Pilot og distribuer Microsoft Defender for endepunkt
Gjelder for:
- Microsoft Defender XDR
Denne artikkelen inneholder en arbeidsflyt for pilotering og distribusjon av Microsoft Defender for endepunkt i organisasjonen. Du kan bruke disse anbefalingene til å Microsoft Defender for endepunkt som et individuelt cybersikkerhetsverktøy eller som en del av en ende-til-ende-løsning med Microsoft Defender XDR.
Denne artikkelen forutsetter at du har en Microsoft 365-leier i produksjon og piloterer og distribuerer Microsoft Defender for endepunkt i dette miljøet. Denne øvelsen opprettholder alle innstillinger og tilpassinger du konfigurerer under prøveprogrammet for fullstendig distribusjon.
Defender for Endpoint bidrar til en nulltillit arkitektur ved å bidra til å forhindre eller redusere forretningsskader fra et brudd. Hvis du vil ha mer informasjon, kan du se Forhindre eller redusere forretningsskader fra et forretningsscenario for brudd i implementeringsrammeverket for Microsoft nulltillit.
Ende-til-ende-distribusjon for Microsoft Defender XDR
Dette er artikkel 4 av 6 i en serie som hjelper deg med å distribuere komponentene i Microsoft Defender XDR, inkludert å undersøke og svare på hendelser.
Artiklene i denne serien tilsvarer følgende faser av ende-til-ende-distribusjon:
| Fase | Lenke |
|---|---|
| En. Start prøveprosjektet | Start prøveprosjektet |
| B. Pilot og distribuer Microsoft Defender XDR komponenter |
-
Pilot og distribuer Defender for identitet - Pilot og distribuer Defender for Office 365 - Pilot og distribuer Defender for endepunkt (denne artikkelen) - Pilot og distribuer Microsoft Defender for Cloud Apps |
| C. Undersøke og svare på trusler | Øv på hendelsesundersøkelse og respons |
Pilot og distribuer arbeidsflyt for Defender for Identity
Diagrammet nedenfor illustrerer en vanlig prosess for å distribuere et produkt eller en tjeneste i et IT-miljø.
Du starter med å evaluere produktet eller tjenesten og hvordan det vil fungere i organisasjonen. Deretter tester du produktet eller tjenesten med et passende lite delsett av produksjonsinfrastrukturen for testing, læring og tilpassing. Deretter øker du distribusjonsomfanget gradvis til hele infrastrukturen eller organisasjonen er dekket.
Her er arbeidsflyten for pilotering og distribusjon av Defender for Identitet i produksjonsmiljøet.
Følg disse trinnene:
- Kontroller lisenstilstand
- Innebygde endepunkter ved hjelp av hvilket som helst av administrasjonsverktøyene som støttes
- Bekreft pilotgruppe
- Prøv funksjoner
Her er de anbefalte trinnene for hver distribusjonsfase.
| Distribusjonstrinn | Beskrivelse |
|---|---|
| Vurdere | Utfør produktevaluering for Defender for endepunkt. |
| Pilot | Utfør trinn 1-4 for en pilotgruppe. |
| Full distribusjon | Konfigurer pilotgruppen i trinn 3, eller legg til grupper for å utvide utover prøveprosjektet og til slutt inkludere alle enhetene dine. |
Beskytte organisasjonen mot hackere
Defender for Identity gir kraftig beskyttelse på egen hånd. Men når det kombineres med de andre funksjonene til Microsoft Defender XDR, gir Defender for Endpoint data i de delte signalene som sammen bidrar til å stoppe angrep.
Her er et eksempel på et cyberangrep og hvordan komponentene i Microsoft Defender XDR bidra til å oppdage og redusere det.
Defender for Endpoint oppdager enhets- og nettverksproblemer som ellers kan utnyttes for enheter som administreres av organisasjonen.
Microsoft Defender XDR korrelerer signalene fra alle de Microsoft Defender komponentene for å gi hele angrepshistorien.
Arkitektur for Defender for endepunkt
Diagrammet nedenfor illustrerer Microsoft Defender for endepunkt arkitektur og integreringer.
