Onboarding van apparaten met behulp van gestroomlijnde connectiviteit voor Microsoft Defender voor Eindpunt
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Belangrijk
Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.
Opmerking
De gestroomlijnde onboardingmethode is momenteel in openbare preview. Controleer de vereisten om de vereisten en ondersteunde besturingssystemen te bevestigen.
De Microsoft Defender voor Eindpunt-service kan het gebruik van proxyconfiguraties vereisen om diagnostische gegevens te rapporteren en gegevens aan de service door te geven. Vóór de beschikbaarheid van de gestroomlijnde connectiviteitsmethode waren andere URL's vereist en werden statische IP-bereiken van Defender voor Eindpunt niet ondersteund. Zie STAP 1: Uw netwerkomgeving configureren om verbinding te maken met de Defender for Endpoint-service voor meer informatie over volledige MDE connectiviteitsprocessen.
In dit artikel wordt de gestroomlijnde methode voor apparaatconnectiviteit beschreven en hoe u nieuwe apparaten onboardt om een eenvoudigere implementatie en beheer van Defender for Endpoint-cloudconnectiviteitsservices te gebruiken. Zie Apparaten migreren naar gestroomlijnde connectiviteit voor meer informatie over het migreren van eerder onboarding-apparaten.
Om de netwerkconfiguratie en het beheer te vereenvoudigen, hebt u nu de mogelijkheid om apparaten te onboarden bij Defender voor Eindpunt met behulp van een beperkte URL-set of statische IP-bereiken. Zie lijst met gestroomlijnde URL's
Het door Defender voor Eindpunt herkende vereenvoudigde domein: *.endpoint.security.microsoft.com vervangt de volgende kernservices van Defender voor Eindpunt:
- Cloudbeveiliging/MAPS
- Opslag voor malwarevoorbeeldinzending
- Auto-IR-voorbeeldopslag
- Defender for Endpoint Command & Control
- EDR Cyberdata
Als u netwerkapparaten wilt ondersteunen zonder hostnaamomzetting of ondersteuning voor jokertekens, kunt u ook connectiviteit configureren met behulp van toegewezen statische IP-bereiken van Defender voor Eindpunt. Zie Connectiviteit configureren met behulp van statische IP-bereiken voor meer informatie.
Opmerking
De vereenvoudigde connectiviteitsmethode verandert niet de manier waarop Microsoft Defender voor Eindpunt werkt op een apparaat en verandert ook niet de ervaring van de eindgebruiker. Alleen de URL's of IP-adressen die een apparaat gebruikt om verbinding te maken met de service, worden gewijzigd.
Belangrijk
Preview-beperkingen en bekende problemen:
- Gestroomlijnde connectiviteit biedt geen ondersteuning voor onboarding via API (inclusief Microsoft Defender voor cloud en Intune).
- Deze onboardingmethode heeft specifieke vereisten die niet van toepassing zijn op de standaard onboardingmethode.
Geconsolideerde services
De volgende Defender voor Eindpunt-URL's die zijn geconsolideerd onder het gestroomlijnde domein, moeten niet langer vereist zijn voor connectiviteit als *.endpoint.security.microsoft.com dit is toegestaan en apparaten worden onboarded met behulp van het gestroomlijnde onboardingpakket. U moet connectiviteit onderhouden met andere vereiste services die niet zijn geconsolideerd en die relevant zijn voor uw organisatie (bijvoorbeeld CRL, SmartScreen/Netwerkbeveiliging en WNS).
Zie Het werkblad hier downloaden voor de bijgewerkte lijst met vereiste URL's.
