Pilotaż i wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender

Dotyczy:

  • Microsoft Defender XDR

Ten artykuł zawiera przepływ pracy na potrzeby pilotażu i wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w organizacji. Te zalecenia umożliwiają dołączanie Ochrona punktu końcowego w usłudze Microsoft Defender jako pojedynczego narzędzia do cyberbezpieczeństwa lub jako część kompleksowego rozwiązania z Microsoft Defender XDR.

W tym artykule przyjęto założenie, że masz produkcyjną dzierżawę platformy Microsoft 365 i pilotujesz i wdrażasz Ochrona punktu końcowego w usłudze Microsoft Defender w tym środowisku. Ta praktyka będzie obsługiwać wszelkie ustawienia i dostosowania skonfigurowane podczas pilotażu dla pełnego wdrożenia.

Usługa Defender for Endpoint przyczynia się do Zero Trust architektury, pomagając zapobiegać naruszeniom lub zmniejszać szkody biznesowe. Aby uzyskać więcej informacji, zobacz Scenariusz dotyczący zapobiegania lub zmniejszania szkód biznesowych spowodowanych naruszeniem zasad biznesowych w strukturze wdrażania Zero Trust firmy Microsoft.

Kompleksowe wdrożenie dla Microsoft Defender XDR

Jest to artykuł 4 z 6 z serii ułatwiający wdrażanie składników Microsoft Defender XDR, w tym badanie i reagowanie na zdarzenia.

Diagram przedstawiający Ochrona punktu końcowego w usłudze Microsoft Defender w procesie pilotażowym i wdrażania Microsoft Defender XDR.

Artykuły z tej serii odpowiadają następującym fazom kompleksowego wdrożenia:

Faza Link
Odp. Uruchamianie pilotażu Uruchamianie pilotażu
B. Testowanie i wdrażanie składników Microsoft Defender XDR - Pilotaż i wdrażanie usługi Defender for Identity

- Pilotaż i wdrażanie Ochrona usługi Office 365 w usłudze Defender

- Pilotaż i wdrażanie usługi Defender for Endpoint (ten artykuł)

- Pilotaż i wdrażanie Microsoft Defender for Cloud Apps
C. Badanie zagrożeń i odpowiadanie na nie Badanie i reagowanie na zdarzenia praktyczne

Pilotażowy i wdrażany przepływ pracy dla usługi Defender for Identity

Na poniższym diagramie przedstawiono typowy proces wdrażania produktu lub usługi w środowisku IT.

Diagram fazy wdrożenia pilotażowego, oceny i pełnego wdrożenia.

Rozpoczynasz od oceny produktu lub usługi oraz sposobu jej działania w organizacji. Następnie pilotujesz produkt lub usługę za pomocą odpowiednio małego podzestawu infrastruktury produkcyjnej na potrzeby testowania, uczenia się i dostosowywania. Następnie stopniowo zwiększaj zakres wdrożenia, dopóki nie zostanie uwzględniona cała infrastruktura lub organizacja.

Oto przepływ pracy na potrzeby pilotażu i wdrażania usługi Defender for Identity w środowisku produkcyjnym.

Diagram przedstawiający kroki pilotażu i wdrażania Microsoft Defender for Identity.

Wykonaj następujące czynności:

  1. Sprawdzanie stanu licencji
  2. Dołączanie punktów końcowych przy użyciu dowolnego z obsługiwanych narzędzi do zarządzania
  3. Weryfikowanie grupy pilotażowej
  4. Wypróbuj możliwości

Poniżej przedstawiono zalecane kroki dla każdego etapu wdrażania.

Etap wdrażania Opis
Oceniać Przeprowadzanie oceny produktu dla usługi Defender dla punktu końcowego.
Pilot Wykonaj kroki 1–4 dla grupy pilotażowej.
Pełne wdrożenie Skonfiguruj grupę pilotażową w kroku 3 lub dodaj grupy, aby rozszerzyć program poza program pilotażowy i ostatecznie uwzględnić wszystkie urządzenia.

Ochrona organizacji przed hakerami

Usługa Defender for Identity zapewnia samodzielną zaawansowaną ochronę. Jednak w połączeniu z innymi możliwościami Microsoft Defender XDR usługa Defender for Endpoint udostępnia dane do udostępnionych sygnałów, które razem pomagają zatrzymać ataki.

Oto przykład cyberataku i sposobu, w jaki składniki Microsoft Defender XDR pomagają go wykrywać i eliminować.

Diagram pokazujący, jak Microsoft Defender XDR zatrzymuje łańcuch zagrożeń.

Usługa Defender for Endpoint wykrywa luki w zabezpieczeniach urządzeń i sieci, które w przeciwnym razie mogłyby zostać wykorzystane w przypadku urządzeń zarządzanych przez organizację.

Microsoft Defender XDR skoreluje sygnały ze wszystkich składników Microsoft Defender, aby zapewnić pełną historię ataku.

Architektura usługi Defender for Endpoint

Na poniższym diagramie przedstawiono architekturę Ochrona punktu końcowego w usłudze Microsoft Defender i integracje.

