Microsoft Defender voor Eindpunt testen en implementeren
Van toepassing op:
- Microsoft Defender XDR
Dit artikel bevat een werkstroom voor het testen en implementeren van Microsoft Defender voor Eindpunt in uw organisatie. U kunt deze aanbevelingen gebruiken om Microsoft Defender voor Eindpunt te onboarden als een afzonderlijk cyberbeveiligingsprogramma of als onderdeel van een end-to-end-oplossing met Microsoft Defender XDR.
In dit artikel wordt ervan uitgegaan dat u een Productie-Microsoft 365-tenant hebt en Microsoft Defender voor Eindpunt in deze omgeving test en implementeert. In deze procedure worden alle instellingen en aanpassingen die u tijdens de testfase configureert, behouden voor uw volledige implementatie.
Defender voor Eindpunt draagt bij aan een Zero Trust-architectuur door bedrijfsschade door een inbreuk te voorkomen of te beperken. Zie bedrijfsschade van een inbreuk voorkomen of beperken in het Microsoft Zero Trust-acceptatieframework voor meer informatie.
End-to-end-implementatie voor Microsoft Defender XDR
Dit is artikel 4 van 6 in een reeks om u te helpen bij het implementeren van de onderdelen van Microsoft Defender XDR, inclusief het onderzoeken van en reageren op incidenten.
De artikelen in deze reeks komen overeen met de volgende fasen van end-to-end-implementatie:
| Fase | Koppelen |
|---|---|
| A. Start de testfase | Start de testfase |
| B. Microsoft Defender XDR-onderdelen piloten en implementeren | - Defender for Identity piloten en implementeren - Defender voor Office 365 uitvoeren en implementeren - Defender voor Eindpunt testen en implementeren (dit artikel) - Microsoft Defender for Cloud Apps testen en implementeren |
| C. Bedreigingen onderzoeken en hierop reageren | Incidentonderzoek en -reactie oefenen |
Werkstroom voor Defender for Identity testen en implementeren
In het volgende diagram ziet u een algemeen proces voor het implementeren van een product of service in een IT-omgeving.
U begint met het evalueren van het product of de service en de werking ervan binnen uw organisatie. Vervolgens test u het product of de service met een geschikte kleine subset van uw productie-infrastructuur voor testen, leren en aanpassen. Vergroot vervolgens geleidelijk het bereik van de implementatie totdat uw hele infrastructuur of organisatie wordt gedekt.
Dit is de werkstroom voor het testen en implementeren van Defender for Identity in uw productieomgeving.
Volg deze stappen:
- Licentiestatus controleren
- Onboarden van eindpunten met behulp van een van de ondersteunde beheerhulpprogramma's
- Testgroep controleren
- Mogelijkheden uitproberen
Dit zijn de aanbevolen stappen voor elke implementatiefase.
| Implementatiefase | Beschrijving |
|---|---|
| Evalueren | Productevaluatie uitvoeren voor Defender voor Eindpunt. |
| Pilot | Voer stap 1-4 uit voor een testgroep. |
| Volledige implementatie | Configureer de testgroep in stap 3 of voeg groepen toe om verder uit te breiden dan de testfase en uiteindelijk al uw apparaten op te nemen. |
Uw organisatie beschermen tegen hackers
Defender for Identity biedt op zichzelf krachtige beveiliging. In combinatie met de andere mogelijkheden van Microsoft Defender XDR levert Defender voor Eindpunt echter gegevens in de gedeelde signalen die samen helpen aanvallen te stoppen.
Hier volgt een voorbeeld van een cyberaanval en hoe de onderdelen van Microsoft Defender XDR deze helpen detecteren en beperken.
Defender voor Eindpunt detecteert apparaat- en netwerkproblemen die anders mogelijk worden misbruikt voor apparaten die door uw organisatie worden beheerd.
Microsoft Defender XDR correleert de signalen van alle Microsoft Defender-onderdelen om het volledige aanvalsverhaal te bieden.
Defender voor Eindpunt-architectuur
In het volgende diagram ziet u de architectuur en integraties van Microsoft Defender voor Eindpunt.