Belangrijk
Als u configureert met behulp van IP-bereiken, moet u de EDR-cyberdata-service afzonderlijk configureren. Deze service is niet geconsolideerd op IP-niveau. Zie de sectie hieronder voor meer informatie.
| Categorie | Geconsolideerde URL's |
|---|---|
| MAPS: cloudbeveiliging | *.wdcp.microsoft.com *.wd.microsoft.com |
| Cloud protection & updates voor beveiligingsupdates voor macOS en Linux |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.comx.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
| Opslag voor malwarevoorbeeldinzending | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
| Voorbeeldopslag van Defender voor Eindpunt auto-IR | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
| Defender for Endpoint Command and Control | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
| EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
Voordat u begint
Apparaten moeten voldoen aan specifieke vereisten voor het gebruik van de gestroomlijnde connectiviteitsmethode voor Defender voor Eindpunt. Zorg ervoor dat aan de vereisten wordt voldaan voordat u doorgaat met onboarding.
Vereisten
Licentie:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor Bedrijven
- Microsoft Defender Vulnerability Management
Minimale KB-update (Windows)
- SENSE-versie: 10.8040.*/ 8 maart 2022 of hoger (zie tabel)
Microsoft Defender Antivirus-versies (Windows)
- Antimalwareclient: 4.18.2211.5
- Motor: 1.1.19900.2
- Antivirus (Beveiligingsinformatie): 1.391.345.0
Defender Antivirus-versies (macOS/Linux)
- door macOS ondersteunde versies met MDE productversie 101.24022.*+
- Door Linux ondersteunde versies met MDE productversie 101.24022.*+
Ondersteunde besturingssystemen
- Windows 10 versie 1809 of hoger
- Windows 10 versies 1607, 1703, 1709, 1803 worden ondersteund in het gestroomlijnde onboardingpakket, maar een andere URL-lijst vereisen, raadpleegt u het werkblad Gestroomlijnde URL
- Windows 11
- Windows Server 2019
- Windows Server 2022
- Windows Server 2012 R2, Server 2016 R2, volledig bijgewerkt met de moderne geïntegreerde oplossing van Defender voor Eindpunt (installatie via MSI).
- door macOS ondersteunde versies met MDE productversie 101.24022.*+
- Door Linux ondersteunde versies met MDE productversie 101.24022.*+
Belangrijk
- Apparaten die worden uitgevoerd op de MMA-agent worden niet ondersteund op de gestroomlijnde connectiviteitsmethode en moeten de standaard-URL-set blijven gebruiken (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 R2 niet bijgewerkt naar moderne geïntegreerde agent).
- Windows Server 2012 R2 en Server 2016 R2 moeten worden bijgewerkt naar een geïntegreerde agent om gebruik te kunnen maken van de nieuwe methode.
- Windows 10 1607, 1703, 1709, 1803 kan gebruikmaken van de nieuwe onboarding-optie, maar wordt een langere lijst gebruikt. Zie gestroomlijnd URL-blad voor meer informatie.
| Windows-besturingssysteem | Minimale KB vereist (8 maart 2022) |
|---|---|
| Windows 11 | KB5011493 (8 maart 2022) |
| Windows 10 1809, Windows Server 2019 | KB5011503 (8 maart 2022) |
| Windows 10 19H2 (1909) | KB5011485 (8 maart 2022) |
| Windows 10 20H2, 21H2 | KB5011487 (8 maart 2022) |
| Windows 10 22h2 | KB5020953 (28 oktober 2022) |
| Windows 10 1803* | < einde van de service > |
| Windows 10 1709* | < einde van de service > |
| Windows Server 2022 | KB5011497 (8 maart 2022) |
| Windows Server 2012 R2, 2016* | Unified Agent |
| Windows Server 2016 R2 | Unified Agent |
Gestroomlijnd connectiviteitsproces
In de volgende afbeelding ziet u het gestroomlijnde connectiviteitsproces en de bijbehorende fasen:
Fase 1. Uw netwerkomgeving configureren voor cloudconnectiviteit
Zodra u hebt bevestigd dat aan de vereisten wordt voldaan, controleert u of uw netwerkomgeving correct is geconfigureerd om de gestroomlijnde connectiviteitsmethode te ondersteunen. Gebruik de gestroomlijnde methode (preview) en volg de stappen die worden beschreven in Uw netwerkomgeving configureren om connectiviteit met Defender for Endpoint-service te garanderen.
