Compartilhar via


Integração de dispositivos com conectividade simplificada para o Microsoft Defender para Endpoint

Aplica-se a:

O serviço Microsoft Defender para Endpoint pode exigir a utilização de configurações de proxy para comunicar dados de diagnóstico e comunicar dados ao serviço. Antes da disponibilidade do método de conectividade simplificado, eram necessários outros URLs e os intervalos de IP estáticos do Defender para Ponto Final não eram suportados. Para obter mais informações sobre como preparar o seu ambiente, veja STEP 1: Configure your network environment to ensure connectivity with Defender for Endpoint service (PASSO 1: Configurar o ambiente de rede para garantir a conectividade com o serviço Defender para Endpoint).

Este artigo descreve o método de conectividade do dispositivo simplificado e como integrar novos dispositivos para utilizar uma implementação e gestão mais simples dos serviços de conectividade na cloud do Defender para Endpoint. Para obter mais informações sobre a migração de dispositivos previamente integrados, veja Migrar dispositivos para uma conectividade simplificada.

Para simplificar a configuração e a gestão da rede, tem agora a opção de integrar dispositivos no Defender para Ponto Final com um conjunto de URLs reduzido ou intervalos de IP estáticos. Veja a lista de URLs simplificados.

O domínio simplificado reconhecido pelo Defender para Endpoint: *.endpoint.security.microsoft.com substitui os seguintes serviços principais do Defender para Endpoint:

  • Proteção da Cloud/MAPS
  • Armazenamento de Submissão de Exemplo de Software Maligno
  • Armazenamento de Exemplo de IR Automático
  • Controlo de & de Comandos do Defender para Endpoint
  • EDR Cyberdata

Para suportar dispositivos de rede sem resolução de nome de anfitrião ou suporte de carateres universais, pode, em alternativa, configurar a conectividade com intervalos de IP estáticos do Defender para Endpoint dedicados. Para obter mais informações, veja Configurar a conectividade com intervalos de IP estáticos.

Observação

  • O método de conectividade simplificado não alterará a forma como o Microsoft Defender para Endpoint funciona num dispositivo nem alterará a experiência do utilizador final. Apenas os URLs ou IPs que um dispositivo utiliza para ligar ao serviço serão alterados.
  • Atualmente, não existe nenhum plano para preterir os URLs de serviço consolidados antigos. Os dispositivos integrados com conectividade "padrão" continuarão a funcionar. É importante garantir que a conectividade ao é e continua a *.endpoint.security.microsoft.com ser possível, uma vez que os serviços futuros o exigirão. Este novo URL está incluído em todas as listas de URL necessárias.

Serviços consolidados

Os seguintes URLs do Defender para Endpoint consolidados no domínio simplificado já não devem ser necessários para conectividade se *.endpoint.security.microsoft.com for permitido e os dispositivos forem integrados com o pacote de integração simplificado. Tem de manter a conectividade com outros serviços necessários não consolidados que sejam relevantes para a sua organização (por exemplo, CRL, SmartScreen/Proteção de Rede e Windows Update).

Para obter a lista atualizada de URLs necessários, veja STEP 1: Configure your network environment to ensure connectivity with Defender for Endpoint service (PASSO 1: Configurar o ambiente de rede para garantir a conectividade com o serviço Defender para Endpoint).

Importante

Se estiver a configurar com intervalos de IP, terá de configurar separadamente o serviço de ciberdados EDR. Este serviço não é consolidado num nível de IP.

Categoria URLs consolidados
MAPS: proteção fornecida pela cloud *.wdcp.microsoft.com
*.wd.microsoft.com
& de proteção da cloud
atualizações de informações de segurança para macOS e Linux
unitedstates.x.cp.wd.microsoft.com
europe.x.cp.wd.microsoft.com
unitedkingdom.x.cp.wd.microsoft.com
x.cp.wd.microsoft.com
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
Armazenamento de Submissão de Exemplo de Software Maligno ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Armazenamento de Exemplos de IR Automático do Defender para Ponto Final automatedirstrprdcus.blob.core.windows.net
automatedirstrprdeus.blob.core.windows.net
automatedirstrprdcus3.blob.core.windows.net
automatedirstrprdeus3.blob.core.windows.net
automatedirstrprdneu.blob.core.windows.net
automatedirstrprdweu.blob.core.windows.net
automatedirstrprdneu3.blob.core.windows.net
automatedirstrprdweu3.blob.core.windows.net
automatedirstrprduks.blob.core.windows.net
automatedirstrprdukw.blob.core.windows.net
Comando e Controlo do Defender para Ponto Final winatp-gw-cus.microsoft.com
winatp-gw-eus.microsoft.com
winatp-gw-cus3.microsoft.com
winatp-gw-eus3.microsoft.com
winatp-gw-neu.microsoft.com
winatp-gw-weu.microsoft.com
winatp-gw-neu3.microsoft.com
winatp-gw-weu3.microsoft.com
winatp-gw-uks.microsoft.com
winatp-gw-ukw.microsoft.com
EDR Cyberdata events.data.microsoft.com
us-v20.events.data.microsoft.com
eu-v20.events.data.microsoft.com
uk-v20.events.data.microsoft.com

Antes de começar

Os dispositivos têm de cumprir pré-requisitos específicos para utilizar o método de conectividade simplificado do Defender para Endpoint. Certifique-se de que os pré-requisitos são cumpridos antes de prosseguir com a integração.