Diagram przedstawiający kroki dodawania Ochrona punktu końcowego w usłudze Microsoft Defender do środowiska oceny Microsoft Defender XDR.

W tej tabeli opisano ilustrację.

Wywołanie Opis
1 Urządzenia są dołączane za pośrednictwem jednego z obsługiwanych narzędzi do zarządzania.
2 Urządzenia pokładowe zapewniają Ochrona punktu końcowego w usłudze Microsoft Defender dane sygnału i reagują na nie.
3 Urządzenia zarządzane są przyłączone i/lub zarejestrowane w Tożsamość Microsoft Entra.
4 Urządzenia z systemem Windows przyłączone do domeny są synchronizowane z Tożsamość Microsoft Entra przy użyciu programu Microsoft Entra Connect.
5 Ochrona punktu końcowego w usłudze Microsoft Defender alerty, badania i odpowiedzi są zarządzane w Microsoft Defender XDR.

Porada

Ochrona punktu końcowego w usłudze Microsoft Defender jest również wyposażony w laboratorium ewaluacyjne w produkcie, w którym można dodawać wstępnie skonfigurowane urządzenia i uruchamiać symulacje w celu oceny możliwości platformy. Laboratorium oferuje uproszczone środowisko konfiguracji, które może pomóc szybko zademonstrować wartość Ochrona punktu końcowego w usłudze Microsoft Defender w tym wskazówki dotyczące wielu funkcji, takich jak zaawansowane wyszukiwanie zagrożeń i analiza zagrożeń. Aby uzyskać więcej informacji, zobacz Evaluate capabilities (Ocena możliwości). Główną różnicą między wskazówkami podanymi w tym artykule a laboratorium ewaluacyjnym jest to, że środowisko ewaluacji używa urządzeń produkcyjnych, podczas gdy laboratorium ewaluacji używa urządzeń nieprodukcyjnych.

Krok 1. Sprawdzanie stanu licencji

Najpierw należy sprawdzić stan licencji, aby sprawdzić, czy została ona prawidłowo aprowizowana. Można to zrobić za pośrednictwem centrum administracyjnego lub za pośrednictwem Azure Portal firmy Microsoft.

  1. Aby wyświetlić licencje, przejdź do Azure Portal firmy Microsoft i przejdź do sekcji Licencja microsoft Azure Portal.

    Zrzut ekranu przedstawiający stronę Licencjonowanie platformy Azure w portalu Microsoft Defender.

  2. Alternatywnie w centrum administracyjnym przejdź do pozycji Subskrypcje rozliczeniowe>.

    Na ekranie zostaną wyświetlone wszystkie aprowizowane licencje i ich bieżący stan.

    Zrzut ekranu przedstawiający stronę Licencje rozliczeniowe w witrynie Microsoft Azure Portal.

Krok 2. Dołączanie punktów końcowych przy użyciu dowolnego z obsługiwanych narzędzi do zarządzania

Po sprawdzeniu, czy stan licencji został prawidłowo zainicjowany, możesz rozpocząć dołączanie urządzeń do usługi.

W celu oceny Ochrona punktu końcowego w usłudze Microsoft Defender zalecamy wybranie kilku urządzeń z systemem Windows w celu przeprowadzenia oceny.

Możesz użyć dowolnego z obsługiwanych narzędzi do zarządzania, ale Intune zapewnia optymalną integrację. Aby uzyskać więcej informacji, zobacz Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender w Microsoft Intune.

W temacie Planowanie wdrożenia opisano ogólne kroki, które należy wykonać w celu wdrożenia usługi Defender for Endpoint.

Obejrzyj to wideo, aby zapoznać się z szybkim omówieniem procesu dołączania i poznać dostępne narzędzia i metody.

Opcje narzędzia dołączania

W poniższej tabeli wymieniono dostępne narzędzia oparte na punkcie końcowym, który należy dołączyć.

Podczas pilotażu Ochrona punktu końcowego w usłudze Microsoft Defender możesz dołączyć kilka urządzeń do usługi przed dołączeniem całej organizacji.

Następnie możesz wypróbować dostępne funkcje, takie jak uruchamianie symulacji ataków, oraz zobaczyć, jak usługa Defender for Endpoint wyświetla złośliwe działania i umożliwia wydajne reagowanie.

Krok 3. Weryfikowanie grupy pilotażowej

Po wykonaniu kroków dołączania opisanych w sekcji Włącz ocenę urządzenia powinny zostać wyświetlone na liście Spis urządzeń około po godzinie.

Po wyświetleniu dołączonych urządzeń możesz kontynuować testowanie możliwości.

Krok 4. Wypróbowanie możliwości

Po zakończeniu dołączania niektórych urządzeń i upewnieniu się, że są one raportami w usłudze, zapoznaj się z produktem, wypróbowując zaawansowane możliwości dostępne od razu.

Podczas pilotażu można łatwo rozpocząć od wypróbowania niektórych funkcji, aby zobaczyć produkt w działaniu bez konieczności wykonywania złożonych kroków konfiguracji.

