Test en implementeer Microsoft Defender voor Eindpunt
Van toepassing op:
- Microsoft Defender XDR
Dit artikel bevat een werkstroom voor het testen en implementeren van Microsoft Defender voor Eindpunt in uw organisatie. U kunt deze aanbevelingen gebruiken om Microsoft Defender voor Eindpunt te onboarden als een afzonderlijk cyberbeveiligingshulpprogramma of als onderdeel van een end-to-end-oplossing met Microsoft Defender XDR.
In dit artikel wordt ervan uitgegaan dat u een Productie-Microsoft 365-tenant hebt en Microsoft Defender voor Eindpunt in deze omgeving uitvoert en implementeert. In deze procedure worden alle instellingen en aanpassingen die u tijdens de testfase configureert, behouden voor uw volledige implementatie.
Defender voor Eindpunt draagt bij aan een Zero Trust-architectuur door bedrijfsschade door een inbreuk te voorkomen of te beperken. Zie bedrijfsschade door een bedrijfsscenario voorkomen of beperken in het Microsoft Zero Trust adoption framework voor meer informatie.
Dit is artikel 4 van 6 in een reeks om u te helpen de onderdelen van Microsoft Defender XDR te implementeren, inclusief het onderzoeken van en reageren op incidenten.
De artikelen in deze reeks komen overeen met de volgende fasen van end-to-end-implementatie:
Fase | Koppelen |
---|---|
A. Start de testfase | Start de testfase |
B. Test en implementeer Microsoft Defender XDR onderdelen |
-
Defender for Identity piloten en implementeren - Test en implementeer Defender voor Office 365 - Defender voor Eindpunt testen en implementeren (dit artikel) - Test en implementeer Microsoft Defender for Cloud Apps |
C. Bedreigingen onderzoeken en hierop reageren | Incidentonderzoek en -reactie oefenen |
In het volgende diagram ziet u een algemeen proces voor het implementeren van een product of service in een IT-omgeving.
U begint met het evalueren van het product of de service en de werking ervan binnen uw organisatie. Vervolgens test u het product of de service met een geschikte kleine subset van uw productie-infrastructuur voor testen, leren en aanpassen. Vergroot vervolgens geleidelijk het bereik van de implementatie totdat uw hele infrastructuur of organisatie wordt gedekt.
Dit is de werkstroom voor het testen en implementeren van Defender for Identity in uw productieomgeving.
Volg deze stappen:
- Licentiestatus controleren
- Onboarden van eindpunten met behulp van een van de ondersteunde beheerhulpprogramma's
- Testgroep controleren
- Mogelijkheden uitproberen
Dit zijn de aanbevolen stappen voor elke implementatiefase.
Implementatiefase | Beschrijving |
---|---|
Evalueren | Productevaluatie uitvoeren voor Defender voor Eindpunt. |
Pilot | Voer stap 1-4 uit voor een testgroep. |
Volledige implementatie | Configureer de testgroep in stap 3 of voeg groepen toe om verder uit te breiden dan de testfase en uiteindelijk al uw apparaten op te nemen. |
Defender for Identity biedt op zichzelf krachtige beveiliging. In combinatie met de andere mogelijkheden van Microsoft Defender XDR levert Defender voor Eindpunt echter gegevens in de gedeelde signalen die samen helpen aanvallen te stoppen.
Hier volgt een voorbeeld van een cyberaanval en hoe de onderdelen van Microsoft Defender XDR helpen deze te detecteren en te beperken.
Defender voor Eindpunt detecteert apparaat- en netwerkproblemen die anders mogelijk worden misbruikt voor apparaten die door uw organisatie worden beheerd.
Microsoft Defender XDR correleert de signalen van alle Microsoft Defender onderdelen om het volledige aanvalsverhaal te bieden.
In het volgende diagram ziet u Microsoft Defender voor Eindpunt architectuur en integraties.
In deze tabel wordt de afbeelding beschreven.
