Nota
I file di simulazione o gli script simulano l'attività di attacco, ma sono effettivamente benigni e non danneggiano o compromettono il dispositivo di test.
Integrazione SIEM
È possibile integrare Defender per endpoint con Microsoft Sentinel o un servizio generico di gestione delle informazioni di sicurezza e degli eventi (SIEM) per abilitare il monitoraggio centralizzato di avvisi e attività dalle app connesse. Con Microsoft Sentinel è possibile analizzare in modo più completo gli eventi di sicurezza nell'organizzazione e creare playbook per una risposta efficace e immediata.
Microsoft Sentinel include un connettore Defender per endpoint. Per altre informazioni, vedere Connettore Microsoft Defender per endpoint per Microsoft Sentinel.
Per informazioni sull'integrazione con sistemi SIEM generici, vedere Abilitare l'integrazione SIEM in Microsoft Defender per endpoint.
Passaggio successivo
Incorporare le informazioni in Defender per Endpoint Security Operations Guide nei processi SecOps.
Passaggio successivo per la distribuzione end-to-end di Microsoft Defender XDR
Continuare la distribuzione end-to-end di Microsoft Defender XDR con Pilot e distribuire Microsoft Defender per le app cloud.
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per