Zacznijmy od wyewidencjonowanie pulpitów nawigacyjnych.

Wyświetlanie spisu urządzeń

Spis urządzeń zawiera listę punktów końcowych, urządzeń sieciowych i urządzeń IoT w sieci. Nie tylko zapewnia wgląd w urządzenia w sieci, ale także udostępnia szczegółowe informacje na ich temat, takie jak domena, poziom ryzyka, platforma systemu operacyjnego i inne szczegóły ułatwiające łatwą identyfikację urządzeń najbardziej zagrożonych.

Wyświetlanie pulpitu nawigacyjnego Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender

Zarządzanie lukami w zabezpieczeniach w usłudze Defender pomaga skupić się na słabych stronach, które stanowią najpilniejsze i największe zagrożenie dla organizacji. Na pulpicie nawigacyjnym uzyskaj ogólny widok wskaźnika narażenia organizacji, wskaźnik bezpieczeństwa firmy Microsoft dla urządzeń, rozkład narażenia urządzenia, najważniejsze zalecenia dotyczące zabezpieczeń, najlepsze oprogramowanie narażone na zagrożenia, najważniejsze działania korygujące i najważniejsze uwidocznione dane urządzenia.

Uruchamianie symulacji

Ochrona punktu końcowego w usłudze Microsoft Defender zawiera scenariusze ataków "Zrób to sam", które można uruchomić na urządzeniach pilotażowych. Każdy dokument zawiera wymagania dotyczące systemu operacyjnego i aplikacji, a także szczegółowe instrukcje specyficzne dla scenariusza ataku. Te skrypty są bezpieczne, udokumentowane i łatwe w użyciu. Te scenariusze będą odzwierciedlać możliwości usługi Defender for Endpoint i przeprowadzą Cię przez środowisko badania.

Do uruchomienia dowolnej z podanych symulacji potrzebny jest co najmniej jedno dołączone urządzenie.

  1. W obszarze Symulacje pomocy>& samouczkach wybierz dostępne scenariusze ataków, które chcesz symulować:

    • Scenariusz 1. Dokument porzuca tylne drzwi — symuluje dostarczenie dokumentu przynęty inżynierii społecznej. Dokument uruchamia specjalnie spreparowane tylne drzwi, które zapewniają atakującym kontrolę.

    • Scenariusz 2. Skrypt programu PowerShell w ataku bez plików — symuluje atak bez plików, który opiera się na programie PowerShell, prezentując redukcję obszaru ataków i wykrywanie złośliwej pamięci przez uczenie urządzenia.

    • Scenariusz 3. Automatyczne reagowanie na zdarzenia — wyzwala zautomatyzowane badanie, które automatycznie poluje na artefakty naruszeń i koryguje je w celu skalowania pojemności reagowania na zdarzenia.

  2. Pobierz i przeczytaj odpowiedni dokument przewodnika dostarczony wraz z wybranym scenariuszem.

  3. Pobierz plik symulacji lub skopiuj skrypt symulacji, przechodząc do obszaru Symulacje pomocy>& samouczków. Możesz pobrać plik lub skrypt na urządzenie testowe, ale nie jest to obowiązkowe.

  4. Uruchom plik symulacji lub skrypt na urządzeniu testowym zgodnie z instrukcjami w dokumencie przewodnika.

Uwaga

Pliki symulacji lub skrypty naśladują działanie ataku, ale są w rzeczywistości niegroźne i nie zaszkodzą ani nie naruszą urządzenia testowego.

Integracja zarządzania informacjami i zdarzeniami zabezpieczeń

Usługę Defender for Endpoint można zintegrować z usługą Microsoft Sentinel lub ogólną usługą zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aby umożliwić scentralizowane monitorowanie alertów i działań z połączonych aplikacji. Dzięki Microsoft Sentinel można bardziej kompleksowo analizować zdarzenia zabezpieczeń w całej organizacji i tworzyć podręczniki w celu zapewnienia skutecznej i natychmiastowej reakcji.

Diagram przedstawiający architekturę Ochrona punktu końcowego w usłudze Microsoft Defender z integracją rozwiązania SIEM.

Microsoft Sentinel zawiera łącznik usługi Defender for Endpoint. Aby uzyskać więcej informacji, zobacz łącznik Ochrona punktu końcowego w usłudze Microsoft Defender dla Microsoft Sentinel.

Aby uzyskać informacje na temat integracji z ogólnymi systemami SIEM, zobacz Włączanie integracji SIEM w Ochrona punktu końcowego w usłudze Microsoft Defender.

Następny krok

Uwzględnij informacje w przewodniku po operacjach zabezpieczeń usługi Defender for Endpoint w procesach SecOps.

Następny krok dla kompleksowego wdrożenia Microsoft Defender XDR

Kontynuuj kompleksowe wdrażanie Microsoft Defender XDR za pomocą programu Pilotażowe i wdróż Microsoft Defender for Cloud Apps.

Diagram przedstawiający Microsoft Defender for Cloud Apps w procesie pilotażowym i wdrażania Microsoft Defender XDR.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.