Política de deteção e resposta de pontos finais para a segurança de pontos finais em Intune

Quando integrar o Microsoft Defender para Endpoint com o Intune, pode utilizar as políticas de segurança de ponto final para deteção e resposta de pontos finais (DRP) para gerir as definições DRP e dispositivos a bordo do Microsoft Defender para o Endpoint.

As capacidades do Microsoft Defender para Endpoint deteção e resposta de pontos finais fornecer deteções avançadas de ataque que são quase em tempo real e a prazo. Os analistas de segurança podem priorizar os alertas de forma eficaz, ganhar visibilidade no âmbito total de uma violação e tomar medidas de resposta para remediar ameaças.

DRP políticas incluem perfis específicos da plataforma para gerir configurações para DRP. Os perfis incluem automaticamente um pacote de embarque para o Microsoft Defender para Endpoint. Os pacotes de bordo são como os dispositivos são configurados para funcionar com o Microsoft Defender para o Endpoint. Depois de um dispositivo a bordo, pode começar a utilizar dados de ameaça a partir desse dispositivo.

DRP políticas implementadas para grupos de dispositivos em Azure Ative Directory (Azure AD) que gere com o Intune, e para coleções de dispositivos no local que gere com o Gestor de Configuração, incluindo servidores Windows. As políticas DRP para os diferentes caminhos de gestão requerem diferentes pacotes de embarque. Por isso, irá criar políticas de DRP separadas para os diferentes tipos de dispositivos que gere.

Encontre as políticas de segurança do ponto final para DRP sob Gestão no nó de segurança Endpoint do centro de administração Microsoft Endpoint Manager.

Ver definições para perfis de deteção e resposta de pontos finais.

Pré-requisitos para políticas DRP

General:

• Inquilino do Microsoft Defender for Endpoint – O seu Microsoft Defender para o inquilino Endpoint deve ser integrado com o seu inquilino Microsoft Endpoint Manager (subscrição Intune) antes de poder criar políticas de DRP. Consulte o Microsoft Defender para o Ponto Final na documentação Intune.

Suporte para clientes Gestor de Configuração:

• Configurar o encaixe do inquilino para dispositivos De Gestor de Configuração - Para suportar a implementação da política de DRP para dispositivos geridos pelo Gestor de Configuração, configurar o encaixe do inquilino. Isto inclui configurar coleções de dispositivos do Gestor de Configuração para suportar políticas de segurança de ponto final do Intune.

  Para configurar o encaixe do inquilino, incluindo a sincronização das coleções de Gestor de Configuração para o centro de administração Microsoft Endpoint Manager e permitindo-lhes trabalhar com políticas de segurança de ponto final, consulte o inquilino configurado anexar-se às políticas de proteção de pontos finais.

perfis DRP

Dispositivos geridos pela Intune

Veja as definições que pode configurar para as seguintes plataformas e perfis.

Intune – Os seguintes são suportados para dispositivos que gere com o Intune:

• Plataforma: Windows 10 e posteriormente - A Intune implementa a política para dispositivos nos seus grupos AZure AD.
• Perfil: Deteção e resposta de ponto final (MDM)

Dispositivos geridos por Gestor de Configuração

Endpoint detection and response (Deteção e resposta de pontos finais)

O suporte para dispositivos geridos pelo Gestor de Configurações está em Pré-Visualização.

Gerir as definições de política de deteção e resposta de ponto final para dispositivos Do Gestor de Configuração,quando utilizar o encaixe do inquilino.

Percurso político:

• Segurança endpoint > > Windows 10 de deteção e resposta de ponto final, Windows 11 e Windows Server (ConfigMgr)

Perfis:

• Deteção e resposta de ponto final (ConfigMgr) (Pré-visualização)

Versão necessária do Gestor de Configuração:

• Versão atual do bloco de configuração 2002 ou posterior, com o Gestor de Configuração de atualização na consola 2002 Hotfix (KB4563473)
• Pré-visualização técnica do Gestor de Configuração 2003 ou posterior

Plataformas de dispositivos suportados do Gestor de Configuração:

• Windows 10 e posteriormente (x86, x64, ARM64)
• Windows 8.1 (x84, x64)
• Windows Servidor 2019 e posterior (x64)
• Windows Server 2016 (x64)
• Windows Server 2012 R2 (x64)

Configurar o Gestor de Configuração para apoiar a política de DRP

Antes de poder implementar DRP políticas para dispositivos Do Gestor de Configuração, complete as configurações detalhadas nas seguintes secções.