Pré-requisitos

Licença:

  • Plano 1 do Microsoft Defender para Endpoint
  • Plano 2 do Microsoft Defender para Endpoint
  • Microsoft Defender para Empresas
  • Gerenciamento de Vulnerabilidades do Microsoft Defender

Atualização mínima da BDC (Windows)

  • Versão SENSE: 10.8040.*/ 8 de março de 2022 ou superior (ver tabela)

Versões do Antivírus do Microsoft Defender (Windows)

  • Cliente Antimalware:4.18.2211.5
  • Motor:1.1.19900.2
  • Antivírus (Informações de Segurança):1.391.345.0

Versões do Antivírus do Defender (macOS/Linux)

Sistemas Operativos Suportados

  • Windows 10, versão 1809 ou posterior. As versões 1607, 1703, 1709 e 1803 do Windows 10 são suportadas no pacote de inclusão simplificado, mas necessitam de uma lista de URLs diferente. Veja Folha de URL simplificada
  • Windows 11
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2012 R2 ou Windows Server 2016, totalmente atualizado com a solução unificada moderna do Defender para Endpoint (instalação através de MSI).
  • Versões suportadas do macOS com a versão 101.24022 do produto MDE 101.24022.*+
  • Versões suportadas pelo Linux com a versão de produto MDE 101.24022.*+

Importante

  • Os dispositivos em execução no agente MMA não são suportados no método de conectividade simplificado e terão de continuar a utilizar o conjunto de URL padrão (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 não atualizado para o agente unificado moderno).
  • O Windows Server 2012 R2 e o Server 2016 terão de atualizar para o agente unificado para tirar partido do novo método.
  • O Windows 10 1607, 1703, 1709, 1803 pode tirar partido da nova opção de inclusão, mas utilizará uma lista mais longa. Para obter mais informações, veja a folha de URL simplificada.
SO Windows BDC Mínima Necessária (8 de março de 2022)
Windows 11 KB5011493 (8 de março de 2022)
Windows 10 1809, Windows Server 2019 KB5011503 (8 de março de 2022)
Windows 10 19H2 (1909) KB5011485 (8 de março de 2022)
Windows 10 20H2, 21H2 KB5011487 (8 de março de 2022)
Windows 10 22H2 KB5020953 (28 de outubro de 2022)
Windows 10 1803* < fim do serviço >
Windows 10 1709* < fim do serviço >
Windows Server 2022 KB5011497 (8 de março de 2022)
Windows Server 2012 R2, 2016* Agente Unificado

Processo de conectividade simplificado

A ilustração seguinte mostra o processo de conectividade simplificado e as fases correspondentes:

Ilustração do processo de conectividade simplificado

Estágio 1. Configurar o ambiente de rede para conectividade na cloud

Depois de confirmar que os pré-requisitos são cumpridos, certifique-se de que o ambiente de rede está configurado corretamente para suportar o método de conectividade simplificado. Siga os passos descritos em Configurar o ambiente de rede para garantir a conectividade com o serviço Defender para Endpoint.

Os URLs de serviço do Defender para Endpoint consolidados em domínio simplificado já não devem ser necessários para conectividade. No entanto, alguns URLs não estão incluídos na consolidação.

A conectividade simplificada permite-lhe utilizar a seguinte opção para configurar a conectividade à cloud:

Opção 1: Configurar a conectividade com o domínio simplificado

Configure o seu ambiente para permitir ligações com o domínio simplificado do Defender para Endpoint: *.endpoint.security.microsoft.com. Para obter mais informações, veja Configurar o ambiente de rede para garantir a conectividade com o serviço Defender para Endpoint.

Tem de manter a conectividade com os restantes serviços necessários listados na lista atualizada. Por exemplo, Lista de Revogação de Certificação, Atualização do Windows, SmartScreen.

Opção 2: Configurar a conectividade com intervalos de IP estáticos

Com a conectividade simplificada, as soluções baseadas em IP podem ser utilizadas como alternativa aos URLs. Estes IPs abrangem os seguintes serviços:

  • MAPAS
  • Armazenamento de Submissão de Exemplo de Software Maligno
  • Armazenamento de Exemplo de IR Automático
  • Comando e Controlo do Defender para Ponto Final

Importante

O serviço de dados EDR Cyber (OneDsCollector) tem de ser configurado separadamente se estiver a utilizar o método IP (este serviço só é consolidado ao nível do URL). Também tem de manter a conectividade com outros serviços necessários, incluindo SmartScreen, CRL, Windows Update e outros serviços.

Para se manter atualizado sobre os intervalos de IP, recomenda-se que consulte as seguintes etiquetas de serviço do Azure para serviços do Microsoft Defender para Endpoint. Os intervalos de IP mais recentes encontram-se na etiqueta de serviço. Para obter mais informações, veja Intervalos de IP do Azure.

Nome da etiqueta de serviço Serviços do Defender para Endpoint incluídos
MicrosoftDefenderForEndpoint MAPS, Armazenamento de Submissão de Exemplos de Software Maligno, Armazenamento de Exemplos de IR Automático, Comando e Controlo.
OneDsCollector EDR Cyberdata

Nota: o tráfego nesta etiqueta de serviço não está limitado ao Defender para Endpoint e pode incluir tráfego de dados de diagnóstico para outros serviços Microsoft.

A tabela seguinte lista os intervalos de IP estáticos atuais abrangidos pela etiqueta de serviço MicrosoftDefenderForEndpoint. Para obter a lista mais recente, veja as etiquetas de serviço do Azure.

Área geográfica Intervalos de IP
EUA 20.15.141.0/24
20.242.181.0/24
20.10.127.0/24
13.83.125.0/24
UE 4.208.13.0/24
20.8.195.0/24
Reino Unido 20.26.63.224/28
20.254.173.48/28
AU 68.218.120.64/28
20.211.228.80/28

Importante

Em conformidade com as normas de conformidade e segurança do Defender para Endpoint, os seus dados serão processados e armazenados de acordo com a localização física do seu inquilino. Com base na localização do cliente, o tráfego pode fluir através de qualquer uma destas regiões IP (que correspondem às regiões do datacenter do Azure). Para obter mais informações, veja Armazenamento de dados e privacidade.

Estágio 2. Configurar os seus dispositivos para ligar ao serviço Defender para Endpoint

Configure dispositivos para comunicar através da sua infraestrutura de conectividade. Certifique-se de que os dispositivos cumprem os pré-requisitos e têm versões atualizadas do sensor e do Antivírus do Microsoft Defender. Para obter mais informações, veja Configurar o proxy de dispositivos e as definições de ligação à Internet .

Fase 3. Verificar a pré-integração da conectividade do cliente

Para obter mais informações, veja Verificar a conectividade do cliente.

As seguintes verificações de pré-integração podem ser executadas no Analisador de Cliente windows e Xplat MDE: transfira o analisador de cliente do Microsoft Defender para Endpoint.

Para testar a conectividade simplificada para dispositivos que ainda não estão integrados no Defender para Endpoint, pode utilizar o Client Analyzer para Windows com os seguintes comandos:

  • Execute mdeclientanalyzer.cmd -o <path to cmd file> a partir da pasta MDEClientAnalyzer. O comando utiliza parâmetros do pacote de inclusão para testar a conectividade.

  • Execute mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> , em que o parâmetro é de GW_US, GW_EU, GW_UK. GW refere-se à opção simplificada. Execute com a área geográfica do inquilino aplicável.

Como verificação suplementar, também pode utilizar o analisador de cliente para testar se um dispositivo cumpre os pré-requisitos: https://aka.ms/BetaMDEAnalyzer

Observação

Para dispositivos que ainda não estão integrados no Defender para Endpoint, o analisador de cliente irá testar o conjunto padrão de URLs. Para testar a abordagem simplificada, terá de executar com os comutadores listados anteriormente neste artigo.

Fase 4. Aplicar o novo pacote de inclusão necessário para uma conectividade simplificada

Depois de configurar a rede para comunicar com a lista completa de serviços, pode começar a integrar dispositivos com o método simplificado.

Antes de continuar, confirme que os dispositivos cumprem os pré-requisitos e atualizaram o sensor e as versões do Antivírus do Microsoft Defender.

  1. Para obter o novo pacote, no Microsoft Defender XDR, selecione Definições Pontos Finais > Gestão de dispositivos > Integração>.

  2. Selecione o sistema operativo aplicável e escolha "Simplificado" no menu pendente Tipo de conectividade.

  3. Para novos dispositivos (não integrados no Defender para Endpoint) suportados neste método, siga os passos de inclusão das secções anteriores com o pacote integrado atualizado com o seu método de implementação preferencial:

  1. Exclua os dispositivos de quaisquer políticas de inclusão existentes que utilizem o pacote de inclusão padrão.

Para migrar dispositivos já integrados no Defender para Endpoint, veja Migrar dispositivos para a conectividade simplificada. Tem de reiniciar o dispositivo e seguir orientações específicas aqui.