Integração de dispositivos usando conectividade simplificada para Microsoft Defender para Ponto de Extremidade
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Importante
Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.
Observação
O método de integração simplificado está atualmente em versão prévia pública. Verifique os pré-requisitos para confirmar os requisitos e os sistemas operacionais com suporte.
O serviço Microsoft Defender para Ponto de Extremidade pode exigir o uso de configurações de proxy para relatar dados de diagnóstico e comunicar dados ao serviço. Antes da disponibilidade do método de conectividade simplificada, outras URLs eram necessárias e os intervalos de IP estáticos do Defender para Ponto de Extremidade não eram compatíveis. Para obter mais informações sobre processos completos de conectividade MDPE, consulte ETAPA 1: Configurar seu ambiente de rede para garantir a conectividade com o serviço Defender para Ponto de Extremidade.
Este artigo descreve o método de conectividade de dispositivo simplificado e como integrar novos dispositivos para usar uma implantação e gerenciamento mais simples dos serviços de conectividade de nuvem do Defender para Ponto de Extremidade. Para obter mais informações sobre como migrar dispositivos previamente integrados, confira Migrando dispositivos para conectividade simplificada.
Para simplificar a configuração e o gerenciamento de rede, agora você tem a opção de integrar dispositivos ao Defender para Ponto de Extremidade usando um conjunto de URL reduzido ou intervalos de IP estáticos. Veja, lista de URL simplificada
O domínio simplificado reconhecido pelo Defender para Ponto de Extremidade: *.endpoint.security.microsoft.com
substitui os seguintes serviços principais do Defender para Ponto de Extremidade:
- Cloud Protection/MAPS
- Armazenamento de Envio de Exemplo de Malware
- Armazenamento de Exemplos de IR Automático
- Controle de & de Comando do Defender para Ponto de Extremidade
- EDR Cyberdata
Para dar suporte a dispositivos de rede sem resolução de nome de host ou suporte curinga, você pode, alternativamente, configurar a conectividade usando o Defender dedicado para intervalos de IP estáticos do Ponto de Extremidade. Para obter mais informações, consulte Configurar conectividade usando intervalos de IP estáticos.
Observação
O método de conectividade simplificada não mudará a forma como Microsoft Defender para Ponto de Extremidade funciona em um dispositivo nem alterará a experiência do usuário final. Somente as URLs ou IPs que um dispositivo usa para se conectar ao serviço serão alteradas.
Importante
Limitações de visualização e problemas conhecidos:
- A conectividade simplificada não dá suporte à integração por meio da API (inclui Microsoft Defender para Nuvem e Intune).
- Esse método de integração tem pré-requisitos específicos que não se aplicam ao método de integração padrão.
Serviços consolidados
As URLs do Defender para Ponto de Extremidade a seguir consolidadas no domínio simplificado não devem mais ser necessárias para conectividade se *.endpoint.security.microsoft.com
for permitido e os dispositivos estiverem integrados usando o pacote de integração simplificado. Você precisará manter a conectividade com outros serviços necessários não consolidados que sejam relevantes para sua organização (por exemplo, CRL, SmartScreen/Network Protection e WNS).
Para obter a lista atualizada de URLs necessárias, consulte Baixar a planilha aqui.
Importante
Se você estiver configurando usando intervalos de IP, precisará configurar separadamente o serviço de cyberdata do EDR. Esse serviço não está consolidado em um nível de IP. Confira a seção abaixo para obter mais detalhes.
Categoria | URLs consolidadas |
---|---|
MAPAS: proteção fornecida pela nuvem | *.wdcp.microsoft.com *.wd.microsoft.com |
& de proteção na nuvem atualizações de inteligência de segurança para macOS e Linux |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.com x.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
Armazenamento de Envio de Exemplo de Malware | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
Armazenamento de Exemplos do Defender para Ponto de Extremidade automático do IR | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
Comando e controle do Defender para Ponto de Extremidade | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
Antes de começar
Os dispositivos devem atender a pré-requisitos específicos para usar o método de conectividade simplificado para Defender para Ponto de Extremidade. Verifique se os pré-requisitos são atendidos antes de prosseguir com a integração.