Estas configurações são feitas dentro da consola Do Gestor de Configuração e da implementação do Seu Gestor de Configuração. Se não estiver familiarizado com o Gestor de Configuração, planeie trabalhar com um administrador do Gestor de Configuração para completar estas tarefas.

As seguintes secções abrangem as tarefas necessárias:

1. Instale a atualização para o Gestor de Configuração
2. Ativar a anexação do inquilino

Dica

Para saber mais sobre a utilização do Microsoft Defender para Endpoint com o Gestor de Configuração, consulte os seguintes artigos no conteúdo do Gestor de Configuração:

• Clientes do Gestor de Configuração a Bordo do Microsoft Defender para Endpoint através do centro de administração Microsoft Endpoint Manager
• Microsoft Endpoint Manager inquilina do inquilino: Sincronização de dispositivos e ações do dispositivo

Tarefa 1: Instalar a atualização para o Gestor de Configuração

A versão 2002 do Gestor de Configuração requer uma atualização para suportar a utilização com as políticas de deteção e resposta endpoint que implementa a partir do centro de administração Microsoft Endpoint Manager.

Atualizar detalhes:

• Gestor de Configuração 2002 Hotfix (KB4563473)

Encontrará esta atualização como uma atualização na consola para o Gestor de Configuração 2002.

Para instalar esta atualização, siga as orientações a partir de instalar atualizações na consola na documentação do Gestor de Configuração.

Depois de instalar a atualização, volte aqui para continuar a configurar o seu ambiente para apoiar a política de DRP do centro de administração Microsoft Endpoint Manager.

Tarefa 2: Configurar o inquilino anexar e sincronizar coleções

Com o Inquilino anexar-se especificar coleções de dispositivos da sua implementação de Gestor de Configuração para sincronizar com o centro de administração Microsoft Endpoint Manager. Após a sincronização das coleções, utilize o centro de administração para visualizar informações sobre esses dispositivos e implementar DRP política do Intune para eles.

Para obter mais informações sobre o cenário de anexação do Inquilino, consulte Ativar o inquilino anexar no conteúdo do Gestor de Configuração.

Ativar a anexação do inquilino quando a cogestão não foi ativada

Dica

Utiliza o Assistente de Configuração de Cogestão na consola 'Gestor de Configuração' para ativar a ligação do inquilino, mas não precisa de ativar a cogestão.

Se está a planear permitir a cogestão, conheça a cogestão, os seus pré-requisitos e como gerir cargas de trabalho antes de continuar. Ver O que é cogestão na documentação do Gestor de Configuração.

1. Na consola de administração do Gestor de Configuração, vá à > > > Cogestão de Serviços em Nuvem de Visão Geral da Administração.
2. Na fita, clique em configurar cogestão para abrir o assistente.
3. Na página de embarque do Inquilino, selecione AzurePublicCloud para o seu ambiente. A nuvem do governo Azure não é apoiada.
   1. Clique em iniciar sção. Utilize a sua conta de Administrador Global para iniciar scontabilidade.

Os seguintes são suportados para dispositivos que gere com o Intune:

• Plataforma: Windows 10 e posteriormente - A Intune implementa a política para dispositivos nos seus grupos AZure AD.
  • Perfil: Deteção e resposta de ponto final (MDM)

Criar e implementar políticas de DRP

Quando integrar a subscrição do Microsoft Defender para Endpoint com o Intune, pode criar e implementar políticas DRP. Há dois tipos distintos de DRP política que se pode criar. Um tipo de política para dispositivos que gere com o Intune através do MDM. O segundo tipo é para dispositivos que gere com o Gestor de Configuração.

Você escolhe o tipo de política para criar ao configurar uma nova política de DRP, escolhendo uma plataforma para a política.

Antes de implementar a política para dispositivos geridos pelo Gestor de Configuração, crie o Gestor de Configuração para suportar a política de DRP a partir do centro de administração Microsoft Endpoint Manager. Consulte a fixação do inquilino para apoiar as políticas de proteção do ponto final.

Dica

Além da DRP política, pode utilizar a política de configuração do dispositivo para dispositivos a bordo do Microsoft Defender para o Endpoint. No entanto, as políticas de configuração do dispositivo não suportam dispositivos ligados ao arrendatário.