Bijschrift | Omschrijving |
---|---|
1 | Apparaten worden aan boord via een van de ondersteunde beheerhulpprogramma's. |
2 | On-boarded apparaten bieden en reageren op Microsoft Defender voor Eindpunt signaalgegevens. |
3 | Beheerde apparaten worden toegevoegd aan en/of ingeschreven bij Microsoft Entra ID. |
4 | Windows-apparaten die lid zijn van een domein, worden gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect. |
5 | Microsoft Defender voor Eindpunt waarschuwingen, onderzoeken en antwoorden worden beheerd in Microsoft Defender XDR. |
Tip
Microsoft Defender voor Eindpunt wordt ook geleverd met een evaluatielab in het product waar u vooraf geconfigureerde apparaten kunt toevoegen en simulaties kunt uitvoeren om de mogelijkheden van het platform te evalueren. Het lab wordt geleverd met een vereenvoudigde instellingservaring waarmee u snel de waarde van Microsoft Defender voor Eindpunt kunt laten zien, inclusief richtlijnen voor veel functies, zoals geavanceerde opsporing en bedreigingsanalyse. Zie Mogelijkheden evalueren voor meer informatie. Het belangrijkste verschil tussen de richtlijnen in dit artikel en het evaluatielab is dat de evaluatieomgeving productieapparaten gebruikt, terwijl het evaluatielab gebruikmaakt van niet-productieapparaten.
U moet eerst de licentiestatus controleren om te controleren of deze correct is ingericht. U kunt dit doen via het beheercentrum of via de Microsoft Azure Portal.
Als u uw licenties wilt bekijken, gaat u naar de Microsoft Azure Portal en navigeert u naar de sectie Microsoft Azure Portal-licentie.
U kunt ook in het beheercentrum naar Factureringsabonnementen> navigeren.
Op het scherm ziet u alle ingerichte licenties en hun huidige status.
Nadat u hebt gecontroleerd of de licentiestatus correct is ingericht, kunt u beginnen met het onboarden van apparaten voor de service.
Voor het evalueren van Microsoft Defender voor Eindpunt raden we u aan een aantal Windows-apparaten te kiezen waarop u de evaluatie wilt uitvoeren.
U kunt ervoor kiezen om een van de ondersteunde beheerhulpprogramma's te gebruiken, maar Intune biedt optimale integratie. Zie Microsoft Defender voor Eindpunt configureren in Microsoft Intune voor meer informatie.
In het onderwerp Implementatie plannen worden de algemene stappen beschreven die u moet uitvoeren om Defender voor Eindpunt te implementeren.
Bekijk deze video voor een kort overzicht van het onboardingproces en meer informatie over de beschikbare hulpprogramma's en methoden.
De volgende tabel bevat de beschikbare hulpprogramma's op basis van het eindpunt dat u moet onboarden.
Eindpunt | Opties voor hulpprogramma's |
---|---|
Windows |
-
Lokaal script (maximaal 10 apparaten) - groepsbeleid - Microsoft Intune/mobiele Apparaatbeheer - Microsoft Endpoint Configuration Manager - VDI-scripts |
macOS |
-
Lokale scripts - Microsoft Intune - JAMF Pro - Mobiele Apparaatbeheer |
iOS | Op apps gebaseerd |
Android | Microsoft Intune |
Wanneer u Microsoft Defender voor Eindpunt test, kunt u ervoor kiezen om een paar apparaten aan de service te onboarden voordat u uw hele organisatie onboardt.
Vervolgens kunt u mogelijkheden uitproberen die beschikbaar zijn, zoals het uitvoeren van aanvalssimulaties en zien hoe Defender voor Eindpunt schadelijke activiteiten aan het licht brengt en u in staat stelt om efficiënt te reageren.
Nadat u de onboardingstappen hebt voltooid die worden beschreven in de sectie Evaluatie inschakelen, ziet u de apparaten ongeveer na een uur in de lijst Apparaatinventaris.
Wanneer u uw onboarded apparaten ziet, kunt u doorgaan met het uitproberen van mogelijkheden.
Nu u de onboarding van sommige apparaten hebt voltooid en hebt gecontroleerd of ze rapporteren aan de service, kunt u vertrouwd raken met het product door de krachtige mogelijkheden uit te proberen die direct beschikbaar zijn.
Tijdens de testfase kunt u eenvoudig enkele functies uitproberen om het product in actie te zien zonder complexe configuratiestappen te doorlopen.