In deze tabel wordt de afbeelding beschreven.
| Bijschrift | Omschrijving |
|---|---|
| 1 | Apparaten worden aan boord via een van de ondersteunde beheerhulpprogramma's. |
| 2 | On-boarded apparaten bieden en reageren op signaalgegevens van Microsoft Defender voor Eindpunt. |
| 3 | Beheerde apparaten worden toegevoegd en/of ingeschreven bij Microsoft Entra ID. |
| 4 | Windows-apparaten die lid zijn van een domein, worden gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect. |
| 5 | Waarschuwingen, onderzoeken en antwoorden van Microsoft Defender voor Eindpunt worden beheerd in Microsoft Defender XDR. |
Tip
Microsoft Defender voor Eindpunt wordt ook geleverd met een evaluatielab in het product waar u vooraf geconfigureerde apparaten kunt toevoegen en simulaties kunt uitvoeren om de mogelijkheden van het platform te evalueren. Het lab wordt geleverd met een vereenvoudigde instelervaring waarmee u snel de waarde van Microsoft Defender voor Eindpunt kunt laten zien, inclusief richtlijnen voor veel functies, zoals geavanceerde opsporing en bedreigingsanalyse. Zie Mogelijkheden evalueren voor meer informatie. Het belangrijkste verschil tussen de richtlijnen in dit artikel en het evaluatielab is dat de evaluatieomgeving productieapparaten gebruikt, terwijl het evaluatielab gebruikmaakt van niet-productieapparaten.
Stap 1: licentiestatus controleren
U moet eerst de licentiestatus controleren om te controleren of deze correct is ingericht. U kunt dit doen via het beheercentrum of via de Microsoft Azure-portal.
Als u uw licenties wilt weergeven, gaat u naar Microsoft Azure Portal en navigeert u naar de sectie Microsoft Azure Portal-licentie.
U kunt ook in het beheercentrum naar Factureringsabonnementen> navigeren.
Op het scherm ziet u alle ingerichte licenties en hun huidige status.
Stap 2: Eindpunten onboarden met een van de ondersteunde beheerhulpprogramma's
Nadat u hebt gecontroleerd of de licentiestatus correct is ingericht, kunt u beginnen met het onboarden van apparaten voor de service.
Voor het evalueren van Microsoft Defender voor Eindpunt raden we u aan een aantal Windows-apparaten te kiezen om de evaluatie op uit te voeren.
U kunt ervoor kiezen om een van de ondersteunde beheerhulpprogramma's te gebruiken, maar Intune biedt optimale integratie. Zie Microsoft Defender voor Eindpunt configureren in Microsoft Intune voor meer informatie.
In het onderwerp Implementatie plannen worden de algemene stappen beschreven die u moet uitvoeren om Defender voor Eindpunt te implementeren.
Bekijk deze video voor een kort overzicht van het onboardingproces en meer informatie over de beschikbare hulpprogramma's en methoden.
Opties voor het onboarding-hulpprogramma
De volgende tabel bevat de beschikbare hulpprogramma's op basis van het eindpunt dat u moet onboarden.
| Eindpunt | Opties voor hulpprogramma's |
|---|---|
| Windows | - Lokaal script (maximaal 10 apparaten) - Groepsbeleid - Microsoft Intune/Mobile Device Manager - Microsoft Endpoint Configuration Manager - VDI-scripts |
| macOS | - Lokale scripts - Microsoft Intune - JAMF Pro - Beheer van mobiele apparaten |
| iOS | Op apps gebaseerd |
| Android | Microsoft Intune |
Wanneer u Microsoft Defender voor Eindpunt test, kunt u ervoor kiezen om enkele apparaten aan de service te onboarden voordat u uw hele organisatie onboardt.
Vervolgens kunt u mogelijkheden uitproberen die beschikbaar zijn, zoals het uitvoeren van aanvalssimulaties en zien hoe Defender voor Eindpunt schadelijke activiteiten aan het licht brengt en u in staat stelt om efficiënt te reageren.
Stap 3: testgroep verifiëren
Nadat u de onboardingstappen hebt voltooid die worden beschreven in de sectie Evaluatie inschakelen, ziet u de apparaten ongeveer na een uur in de lijst Apparaatinventaris.
Wanneer u uw onboarded apparaten ziet, kunt u doorgaan met het uitproberen van mogelijkheden.
Stap 4: Mogelijkheden uitproberen
Nu u de onboarding van sommige apparaten hebt voltooid en hebt gecontroleerd of ze rapporteren aan de service, kunt u vertrouwd raken met het product door de krachtige mogelijkheden uit te proberen die direct beschikbaar zijn.
