Ativar o Defender para integração com o Endpoint no Microsoft Defender para a Cloud

O Microsoft Defender for Cloud integra-se nativamente ao Microsoft Defender para Endpoint para fornecer recursos de Gerenciamento de Vulnerabilidades do Defender for Endpoint e do Defender no Defender para a Cloud.

  • Quando você habilita o plano do Defender for Servers no Defender para a Cloud, a integração do Defender for Endpoint é habilitada por padrão.
  • A integração implanta automaticamente o agente do Defender for Endpoint em máquinas.

Este artigo explica como habilitar manualmente a integração do Defender for Endpoint quando necessário.

Pré-requisitos

Antes de ativar o Defender para integração com endpoints, reveja estes requisitos.

Requisito Detalhes
Suporte do Windows Verifique se as máquinas Windows são suportadas pelo Defender for Endpoint.
Suporte Linux Para servidores Linux, você deve ter o Python instalado. Python 3 é recomendado para todas as distros, mas é necessário para RHEL 8.x e Ubuntu 20.04 ou superior.

A implantação automática do sensor Defender for Endpoint em máquinas Linux pode não funcionar como esperado se as máquinas executarem serviços que usam fanotify. Instale manualmente o sensor Defender for Endpoint nessas máquinas.
Máquinas virtuais do Azure Verifique se as VMs podem se conectar ao serviço Defender for Endpoint.

Se as máquinas não tiverem acesso direto, as configurações de proxy ou as regras de firewall precisarão permitir o acesso às URLs do Defender for Endpoint. Reveja a configuração de proxy do Windows e da Internet e a configuração de proxy estático do Linux.
Máquinas virtuais locais Recomendamos que você integre máquinas locais como VMs habilitadas para Azure Arc.

Se integrar diretamente VMs no local, as funcionalidades do Defender para Servidores Plano 1 estão disponíveis, mas a maioria das funcionalidades do Defender para Servidores Plano 2 não funciona.
Tenant do Azure Se você moveu sua assinatura entre locatários do Azure, algumas etapas preparatórias manuais também serão necessárias. Entre em contato com o suporte da Microsoft para obter detalhes.
Windows Server 2016, 2012 R2 Ao contrário das versões posteriores do Windows Server, que vêm com o sensor Defender for Endpoint pré-instalado, o Defender para a Cloud instala o sensor em máquinas que executam o Windows Server 2016/2012 R2 usando a solução unificada Defender for Endpoint.

Ativar numa subscrição

A integração do Defender for Endpoint é habilitada por padrão quando você habilita um plano do Defender for Servers. Se desativar a integração numa subscrição, pode voltar a ligá-la manualmente.

Para permitir a integração do Defender para Endpoint numa subscrição:

  1. Vá para Defender para a Cloud>Configurações do Ambiente.

  2. Selecione a subscrição relevante.

  3. Aceda a Definições e monitorização>Proteção de pontos finais.

  4. Definir o estado para Ligado.

    Captura de tela da alternância Status que habilita o Microsoft Defender para Endpoint.

  5. Selecione Continuar.

  6. Selecione Guardar.

  7. O sensor Defender for Endpoint é implantado em todas as máquinas Windows e Linux na assinatura selecionada.

    A integração pode demorar até uma hora. O Defender para a Cloud deteta quaisquer instalações anteriores do Defender for Endpoint e as reconfigura para integração com o Defender para a Cloud.

Nota

Para VMs do Azure criadas a partir de imagens generalizadas do sistema operativo, o Microsoft Defender para Endpoint (MDE) não será automaticamente provisionado através da definição de proteção do Endpoint. Pode ativar manualmente o agente MDE e a extensão usando CLI do Azure, REST API ou Azure Policy.

Verificar a instalação em máquinas Linux

Para verificar o Defender para instalação de sensores Endpoint numa máquina Linux:

  1. Execute o seguinte comando shell em cada máquina: mdatp health. Se o Microsoft Defender para Endpoint estiver instalado, você verá seu status de integridade:

    healthy : true

    licensed: true

  2. Além disso, no portal do Azure, você pode verificar se as máquinas Linux têm uma nova extensão do Azure chamada MDE.Linux.

Nota

Em novas assinaturas, a integração do Defender for Endpoint é habilitada automaticamente e abrange máquinas que executam um sistema operacional Windows Server ou Linux suportado. As secções seguintes abordam procedimentos de opt-in único para a solução unificada no Windows Server 2012 R2 e 2016, e para integração com Linux, que podem ser necessários para subscrições legadas.