Defender voor Eindpunt-services die zijn geconsolideerd volgens de vereenvoudigde methode, mogen niet langer vereist zijn voor connectiviteit. Sommige URL's zijn echter niet opgenomen in de consolidatie.
Met gestroomlijnde connectiviteit kunt u de volgende optie gebruiken om cloudconnectiviteit te configureren:
Optie 1: connectiviteit configureren met behulp van het vereenvoudigde domein
Configureer uw omgeving om verbindingen met het vereenvoudigde Defender for Endpoint-domein toe te staan: *.endpoint.security.microsoft.com. Zie Uw netwerkomgeving configureren om connectiviteit met Defender for Endpoint-service te garanderen voor meer informatie.
U moet de connectiviteit onderhouden met de resterende vereiste services die worden vermeld onder de bijgewerkte lijst. Bijvoorbeeld: Certificaatintrekkingslijst, Windows-update, SmartScreen.
Optie 2: Connectiviteit configureren met behulp van statische IP-bereiken
Met gestroomlijnde connectiviteit kunnen IP-oplossingen worden gebruikt als alternatief voor URL's. Deze IP-adressen hebben betrekking op de volgende services:
- KAARTEN
- Opslag voor malwarevoorbeeldinzending
- Auto-IR-voorbeeldopslag
- Defender for Endpoint Command and Control
Belangrijk
De EDR Cyber-gegevensservice moet afzonderlijk worden geconfigureerd als u de IP-methode gebruikt (deze service wordt alleen geconsolideerd op URL-niveau). U moet ook verbinding houden met andere vereiste services, waaronder SmartScreen, CRL, Windows Update en andere services.
Als u op de hoogte wilt blijven van IP-bereiken, wordt u aangeraden de volgende Azure-servicetags te raadplegen voor Microsoft Defender voor Eindpunt-services. De meest recente IP-bereiken vindt u altijd in de servicetag. Zie Azure IP-bereiken voor meer informatie.
| Naam van servicetag | Inclusief Defender for Endpoint-services |
|---|---|
| MicrosoftDefenderForEndpoint | MAPS, Malware Sample Submission Storage, Auto-IR Sample Storage, Command and Control. |
| OneDsCollector | EDR Cyberdata Opmerking: Het verkeer onder deze servicetag is niet beperkt tot Defender voor Eindpunt en kan diagnostisch gegevensverkeer voor andere Microsoft-services bevatten. |
De volgende tabel bevat de huidige statische IP-bereiken. Raadpleeg de Azure-servicetags voor de meest recente lijst.
| Geo | IP-bereiken |
|---|---|
| NL | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| EU | 4.208.13.0/24 20.8.195.0/24 |
| UK | 20.26.63.224/28 20.254.173.48/28 |
| AU | 68.218.120.64/28 20.211.228.80/28 |
Belangrijk
In overeenstemming met de beveiligings- en nalevingsstandaarden van Defender voor Eindpunt worden uw gegevens verwerkt en opgeslagen in overeenstemming met de fysieke locatie van uw tenant. Op basis van de clientlocatie kan verkeer door een van deze IP-regio's stromen (die overeenkomen met azure-datacenterregio's). Zie Gegevensopslag en privacy voor meer informatie.
Fase 2. Uw apparaten configureren om verbinding te maken met de Defender for Endpoint-service
Configureer apparaten om te communiceren via uw connectiviteitsinfrastructuur. Zorg ervoor dat apparaten voldoen aan de vereisten en dat de sensor- en Microsoft Defender antivirusversies zijn bijgewerkt. Zie Apparaatproxy- en internetverbindingsinstellingen configureren voor meer informatie.