Ao utilizar vários polícias ou tipos de política como a política de configuração do dispositivo e a política de deteção e resposta de pontos finais para gerir as mesmas definições do dispositivo (como o embarque no Defender para o Endpoint), pode criar conflitos de política para dispositivos. Para saber mais sobre conflitos, consulte Gerir conflitos no artigo Políticas de Segurança Gerir.

Criar políticas de DRP

1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

2. Selecione Deteção e resposta de ponto final de segurança De > ponto > final.

3. Selecione a plataforma e o perfil para a sua política. As seguintes informações identificam as suas opções:

   • Intune - A Intune implementa a política para dispositivos nos seus grupos AZure AD. Quando criar a apólice, selecione:

     • Plataforma: Windows 10 e mais tarde
     • Perfil: Deteção e resposta de ponto final (MDM)

   • Gestor de Configuração - Gestor de Configuração implementa a política para dispositivos nas suas coleções de Gestor de Configuração. Quando criar a apólice, selecione:

     • Plataforma: Windows 10, Windows 11 e Windows Server (ConfigMgr)
     • Perfil: Deteção e resposta de ponto final (ConfigMgr)

4. Selecione Criar.

5. Na página Basics, insira um nome e descrição para o perfil e, em seguida, escolha Seguinte.

6. Na página de definições de configuração, configufique as definições que pretende gerir com este perfil. O pacote de embarque está automaticamente incluído e não é algo que se possa configurar.

   Quando terminar as definições, selecione Seguinte.

7. Este passo aplica-se apenas ao perfil de deteção e resposta de ponto final (MDM):

   Na página de tags Scope, escolha Selecionar etiquetas de âmbito para abrir o painel de tags Select para atribuir etiquetas de âmbito ao perfil.

   Selecione Seguinte para continuar.

8. Na página Atribuições, selecione os grupos ou coleções que receberão esta política. A escolha depende da plataforma e do perfil que selecionou:

   • Para Intune, você seleciona grupos de Azure AD.
   • Para o Gestor de Configurações, irá selecionar coleções do Gestor de Configuração que sincronizou para Microsoft Endpoint Manager centro de administração e ativada para a política do Microsoft Defender para Endpoint.

   Pode optar por não atribuir grupos ou coleções neste momento e, posteriormente, editar a política para adicionar uma atribuição.

   Quando estiver pronto para continuar, selecione Seguinte.

9. Na página 'Rever + criar', quando terminar, escolha Criar.

   O novo perfil é apresentado na lista quando seleciona o tipo de política para o perfil que criou.

relatórios de política DRP

Pode ver detalhes sobre as políticas de DRP que implementa no centro de administração Microsoft Endpoint Manager. Para ver detalhes, vá à implementação e resposta endpoint de segurança > Endpoint, e selecione uma política para a qual pretende ver detalhes de conformidade:

• Para políticas que visam a plataforma Windows 10 e posterior (Intune), verá uma visão geral do cumprimento da política. Também pode selecionar o gráfico para visualizar uma lista de dispositivos que receberam a apólice e perfurar dispositivos individuais para mais detalhes.

  O gráfico para dispositivos com sensor Defender para Endpoint exibe apenas dispositivos que a bordo do Microsoft Defender para o Endpoint através da utilização do perfil Windows 10 e posterior. Para garantir que tem representação completa dos seus dispositivos neste gráfico, desloque o perfil de embarque em todos os seus dispositivos. Os dispositivos que estão a bordo do Microsoft Defender para Endpoint por meios externos, como a Política de Grupo ou o PowerShell, são contados como Dispositivos sem o Sensor Defender para Ponto Final .

• Para as políticas que visam a plataforma Windows 10, Windows 11 e Windows Server (ConfigMgr) (Gestor de Configuração), verá uma visão geral do cumprimento da política, mas não pode perfurar para ver detalhes adicionais. A vista é limitada porque o centro de administração recebe detalhes de estado limitados do Gestor de Configuração, que gere a implementação da política para dispositivos De Gestor de Configuração.

Veja as definições que pode configurar para ambas as plataformas e perfis.

Passos seguintes

• Configure políticas de segurança endpoint
• Saiba mais sobre deteção e resposta de pontos finais na documentação do Microsoft Defender para Endpoint.