Denne tabellen beskriver illustrasjonen.
| Ringe ut | Beskrivelse |
|---|---|
| 1 | Enheter om bords gjennom ett av administrasjonsverktøyene som støttes. |
| 2 | Innebygde enheter leverer og svarer på Microsoft Defender for endepunkt signaldata. |
| 3 | Administrerte enheter er sammenføyd og/eller registrert i Microsoft Entra ID. |
| 4 | Windows-enheter som er koblet til domenet, synkroniseres med Microsoft Entra ID ved hjelp av Microsoft Entra Connect. |
| 5 | Microsoft Defender for endepunkt varsler, undersøkelser og svar behandles i Microsoft Defender XDR. |
Tips
Microsoft Defender for endepunkt leveres også med et evalueringslaboratorium i produktet hvor du kan legge til forhåndskonfigurerte enheter og kjøre simuleringer for å evaluere egenskapene til plattformen. Laboratoriet leveres med en forenklet oppsettsopplevelse som raskt kan demonstrere verdien av Microsoft Defender for endepunkt inkludert veiledning for mange funksjoner som avansert jakt og trusselanalyse. Hvis du vil ha mer informasjon, kan du se Evaluer funksjoner. Hovedforskjellen mellom veiledningen i denne artikkelen og evalueringslaboratoriet er at evalueringsmiljøet bruker produksjonsenheter, mens evalueringslaboratoriet bruker enheter som ikke er i produksjon.
Trinn 1: Kontrollere lisenstilstand
Du må først kontrollere lisenstilstanden for å bekrefte at den var riktig klargjort. Du kan gjøre dette gjennom administrasjonssenteret eller via Microsoft Azure Portal.
Hvis du vil vise lisensene dine, kan du gå til Microsoft Azure Portal og gå til lisensdelen for Microsoft Azure Portal.
Du kan også gå tilfaktureringsabonnementer> i administrasjonssenteret.
På skjermen ser du alle de klargjorte lisensene og deres gjeldende status.
Trinn 2: Innebygde endepunkter ved hjelp av noen av administrasjonsverktøyene som støttes
Når du har bekreftet at lisenstilstanden er klargjort riktig, kan du starte pålasting av enheter til tjenesten.
For å evaluere Microsoft Defender for endepunkt anbefaler vi at du velger et par Windows-enheter for å gjennomføre evalueringen.
Du kan velge å bruke hvilket som helst av administrasjonsverktøyene som støttes, men Intune gir optimal integrering. Hvis du vil ha mer informasjon, kan du se Konfigurere Microsoft Defender for endepunkt i Microsoft Intune.
Emnet for plandistribusjon beskriver de generelle trinnene du må utføre for å distribuere Defender for Endpoint.
Se denne videoen for en rask oversikt over pålastingsprosessen, og lær om de tilgjengelige verktøyene og metodene.
Alternativer for pålastingsverktøy
Tabellen nedenfor viser de tilgjengelige verktøyene basert på endepunktet du trenger å gå om bord i.
| Endepunkt | Verktøyalternativer |
|---|---|
| Windows |
-
Lokalt skript (opptil 10 enheter) - gruppepolicy - Microsoft Intune /mobile Enhetsbehandling - Microsoft Endpoint Configuration Manager - VDI-skript |
| macOS |
-
Lokale skript - Microsoft Intune - JAMF Pro - Mobil Enhetsbehandling |
| iOS | Appbasert |
| Android | Microsoft Intune |
Når du forsøker Microsoft Defender for endepunkt, kan du velge å ta med noen enheter til tjenesten før du tar hele organisasjonen på nytt.
Deretter kan du prøve ut funksjoner som er tilgjengelige, for eksempel å kjøre angrepssimuleringer og se hvordan Defender for Endpoint viser skadelige aktiviteter og gjør det mulig å utføre en effektiv respons.
Trinn 3: Bekreft pilotgruppe
Når du har fullført pålastingstrinnene som er beskrevet i delen Aktiver evaluering, skal du se enhetene i enhetslagerlisten omtrent etter en time.
Når du ser de innebygde enhetene, kan du deretter fortsette med å prøve ut funksjoner.
Trinn 4: Prøv ut funksjoner
Nå som du har fullført pålasting av noen enheter og bekreftet at de rapporterer til tjenesten, kan du gjøre deg kjent med produktet ved å prøve ut de kraftige funksjonene som er tilgjengelige rett ut av esken.