Habilitar a solução unificada do Defender for Endpoint no Windows Server 2016/2012 R2

Se o Defender for Servers estiver habilitado e a integração do Defender for Endpoint estiver ativada em uma assinatura que existia antes da primavera de 2022, talvez seja necessário habilitar manualmente a integração da solução unificada para máquinas que executam o Windows Server 2016 ou o Windows Server 2012 R2 na assinatura.

  1. Vá para Defender para a Cloud>Configurações do Ambiente.

  2. Selecione a subscrição relevante.

  3. Na coluna Cobertura de monitoramento do plano Defender for Servers, selecione Configurações.

    O estado do componente de proteções de endpoint é Parcial, o que significa que nem todas as partes do componente estão ativadas.

  4. Selecione Corrigir para ver os componentes que não estão ativados.

    Captura de ecrã do botão Corrigir que permite o suporte do Microsoft Defender para Endpoint.

  5. Vá a Componentes em falta>Solução unificada.

  6. Selecione Ativar.

    Captura de tela mostrando a habilitação do uso da solução unificada do Defender for Endpoint para máquinas Windows Server 2012 R2 e 2016.

    O agente Defender for Endpoint instala-se automaticamente em máquinas Windows Server 2012 R2 e 2016 ligadas ao Microsoft Defender para a Cloud.

  7. Selecione Guardar.

  8. Nas Definições e monitorização, selecione Continuar.

    O Defender para a Cloud integra máquinas novas e existentes no Defender for Endpoint.

    Caso você esteja configurando o Defender for Endpoint na primeira assinatura em seu locatário, a integração pode levar até 12 horas. Para novas máquinas e assinaturas criadas após a integração ter sido habilitada pela primeira vez, a integração leva até uma hora.

Nota

Habilitar a integração do Defender for Endpoint em máquinas Windows Server 2012 R2 e Windows Server 2016 é uma ação única. Se desativar o plano Defender for Servers e o reativar, a integração mantém-se ativada.

Ativar em máquinas com Linux (plano/integração ativados)

Se o Defender for Servers já estiver habilitado e a integração do Defender for Endpoint estiver ativada em uma assinatura que existia antes do verão de 2021, talvez seja necessário habilitar manualmente a integração para máquinas Linux.

  1. Vá para Defender para a Cloud>Configurações do Ambiente.

  2. Selecione a subscrição relevante.

  3. Na coluna Cobertura de monitoramento do plano Defender for Servers, selecione Configurações.

    O estado do componente Proteções de extremidade é Parcial, o que significa que nem todas as partes do componente estão ativadas.

  4. Selecione Corrigir para ver os componentes que não estão ativados.

    Captura de ecrã do botão Corrigir que permite o suporte do Microsoft Defender para Endpoint.

  5. Em Máquinas Linux com componentes em falta >, selecione Ativar.

    Captura de tela mostrando a ativação da integração entre o Defender para a Cloud e a solução EDR da Microsoft, Microsoft Defender para Endpoint for Linux.

  6. Selecione Guardar.

  7. Nas Definições e monitorização, selecione Continuar.

    • O Defender para a Cloud integra máquinas Linux ao Defender for Endpoint.
    • O Defender para a Cloud deteta quaisquer instalações anteriores do Defender for Endpoint em máquinas Linux e as reconfigura para integração com o Defender para a Cloud.
    • Caso você esteja configurando o Defender for Endpoint na primeira assinatura em seu locatário, a integração pode levar até 12 horas. Para novas máquinas criadas após a integração ter sido ativada, a integração leva até uma hora.

  8. Para verificar a instalação do sensor Defender for Endpoint em uma máquina Linux, execute o seguinte comando shell em cada máquina.

    mdatp health

    Se o Microsoft Defender para Endpoint estiver instalado, você verá seu status de integridade:

    healthy : true

    licensed: true

  9. No portal do Azure, você pode verificar se as máquinas Linux têm uma nova extensão do Azure chamada MDE.Linux.

Nota

Habilitar a integração do Defender for Endpoint em máquinas Linux é uma ação única. Se desativar o plano Defender for Servers e o reativar, a integração mantém-se ativada.