Pré-requisitos
Licença:
- Microsoft Defender para Ponto de Extremidade Plano 1
- Microsoft Defender para Ponto de Extremidade Plano 2
- Microsoft Defender para Empresas
- Gerenciamento de Vulnerabilidades do Microsoft Defender
Atualização mínima do KB (Windows)
- Versão sense: 10.8040.*/ 8 de março de 2022 ou superior (confira tabela)
Microsoft Defender versões antivírus (Windows)
- Cliente antimalware: 4.18.2211.5
- Mecanismo: 1.1.19900.2
- Antivírus (Inteligência de Segurança): 1.391.345.0
Versões do Defender Antivírus (macOS/Linux)
- Versões com suporte para macOS com MDPE versão do produto 101.24022.*+
- Versões com suporte para Linux com MDPE versão do produto 101.24022.*+
Sistemas operacionais com suporte
- Windows 10 versão 1809 ou posterior
- Windows 10 as versões 1607, 1703, 1709, 1803 têm suporte no pacote de integração simplificada, mas exigem uma lista de URL diferente, confira planilha de URL simplificada
- Windows 11
- Windows Server 2019
- Windows Server 2022
- Windows Server 2012 R2, Server 2016 R2, totalmente atualizado executando a solução unificada moderna do Defender para Ponto de Extremidade (instalação por meio do MSI).
- Versões com suporte para macOS com MDPE versão do produto 101.24022.*+
- Versões com suporte para Linux com MDPE versão do produto 101.24022.*+
Importante
- Os dispositivos em execução no agente MMA não têm suporte no método de conectividade simplificado e precisarão continuar usando o conjunto de URL padrão (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 R2 não atualizado para o agente unificado moderno).
- Windows Server 2012 R2 e Server 2016 R2 precisarão atualizar para o agente unificado para aproveitar o novo método.
- Windows 10 1607, 1703, 1709, 1803 pode aproveitar a nova opção de integração, mas usará uma lista mais longa. Para obter mais informações, confira a planilha de URL simplificada.
Sistema operacional Windows | KB mínimo necessário (8 de março de 2022) |
---|---|
Windows 11 | KB5011493 (8 de março de 2022) |
Windows 10 1809, Windows Server 2019 | KB5011503 (8 de março de 2022) |
Windows 10 19H2 (1909) | KB5011485 (8 de março de 2022) |
Windows 10 20H2, 21H2 | KB5011487 (8 de março de 2022) |
Windows 10 22H2 | KB5020953 (28 de outubro de 2022) |
Windows 10 1803* | < fim do serviço > |
Windows 10 1709* | < fim do serviço > |
Windows Server 2022 | KB5011497 (8 de março de 2022) |
Windows Server 2012 R2, 2016* | Agente Unificado |
Windows Server 2016 R2 | Agente Unificado |
Processo de conectividade simplificada
A ilustração a seguir mostra o processo de conectividade simplificado e os estágios correspondentes:
Estágio 1. Configurar seu ambiente de rede para conectividade de nuvem
Depois de confirmar que os pré-requisitos são atendidos, verifique se o ambiente de rede está configurado corretamente para dar suporte ao método de conectividade simplificado. Usando o método simplificado (versão prévia), siga as etapas descritas em Configurar seu ambiente de rede para garantir a conectividade com o serviço Defender para Ponto de Extremidade.
Os serviços do Defender para Ponto de Extremidade consolidados no método simplificado não devem mais ser necessários para conectividade. No entanto, algumas URLs não estão incluídas na consolidação.
A conectividade simplificada permite que você use a seguinte opção para configurar a conectividade na nuvem:
Opção 1: configurar a conectividade usando o domínio simplificado
Configure seu ambiente para permitir conexões com o domínio simplificado do Defender para Ponto de Extremidade: *.endpoint.security.microsoft.com
. Para obter mais informações, consulte Configurar seu ambiente de rede para garantir a conectividade com o serviço Defender para Ponto de Extremidade.
Você deve manter a conectividade com os serviços necessários restantes listados na lista atualizada. Por exemplo, Lista de Revogação de Certificação, atualização do Windows, SmartScreen.
Opção 2: configurar a conectividade usando intervalos de IP estáticos
Com conectividade simplificada, as soluções baseadas em IP podem ser usadas como alternativa às URLs. Estes IPs abrangem os seguintes serviços:
- MAPAS
- Armazenamento de Envio de Exemplo de Malware
- Armazenamento de Exemplos de IR Automático
- Comando e controle do Defender para Ponto de Extremidade
Importante
O serviço de dados cibernéticos do EDR deve ser configurado separadamente se você estiver usando o método IP (esse serviço só está consolidado em um nível de URL). Você também deve manter a conectividade com outros serviços necessários, incluindo SmartScreen, CRL, Windows Update e outros serviços.
Para manter-se atualizado nos intervalos de IP, é recomendável consultar as seguintes marcas de serviço do Azure para serviços de Microsoft Defender para Ponto de Extremidade. Os intervalos de IP mais recentes sempre serão encontrados na marca de serviço. Para obter mais informações, confira Intervalos de IP do Azure.
Nome da marca de serviço | Serviços do Defender para Ponto de Extremidade incluídos |
---|---|
MicrosoftDefenderForEndpoint | MAPAS, Armazenamento de Envio de Exemplo de Malware, Armazenamento de Exemplos de IR Automático, Comando e Controle. |
OneDsCollector | EDR Cyberdata Observação: o tráfego sob essa marca de serviço não se limita ao Defender para Ponto de Extremidade e pode incluir o tráfego de dados de diagnóstico para outros serviços da Microsoft. |
A tabela a seguir lista os intervalos de IP estáticos atuais. Para obter a lista mais recente, consulte as marcas de serviço do Azure.