Laten we beginnen met het uitchecken van de dashboards.
In de apparaatinventaris ziet u de lijst met eindpunten, netwerkapparaten en IoT-apparaten in uw netwerk. Het biedt u niet alleen een weergave van de apparaten in uw netwerk, maar het biedt u ook uitgebreide informatie over deze apparaten, zoals domein, risiconiveau, besturingssysteemplatform en andere details voor eenvoudige identificatie van apparaten die het meest risico lopen.
Defender Vulnerability Management helpt u zich te concentreren op de zwakke punten die het meest urgent en het hoogste risico voor de organisatie vormen. In het dashboard krijgt u een overzicht op hoog niveau van de blootstellingsscore van de organisatie, Microsoft Secure Score voor apparaten, de distributie van apparaatblootstelling, de belangrijkste beveiligingsaanbevelingsaanbeveling, de meest kwetsbare software, de belangrijkste herstelactiviteiten en de meest blootgestelde apparaatgegevens.
Microsoft Defender voor Eindpunt wordt geleverd met 'Do It Yourself'-aanvalsscenario's die u kunt uitvoeren op uw testapparaten. Elk document bevat vereisten voor het besturingssysteem en de toepassing, evenals gedetailleerde instructies die specifiek zijn voor een aanvalsscenario. Deze scripts zijn veilig, gedocumenteerd en eenvoudig te gebruiken. Deze scenario's weerspiegelen de mogelijkheden van Defender voor Eindpunt en begeleiden u door de onderzoekservaring.
Als u een van de verstrekte simulaties wilt uitvoeren, hebt u ten minste één onboarded apparaat nodig.
Selecteer inHelp-simulaties> & zelfstudies welke van de beschikbare aanvalsscenario's u wilt simuleren:
Scenario 1: Document drop backdoor : simuleert de levering van een sociaal ontworpen lokkerdocument. Het document start een speciaal ontworpen backdoor die aanvallers controle geeft.
Scenario 2: PowerShell-script bij een bestandsloze aanval : simuleert een bestandsloze aanval die afhankelijk is van PowerShell, waarbij de kwetsbaarheid voor aanvallen wordt verminderd en de detectie van schadelijke geheugenactiviteit op apparaten wordt weergegeven.
Scenario 3: Geautomatiseerde reactie op incidenten : hiermee wordt geautomatiseerd onderzoek geactiveerd, waardoor inbreukartefacten automatisch worden gezocht en hersteld om uw reactiecapaciteit voor incidenten te schalen.
Download en lees het bijbehorende walkthrough-document dat is meegeleverd met het geselecteerde scenario.
Download het simulatiebestand of kopieer het simulatiescript door te navigeren naarHelp-simulaties> & zelfstudies. U kunt ervoor kiezen om het bestand of script te downloaden op het testapparaat, maar dit is niet verplicht.
Voer het simulatiebestand of -script uit op het testapparaat volgens de instructies in het overzichtsdocument.
Notitie
Simulatiebestanden of scripts bootsen aanvalsactiviteiten na, maar zijn in feite goedaardig en zullen het testapparaat niet schaden of in gevaar brengen.
U kunt Defender voor Eindpunt integreren met Microsoft Sentinel of een algemene SIEM-service (Security Information and Event Management) om gecentraliseerde bewaking van waarschuwingen en activiteiten van verbonden apps mogelijk te maken. Met Microsoft Sentinel kunt u beveiligingsevenementen in uw organisatie uitgebreider analyseren en playbooks bouwen voor een effectieve en onmiddellijke reactie.
Microsoft Sentinel bevat een Defender voor Eindpunt-connector. Zie Microsoft Defender voor Eindpunt connector voor Microsoft Sentinel voor meer informatie.
Zie SIEM-integratie inschakelen in Microsoft Defender voor Eindpunt voor informatie over integratie met algemene SIEM-systemen.
Neem de informatie op in de Operations Guide voor Defender for Endpoint Security in uw SecOps-processen.
Ga verder met de end-to-end-implementatie van Microsoft Defender XDR met Pilot en implementeer Microsoft Defender for Cloud Apps.
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.