Habilite a integração com o PowerShell em várias assinaturas

Para habilitar a integração do Defender for Servers para máquinas Linux ou Windows Server 2012 R2 e 2016 com a solução MDE Unified em várias assinaturas, você pode usar um dos scripts do PowerShell no repositório GitHub do Defender para a Cloud.

Gerenciar atualizações automáticas para Linux

No Windows, as atualizações de versão do Defender for Endpoint são fornecidas por meio de atualizações contínuas da base de dados de conhecimento. No Linux, você precisa atualizar o pacote Defender for Endpoint.

  • Quando você usa o Defender for Servers com a extensão, as atualizações automáticas para o MDE.Linux Microsoft Defender para Endpoint são habilitadas por padrão.

  • Se quiser gerir as atualizações de versão manualmente, pode desativar as atualizações automáticas nas suas máquinas. Para fazer isto, adicione a seguinte etiqueta para máquinas incorporadas com a extensão MDE.Linux.

    • Nome da etiqueta: ExcludeMdeAutoUpdate
    • Valor da etiqueta: true

Essa configuração é suportada para VMs do Azure e máquinas Azure Arc, onde a extensão inicia a MDE.Linux atualização automática.

Habilite a integração em escala

Você pode habilitar a integração do Defender for Endpoint em escala por meio da API REST fornecida versão 2022-05-01. Para obter detalhes completos, consulte a documentação da API.

O exemplo seguinte mostra o corpo do pedido PUT que ativa a integração do Defender for Endpoint:

URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Nota

Tanto o Defender for Endpoint Unified Solution quanto o Defender for Endpoint for Linux são automaticamente incluídos em novas assinaturas quando ativar a integração do Defender for Endpoint usando microsoft.security/settings/WDATP.

As configurações WDATP_UNIFIED_SOLUTION e WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW são relevantes para assinaturas herdadas. Essas configurações se aplicam a assinaturas que já têm a integração do Defender for Endpoint habilitada quando esses recursos foram introduzidos em agosto de 2021 e na primavera de 2022.

Acompanhe o status de implantação do Defender for Endpoint

Pode utilizar o livro do estado de implementação do Defender for Endpoint para acompanhar o estado de implementação do Defender for Endpoint nas suas VMs do Azure e VMs ativadas para Azure Arc. A pasta de trabalho interativa fornece uma visão geral das máquinas em seu ambiente mostrando o status de implantação da extensão do Microsoft Defender para Endpoint.

Acesse o portal do Microsoft Defender

Para aceder ao portal Microsoft Defender a partir do Defender para a Cloud, complete os seguintes passos:

  1. Certifique-se de que tem as permissões certas para aceder ao portal.

  2. Verifique se você tem um proxy ou firewall que está bloqueando o tráfego anônimo.

  3. Abra o portal Microsoft Defender. Saiba mais sobre Incidentes e alertas no portal do Microsoft Defender.

Executar um teste de deteção

Para realizar um teste de deteção, siga o teste de deteção EDR para verificar os serviços de integração e reporte do dispositivo.

Remover o Defender for Endpoint de uma máquina

Para remover a solução Defender for Endpoint das suas máquinas:

  1. Para desativar a integração, nas configurações do Defender para a Cloud >Environment, selecione a assinatura com as máquinas relevantes.
  2. Na página Planos do Defender, selecione Configurações e Monitoramento.
  3. No estado do componente de proteção de pontos finais, selecione Off para desativar a integração com o Microsoft Defender para Endpoint para a subscrição.
  4. Selecione Continuar e Salvar para salvar suas configurações.
  5. Remova a extensão MDE.Windows ou MDE.Linux da máquina.
  6. Remova o dispositivo do serviço Microsoft Defender para Endpoint.

Remover tags de integração do Defender for Endpoint

Quando um dispositivo Windows é integrado através do Defender para a Cloud, o Defender for Endpoint cria valores de registo relacionados com o Defender para a Cloud. Essas tags de registro permanecem no dispositivo após o desembarque e não afetam a funcionalidade.

Para remover essas tags completamente, siga estas etapas. No Linux, o sistema armazena essas informações internamente e não as mostra no registro.

  1. Selecione Iniciar, digite regedit e pressione Enter para abrir o Editor do Registro.

  2. No painel esquerdo, vá para:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection\DeviceTags

  3. Exclua esses nomes de valor, se existirem:

    • AzureResourceId
    • SecurityWorkspaceId
    • SecurityAgentId

Importante

Editar o registro incorretamente pode causar problemas no seu dispositivo.

  • Last updated on