Área geográfica | Intervalos de IP |
---|---|
EUA | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/24 13.83.125.0/24 |
UE | 4.208.13.0/24 20.8.195.0/24 |
Reino Unido | 20.26.63.224/28 20.254.173.48/28 |
AU | 68.218.120.64/28 20.211.228.80/28 |
Importante
Em conformidade com as normas de conformidade e segurança do Defender para Ponto de Extremidade, seus dados serão processados e armazenados de acordo com a localização física do locatário. Com base na localização do cliente, o tráfego pode fluir por qualquer uma dessas regiões IP (que correspondem às regiões do datacenter do Azure). Para obter mais informações, consulte Armazenamento de dados e privacidade.
Estágio 2. Configurar seus dispositivos para se conectar ao serviço Defender para Ponto de Extremidade
Configure dispositivos para se comunicar por meio da infraestrutura de conectividade. Verifique se os dispositivos atendem aos pré-requisitos e tenham versões atualizadas do sensor e Microsoft Defender Antivírus. Para obter mais informações, consulte Configurar configurações de proxy de dispositivo e conexão com a Internet .
Estágio 3. Verificar o pré-integração de conectividade do cliente
Para obter mais informações, consulte Verificar conectividade do cliente.
As verificações de pré-integração a seguir podem ser executadas no analisador de cliente do Windows e do Xplat MDPE: baixe o analisador de cliente Microsoft Defender para Ponto de Extremidade.
Para testar a conectividade simplificada para dispositivos ainda não integrados ao Defender para Ponto de Extremidade, você pode usar o Analisador de Clientes para Windows usando os seguintes comandos:
Execute
mdeclientanalyzer.cmd -o <path to cmd file>
de dentro da pasta MDEClientAnalyzer. O comando usa parâmetros do pacote de integração para testar a conectividade.Execute
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
, em que parâmetro é de GW_US, GW_EU, GW_UK. GW refere-se à opção simplificada. Execute com a geográfica de locatário aplicável.
Como um marcar complementar, você também pode usar o analisador de clientes para testar se um dispositivo atende aos pré-requisitos:https://aka.ms/BetaMDEAnalyzer
Observação
Para dispositivos ainda não integrados ao Defender para Ponto de Extremidade, o analisador de clientes testará em relação ao conjunto padrão de URLs. Para testar a abordagem simplificada, você precisará executar com os comutadores listados anteriormente neste artigo.
Estágio 4. Aplicar o novo pacote de integração necessário para conectividade simplificada
Depois de configurar sua rede para se comunicar com a lista completa de serviços, você poderá começar a integrar dispositivos usando o método simplificado. Observe que a integração por meio da API não tem suporte no momento (inclui Intune & Microsoft Defender para Nuvem).
Antes de prosseguir, confirme se os dispositivos atendem aos pré-requisitos e atualize o sensor e Microsoft Defender versões do Antivírus.
Para obter o novo pacote, em Microsoft Defender XDR, selecione Configurações Endpoints >> Gerenciamento> de dispositivo Integração.
Selecione o sistema operacional aplicável e escolha "Simplificado (versão prévia)" no menu suspenso tipo conectividade.
Para novos dispositivos (não integrados ao Defender para Ponto de Extremidade) com suporte nesse método, siga as etapas de integração das seções anteriores usando o pacote integrado atualizado com seu método de implantação preferencial:
- Integrar o Cliente Windows
- Integrar o Windows Server
- Dispositivos Windows não integrados
- Execute um teste de detecção em um dispositivo para verificar se ele foi integrado corretamente para Microsoft Defender para Ponto de Extremidade
Exclua dispositivos de quaisquer políticas de integração existentes que usem o pacote de integração padrão.
Para migrar dispositivos já integrados ao Defender para Ponto de Extremidade, consulte Migrando dispositivos para a conectividade simplificada. Você deve reinicializar seu dispositivo e seguir diretrizes específicas aqui.
Quando você estiver pronto para definir o pacote de integração padrão como simplificado, você pode ativar a seguinte configuração de Recurso Avançado no portal Microsoft Defender (Configurações > Pontos de Extremidade Recursos Avançados>).
Observação
Antes de avançar com essa opção, valide se o ambiente está pronto e todos os dispositivos atendem aos pré-requisitos.
Essa configuração define o pacote de integração padrão como "simplificado" para sistemas operacionais aplicáveis. Você ainda pode usar o pacote de integração padrão na página de integração, mas deve selecioná-lo especificamente na lista suspensa.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de