Fase 3. Clientconnectiviteit controleren voor onboarding
Zie Clientconnectiviteit verifiëren voor meer informatie.
De volgende preonboarding-controles kunnen worden uitgevoerd op zowel Windows als Xplat MDE Client analyzer: Download de Microsoft Defender voor Eindpunt client analyzer.
Als u de gestroomlijnde connectiviteit wilt testen voor apparaten die nog niet zijn toegevoegd aan Defender voor Eindpunt, kunt u Client Analyzer voor Windows gebruiken met behulp van de volgende opdrachten:
Voer
mdeclientanalyzer.cmd -o <path to cmd file>uit vanuit de map MDEClientAnalyzer. De opdracht maakt gebruik van parameters uit het onboarding-pakket om de connectiviteit te testen.Voer uit
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>, waarbij parameter van GW_US, GW_EU GW_UK is. GW verwijst naar de gestroomlijnde optie. Voer uit met de toepasselijke tenant geo.
Als extra controle kunt u ook de clientanalyse gebruiken om te testen of een apparaat voldoet aan de vereisten: https://aka.ms/BetaMDEAnalyzer
Opmerking
Voor apparaten die nog niet zijn toegevoegd aan Defender for Endpoint, test client analyzer op basis van standaardset URL's. Als u de gestroomlijnde aanpak wilt testen, moet u uitvoeren met de switches die eerder in dit artikel worden vermeld.
Fase 4. Het nieuwe onboardingpakket toepassen dat vereist is voor gestroomlijnde connectiviteit
Zodra u uw netwerk hebt geconfigureerd om te communiceren met de volledige lijst met services, kunt u beginnen met het onboarden van apparaten met behulp van de gestroomlijnde methode. Onboarding via API wordt momenteel niet ondersteund (inclusief Intune & Microsoft Defender voor cloud).
Controleer voordat u doorgaat of apparaten voldoen aan de vereisten en de sensor en Microsoft Defender Antivirus-versies hebben bijgewerkt.
Als u het nieuwe pakket wilt ophalen, selecteert u in Microsoft Defender XDR Instellingen > Eindpunten > Onboarding apparaatbeheer>.
Selecteer het toepasselijke besturingssysteem en kies 'Gestroomlijnd (preview)' in de vervolgkeuzelijst Connectiviteitstype.
Voor nieuwe apparaten (niet onboarded naar Defender voor Eindpunt) die worden ondersteund onder deze methode, volgt u de onboardingstappen uit de vorige secties met behulp van het bijgewerkte onboarded pakket met de implementatiemethode van uw voorkeur:
- Windows-client onboarden
- Windows Server onboarden
- Niet-Windows-apparaten onboarden
- Voer een detectietest uit op een apparaat om te controleren of het goed is voorbereid op Microsoft Defender voor Eindpunt
Sluit apparaten uit van bestaande onboardingbeleidsregels die gebruikmaken van het standaard onboardingpakket.
Zie Apparaten migreren naar de gestroomlijnde connectiviteit voor meer informatie over het migreren van apparaten die al zijn onboarding naar Defender for Endpoint. U moet uw apparaat opnieuw opstarten en hier specifieke richtlijnen volgen.
Wanneer u klaar bent om het standaard onboardingpakket in te stellen op gestroomlijnd, kunt u de volgende instelling voor geavanceerde functies inschakelen in de Microsoft Defender portal (Geavanceerde functies voor eindpunten >>).
Opmerking
Voordat u verdergaat met deze optie, controleert u of uw omgeving gereed is en of alle apparaten voldoen aan de vereisten.
Met deze instelling stelt u het standaard onboardingpakket in op 'gestroomlijnd' voor toepasselijke besturingssystemen. U kunt het standaard onboardingpakket nog steeds gebruiken op de onboardingpagina, maar u moet dit specifiek selecteren in de vervolgkeuzelijst.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor