Pilotaż i wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender
Dotyczy:
- Microsoft Defender XDR
Ten artykuł zawiera przepływ pracy na potrzeby pilotażu i wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w organizacji. Te zalecenia umożliwiają dołączanie Ochrona punktu końcowego w usłudze Microsoft Defender jako pojedynczego narzędzia do cyberbezpieczeństwa lub jako część kompleksowego rozwiązania z Microsoft Defender XDR.
W tym artykule przyjęto założenie, że masz produkcyjną dzierżawę platformy Microsoft 365 i pilotujesz i wdrażasz Ochrona punktu końcowego w usłudze Microsoft Defender w tym środowisku. Ta praktyka będzie obsługiwać wszelkie ustawienia i dostosowania skonfigurowane podczas pilotażu dla pełnego wdrożenia.
Usługa Defender for Endpoint przyczynia się do Zero Trust architektury, pomagając zapobiegać naruszeniom lub zmniejszać szkody biznesowe. Aby uzyskać więcej informacji, zobacz Scenariusz dotyczący zapobiegania lub zmniejszania szkód biznesowych spowodowanych naruszeniem zasad biznesowych w strukturze wdrażania Zero Trust firmy Microsoft.
Jest to artykuł 4 z 6 z serii ułatwiający wdrażanie składników Microsoft Defender XDR, w tym badanie i reagowanie na zdarzenia.
Artykuły z tej serii odpowiadają następującym fazom kompleksowego wdrożenia:
Faza | Link |
---|---|
Odp. Uruchamianie pilotażu | Uruchamianie pilotażu |
B. Testowanie i wdrażanie składników Microsoft Defender XDR |
-
Pilotaż i wdrażanie usługi Defender for Identity - Pilotaż i wdrażanie Ochrona usługi Office 365 w usłudze Defender - Pilotaż i wdrażanie usługi Defender for Endpoint (ten artykuł) - Pilotaż i wdrażanie Microsoft Defender for Cloud Apps |
C. Badanie zagrożeń i odpowiadanie na nie | Badanie i reagowanie na zdarzenia praktyczne |
Na poniższym diagramie przedstawiono typowy proces wdrażania produktu lub usługi w środowisku IT.
Rozpoczynasz od oceny produktu lub usługi oraz sposobu jej działania w organizacji. Następnie pilotujesz produkt lub usługę za pomocą odpowiednio małego podzestawu infrastruktury produkcyjnej na potrzeby testowania, uczenia się i dostosowywania. Następnie stopniowo zwiększaj zakres wdrożenia, dopóki nie zostanie uwzględniona cała infrastruktura lub organizacja.
Oto przepływ pracy na potrzeby pilotażu i wdrażania usługi Defender for Identity w środowisku produkcyjnym.
Wykonaj następujące czynności:
- Sprawdzanie stanu licencji
- Dołączanie punktów końcowych przy użyciu dowolnego z obsługiwanych narzędzi do zarządzania
- Weryfikowanie grupy pilotażowej
- Wypróbuj możliwości
Poniżej przedstawiono zalecane kroki dla każdego etapu wdrażania.
Etap wdrażania | Opis |
---|---|
Oceniać | Przeprowadzanie oceny produktu dla usługi Defender dla punktu końcowego. |
Pilot | Wykonaj kroki 1–4 dla grupy pilotażowej. |
Pełne wdrożenie | Skonfiguruj grupę pilotażową w kroku 3 lub dodaj grupy, aby rozszerzyć program poza program pilotażowy i ostatecznie uwzględnić wszystkie urządzenia. |
Usługa Defender for Identity zapewnia samodzielną zaawansowaną ochronę. Jednak w połączeniu z innymi możliwościami Microsoft Defender XDR usługa Defender for Endpoint udostępnia dane do udostępnionych sygnałów, które razem pomagają zatrzymać ataki.
Oto przykład cyberataku i sposobu, w jaki składniki Microsoft Defender XDR pomagają go wykrywać i eliminować.
Usługa Defender for Endpoint wykrywa luki w zabezpieczeniach urządzeń i sieci, które w przeciwnym razie mogłyby zostać wykorzystane w przypadku urządzeń zarządzanych przez organizację.
Microsoft Defender XDR skoreluje sygnały ze wszystkich składników Microsoft Defender, aby zapewnić pełną historię ataku.
Na poniższym diagramie przedstawiono architekturę Ochrona punktu końcowego w usłudze Microsoft Defender i integracje.
W tej tabeli opisano ilustrację.
Wywołanie | Opis |
---|---|
1 | Urządzenia są dołączane za pośrednictwem jednego z obsługiwanych narzędzi do zarządzania. |
2 | Urządzenia pokładowe zapewniają Ochrona punktu końcowego w usłudze Microsoft Defender dane sygnału i reagują na nie. |
3 | Urządzenia zarządzane są przyłączone i/lub zarejestrowane w Tożsamość Microsoft Entra. |
4 | Urządzenia z systemem Windows przyłączone do domeny są synchronizowane z Tożsamość Microsoft Entra przy użyciu programu Microsoft Entra Connect. |
5 | Ochrona punktu końcowego w usłudze Microsoft Defender alerty, badania i odpowiedzi są zarządzane w Microsoft Defender XDR. |
Porada
Ochrona punktu końcowego w usłudze Microsoft Defender jest również wyposażony w laboratorium ewaluacyjne w produkcie, w którym można dodawać wstępnie skonfigurowane urządzenia i uruchamiać symulacje w celu oceny możliwości platformy. Laboratorium oferuje uproszczone środowisko konfiguracji, które może pomóc szybko zademonstrować wartość Ochrona punktu końcowego w usłudze Microsoft Defender w tym wskazówki dotyczące wielu funkcji, takich jak zaawansowane wyszukiwanie zagrożeń i analiza zagrożeń. Aby uzyskać więcej informacji, zobacz Evaluate capabilities (Ocena możliwości). Główną różnicą między wskazówkami podanymi w tym artykule a laboratorium ewaluacyjnym jest to, że środowisko ewaluacji używa urządzeń produkcyjnych, podczas gdy laboratorium ewaluacji używa urządzeń nieprodukcyjnych.
Najpierw należy sprawdzić stan licencji, aby sprawdzić, czy została ona prawidłowo aprowizowana. Można to zrobić za pośrednictwem centrum administracyjnego lub za pośrednictwem Azure Portal firmy Microsoft.
Aby wyświetlić licencje, przejdź do Azure Portal firmy Microsoft i przejdź do sekcji Licencja microsoft Azure Portal.
Alternatywnie w centrum administracyjnym przejdź do pozycji Subskrypcje rozliczeniowe>.
Na ekranie zostaną wyświetlone wszystkie aprowizowane licencje i ich bieżący stan.
Po sprawdzeniu, czy stan licencji został prawidłowo zainicjowany, możesz rozpocząć dołączanie urządzeń do usługi.
W celu oceny Ochrona punktu końcowego w usłudze Microsoft Defender zalecamy wybranie kilku urządzeń z systemem Windows w celu przeprowadzenia oceny.
Możesz użyć dowolnego z obsługiwanych narzędzi do zarządzania, ale Intune zapewnia optymalną integrację. Aby uzyskać więcej informacji, zobacz Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender w Microsoft Intune.
W temacie Planowanie wdrożenia opisano ogólne kroki, które należy wykonać w celu wdrożenia usługi Defender for Endpoint.
Obejrzyj to wideo, aby zapoznać się z szybkim omówieniem procesu dołączania i poznać dostępne narzędzia i metody.
W poniższej tabeli wymieniono dostępne narzędzia oparte na punkcie końcowym, który należy dołączyć.
Punkt końcowy | Opcje narzędzi |
---|---|
Windows |
-
Skrypt lokalny (maksymalnie 10 urządzeń) - zasady grupy - Microsoft Intune /Mobile Menedżer urządzeń - Microsoft Endpoint Configuration Manager - Skrypty VDI |
macOS |
-
Skrypty lokalne - Microsoft Intune - JAMF Pro - Zarządzanie urządzeniami mobilne |
iOS | Oparte na aplikacji |
Android | Microsoft Intune |
Podczas pilotażu Ochrona punktu końcowego w usłudze Microsoft Defender możesz dołączyć kilka urządzeń do usługi przed dołączeniem całej organizacji.
Następnie możesz wypróbować dostępne funkcje, takie jak uruchamianie symulacji ataków, oraz zobaczyć, jak usługa Defender for Endpoint wyświetla złośliwe działania i umożliwia wydajne reagowanie.
Po wykonaniu kroków dołączania opisanych w sekcji Włącz ocenę urządzenia powinny zostać wyświetlone na liście Spis urządzeń około po godzinie.
Po wyświetleniu dołączonych urządzeń możesz kontynuować testowanie możliwości.
Po zakończeniu dołączania niektórych urządzeń i upewnieniu się, że są one raportami w usłudze, zapoznaj się z produktem, wypróbowując zaawansowane możliwości dostępne od razu.
Podczas pilotażu można łatwo rozpocząć od wypróbowania niektórych funkcji, aby zobaczyć produkt w działaniu bez konieczności wykonywania złożonych kroków konfiguracji.
Zacznijmy od wyewidencjonowanie pulpitów nawigacyjnych.
Spis urządzeń zawiera listę punktów końcowych, urządzeń sieciowych i urządzeń IoT w sieci. Nie tylko zapewnia wgląd w urządzenia w sieci, ale także udostępnia szczegółowe informacje na ich temat, takie jak domena, poziom ryzyka, platforma systemu operacyjnego i inne szczegóły ułatwiające łatwą identyfikację urządzeń najbardziej zagrożonych.
Wyświetlanie pulpitu nawigacyjnego Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Zarządzanie lukami w zabezpieczeniach w usłudze Defender pomaga skupić się na słabych stronach, które stanowią najpilniejsze i największe zagrożenie dla organizacji. Na pulpicie nawigacyjnym uzyskaj ogólny widok wskaźnika narażenia organizacji, wskaźnik bezpieczeństwa firmy Microsoft dla urządzeń, rozkład narażenia urządzenia, najważniejsze zalecenia dotyczące zabezpieczeń, najlepsze oprogramowanie narażone na zagrożenia, najważniejsze działania korygujące i najważniejsze uwidocznione dane urządzenia.
Ochrona punktu końcowego w usłudze Microsoft Defender zawiera scenariusze ataków "Zrób to sam", które można uruchomić na urządzeniach pilotażowych. Każdy dokument zawiera wymagania dotyczące systemu operacyjnego i aplikacji, a także szczegółowe instrukcje specyficzne dla scenariusza ataku. Te skrypty są bezpieczne, udokumentowane i łatwe w użyciu. Te scenariusze będą odzwierciedlać możliwości usługi Defender for Endpoint i przeprowadzą Cię przez środowisko badania.
Do uruchomienia dowolnej z podanych symulacji potrzebny jest co najmniej jedno dołączone urządzenie.
W obszarze Symulacje pomocy>& samouczkach wybierz dostępne scenariusze ataków, które chcesz symulować:
Scenariusz 1. Dokument porzuca tylne drzwi — symuluje dostarczenie dokumentu przynęty inżynierii społecznej. Dokument uruchamia specjalnie spreparowane tylne drzwi, które zapewniają atakującym kontrolę.
Scenariusz 2. Skrypt programu PowerShell w ataku bez plików — symuluje atak bez plików, który opiera się na programie PowerShell, prezentując redukcję obszaru ataków i wykrywanie złośliwej pamięci przez uczenie urządzenia.
Scenariusz 3. Automatyczne reagowanie na zdarzenia — wyzwala zautomatyzowane badanie, które automatycznie poluje na artefakty naruszeń i koryguje je w celu skalowania pojemności reagowania na zdarzenia.
Pobierz i przeczytaj odpowiedni dokument przewodnika dostarczony wraz z wybranym scenariuszem.
Pobierz plik symulacji lub skopiuj skrypt symulacji, przechodząc do obszaru Symulacje pomocy>& samouczków. Możesz pobrać plik lub skrypt na urządzenie testowe, ale nie jest to obowiązkowe.
Uruchom plik symulacji lub skrypt na urządzeniu testowym zgodnie z instrukcjami w dokumencie przewodnika.
Uwaga
Pliki symulacji lub skrypty naśladują działanie ataku, ale są w rzeczywistości niegroźne i nie zaszkodzą ani nie naruszą urządzenia testowego.
Usługę Defender for Endpoint można zintegrować z usługą Microsoft Sentinel lub ogólną usługą zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aby umożliwić scentralizowane monitorowanie alertów i działań z połączonych aplikacji. Dzięki Microsoft Sentinel można bardziej kompleksowo analizować zdarzenia zabezpieczeń w całej organizacji i tworzyć podręczniki w celu zapewnienia skutecznej i natychmiastowej reakcji.
Microsoft Sentinel zawiera łącznik usługi Defender for Endpoint. Aby uzyskać więcej informacji, zobacz łącznik Ochrona punktu końcowego w usłudze Microsoft Defender dla Microsoft Sentinel.
Aby uzyskać informacje na temat integracji z ogólnymi systemami SIEM, zobacz Włączanie integracji SIEM w Ochrona punktu końcowego w usłudze Microsoft Defender.
Uwzględnij informacje w przewodniku po operacjach zabezpieczeń usługi Defender for Endpoint w procesach SecOps.
Kontynuuj kompleksowe wdrażanie Microsoft Defender XDR za pomocą programu Pilotażowe i wdróż Microsoft Defender for Cloud Apps.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.