Tijdens de testfase kunt u eenvoudig enkele functies uitproberen om het product in actie te zien zonder complexe configuratiestappen te doorlopen.
Laten we beginnen met het uitchecken van de dashboards.
De apparaatinventaris weergeven
In de apparaatinventaris ziet u de lijst met eindpunten, netwerkapparaten en IoT-apparaten in uw netwerk. Het biedt u niet alleen een weergave van de apparaten in uw netwerk, maar het biedt u ook uitgebreide informatie over deze apparaten, zoals domein, risiconiveau, besturingssysteemplatform en andere details voor eenvoudige identificatie van apparaten die het meest risico lopen.
Het microsoft Defender-dashboard voor beheer van beveiligingsproblemen weergeven
Defender Vulnerability Management helpt u zich te concentreren op de zwakke punten die het meest urgent en het hoogste risico voor de organisatie vormen. In het dashboard krijgt u een overzicht op hoog niveau van de blootstellingsscore van de organisatie, Microsoft Secure Score voor apparaten, de distributie van apparaatblootstelling, de belangrijkste beveiligingsaanbevelingsaanbeveling, de meest kwetsbare software, de belangrijkste herstelactiviteiten en de meest blootgestelde apparaatgegevens.
Een simulatie uitvoeren
Microsoft Defender voor Eindpunt wordt geleverd met 'Do It Yourself'-aanvalsscenario's die u kunt uitvoeren op uw testapparaten. Elk document bevat vereisten voor het besturingssysteem en de toepassing, evenals gedetailleerde instructies die specifiek zijn voor een aanvalsscenario. Deze scripts zijn veilig, gedocumenteerd en eenvoudig te gebruiken. Deze scenario's weerspiegelen de mogelijkheden van Defender voor Eindpunt en begeleiden u door de onderzoekservaring.
Als u een van de verstrekte simulaties wilt uitvoeren, hebt u ten minste één onboarded apparaat nodig.
Selecteer inHelp-simulaties> & zelfstudies welke van de beschikbare aanvalsscenario's u wilt simuleren:
Scenario 1: Document drop backdoor : simuleert de levering van een sociaal ontworpen lokkerdocument. Het document start een speciaal ontworpen backdoor die aanvallers controle geeft.
Scenario 2: PowerShell-script bij een bestandsloze aanval : simuleert een bestandsloze aanval die afhankelijk is van PowerShell, waarbij de kwetsbaarheid voor aanvallen wordt verminderd en de detectie van schadelijke geheugenactiviteit op apparaten wordt weergegeven.
Scenario 3: Geautomatiseerde reactie op incidenten : hiermee wordt geautomatiseerd onderzoek geactiveerd, waardoor inbreukartefacten automatisch worden gezocht en hersteld om uw reactiecapaciteit voor incidenten te schalen.
Download en lees het bijbehorende walkthrough-document dat is meegeleverd met het geselecteerde scenario.
Download het simulatiebestand of kopieer het simulatiescript door te navigeren naarHelp-simulaties> & zelfstudies. U kunt ervoor kiezen om het bestand of script te downloaden op het testapparaat, maar dit is niet verplicht.
Voer het simulatiebestand of -script uit op het testapparaat volgens de instructies in het overzichtsdocument.
Opmerking
Simulatiebestanden of scripts bootsen aanvalsactiviteiten na, maar zijn in feite goedaardig en zullen het testapparaat niet schaden of in gevaar brengen.
SIEM-integratie
U kunt Defender voor Eindpunt integreren met Microsoft Sentinel of een algemene SIEM-service (Security Information and Event Management) om gecentraliseerde bewaking van waarschuwingen en activiteiten van verbonden apps mogelijk te maken. Met Microsoft Sentinel kunt u beveiligingsevenementen in uw organisatie uitgebreider analyseren en playbooks bouwen voor een effectieve en onmiddellijke reactie.
Microsoft Sentinel bevat een Defender voor Eindpunt-connector. Zie Microsoft Defender voor Eindpunt-connector voor Microsoft Sentinel voor meer informatie.
Volgende stap
Neem de informatie op in de Operations Guide voor Defender for Endpoint Security in uw SecOps-processen.
Volgende stap voor de end-to-end-implementatie van Microsoft Defender XDR
Ga verder met de end-to-end-implementatie van Microsoft Defender XDR met Pilot en implementeer Microsoft Defender for Cloud Apps.
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.