Under prøveversjonen kan du enkelt komme i gang med å prøve ut noen av funksjonene for å se produktet i aksjon uten å gå gjennom komplekse konfigurasjonstrinn.
La oss starte med å sjekke ut instrumentbordene.
Vis enhetsbeholdningen
Enhetsbeholdningen er der du ser listen over endepunkter, nettverksenheter og IoT-enheter i nettverket. Ikke bare gir det deg en visning av enhetene i nettverket, men det gir deg også detaljert informasjon om dem, for eksempel domene, risikonivå, OS-plattform og andre detaljer for enkel identifisering av enheter som er mest utsatt.
Vis instrumentbordet for Microsoft Defender Vulnerability Management
Defender Vulnerability Management hjelper deg med å fokusere på svakhetene som utgjør den mest presserende og høyeste risikoen for organisasjonen. Få en overordnet oversikt over eksponeringspoengsummen for organisasjonen fra instrumentbordet, Microsoft Secure Score for enheter, distribusjon av enhetseksponering, beste sikkerhetsanbefalinger, topp sårbar programvare, aktiviteter for topputbedring og toppeksponerte enhetsdata.
Kjør en simulering
Microsoft Defender for endepunkt leveres med «Gjør det selv»-angrepsscenarioer som du kan kjøre på pilotenhetene dine. Hvert dokument inneholder OS- og programkrav samt detaljerte instruksjoner som er spesifikke for et angrepsscenario. Disse skriptene er trygge, dokumenterte og enkle å bruke. Disse scenariene gjenspeiler Defender for Endpoint-funksjoner og veileder deg gjennom undersøkelsesopplevelsen.
Hvis du vil kjøre noen av de angitte simuleringene, trenger du minst én innebygd enhet.
Velg hvilke av de tilgjengelige angrepsscenarioene du vil simulere, underHjelpesimuleringer> & opplæringer:
Scenario 1: Dokumentet faller bakdør - simulerer levering av et sosialt konstruert lokkedokument. Dokumentet lanserer en spesiallaget bakdør som gir angripere kontroll.
Scenario 2: PowerShell-skript i filløs angrep – simulerer et filløst angrep som er avhengig av PowerShell, som viser reduksjon av angrepsoverflaten og enhetslæring av skadelig minneaktivitet.
Scenario 3: Automatisert hendelsesrespons - utløser automatisert undersøkelse, som automatisk jakter på og remediates bruddartefakter for å skalere hendelsesresponskapasiteten din.
Last ned og les det tilsvarende gjennomgangsdokumentet som følger med det valgte scenarioet.
Last ned simuleringsfilen eller kopier simuleringsskriptet ved å navigere til Hjelpe>simuleringer & opplæringer. Du kan velge å laste ned filen eller skriptet på testenheten, men det er ikke obligatorisk.
Kjør simuleringsfilen eller skriptet på testenheten som forklart i gjennomgangsdokumentet.
Obs!
Simuleringsfiler eller skript etterligner angrepsaktivitet, men er faktisk godartede og vil ikke skade eller kompromittere testenheten.
SIEM-integrering
Du kan integrere Defender for Endpoint med Microsoft Sentinel eller en generell siem-tjeneste (security information and event management) for å aktivere sentralisert overvåking av varsler og aktiviteter fra tilkoblede apper. Med Microsoft Sentinel kan du mer omfattende analysere sikkerhetshendelser på tvers av organisasjonen og bygge strategibøker for effektiv og umiddelbar respons.
Microsoft Sentinel inkluderer en Defender for Endpoint-kobling. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for endepunkt kobling for Microsoft Sentinel.
Hvis du vil ha informasjon om integrering med generiske SIEM-systemer, kan du se Aktivere SIEM-integrering i Microsoft Defender for endepunkt.
Neste trinn:
Inkorporer informasjonen i Defender for sikkerhetsoperasjoner for endepunkt i SecOps-prosessene.
Neste trinn for ende-til-ende-distribusjonen av Microsoft Defender XDR
Fortsett ende-til-ende-distribusjonen av Microsoft Defender XDR med Pilot og distribuer Microsoft Defender for Cloud Apps.
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.