Skydda dina slutpunkter med Defender för molnets integrerade EDR-lösning: Microsoft Defender för Endpoint

Med Microsoft Defender för servrar kan du distribuera Microsoft Defender för Endpoint Plan 2 till dina serverresurser. Microsoft Defender för Endpoint är en holistisk, molnlevererad slutpunktssäkerhetslösning. De viktigaste funktionerna är:

  • Riskbaserad sårbarhetshantering och utvärdering
  • Minska attackytan
  • Beteendebaserat och molnbaserat skydd
  • Slutpunktsidentifiering och svar (EDR)
  • Automatisk undersökning och reparation
  • Hanterade jakttjänster

Du kan lära dig mer om Defender för molnets integrering med Microsoft Defender för Endpoint genom att titta på den här videon från videoserien Defender för molnet i fältet: Defender for Servers-integrering med Microsoft Defender för Endpoint

Mer information om hur du migrerar servrar från Defender för Endpoint till Defender för molnet finns i migreringsguiden för Microsoft Defender för Endpoint till Microsoft Defender för molnet.

Tillgänglighet

Aspekt Information
Versionstillstånd: Allmän tillgänglighet (GA)
Prissättning: Kräver Microsoft Defender för servrar, abonnemang 1 eller plan 2
Miljöer som stöds: Azure Arc-aktiverade datorer som kör Windows/Linux
Virtuella Azure-datorer som kör Linux (versioner som stöds)
Virtuella Azure-datorer som kör Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop (tidigare Windows Virtual Desktop), Windows 10 Enterprise flera sessioner (tidigare Enterprise för virtuella skrivbord)
Virtuella Azure-datorer som kör Windows 11 eller Windows 10 (förutom om du kör Azure Virtual Desktop eller Windows 10 Enterprise flera sessioner)
Nödvändiga roller och behörigheter: * Så här aktiverar/inaktiverar du integreringen: Säkerhetsadministratör eller ägare
* Visa Defender för Endpoint-aviseringar i Defender för molnet: Säkerhetsläsare, Läsare, Resursgruppdeltagare, Resursgruppägare, Säkerhetsadministratör, Prenumerationsägare eller Prenumerationsdeltagare
Moln: Kommersiella moln
Azure Government (endast Windows)
Azure China 21Vianet
Anslutna AWS-konton
Anslutna GCP-projekt

Fördelar med att integrera Microsoft Defender för Endpoint med Defender för molnet

Microsoft Defender för Endpoint Plan 2 skyddar dina Windows- och Linux-datorer oavsett om de finns i Azure, hybridmoln (lokalt) eller i flera moln. Skydd omfattar:

  • Avancerade sensorer för identifiering efter intrång. Defender för Endpoints sensorer samlar in en mängd olika beteendesignaler från dina datorer.

  • Sårbarhetsbedömning från Microsoft Hantering av hot och säkerhetsrisker lösning. Med Microsoft Defender för Endpoint installerat kan Defender för molnet visa sårbarheter som identifierats av Hantering av hot och säkerhetsrisker-modulen och även erbjuda den här modulen som en lösning för sårbarhetsbedömning som stöds. Läs mer i Undersöka svagheter med Microsoft Defender för Endpoint:s Hantering av hot och säkerhetsrisker.

    Den här modulen innehåller även de programvaruinventeringsfunktioner som beskrivs i Åtkomst till en programvaruinventering och kan aktiveras automatiskt för datorer som stöds med inställningarna för automatisk distribution.

  • Analysbaserad, molnbaserad identifiering efter intrång. Defender för Endpoint anpassar sig snabbt till föränderliga hot. Den använder avancerad analys och stordata. Den förstärks av kraften i Intelligent Security Graph med signaler i Windows, Azure och Office för att identifiera okända hot. Det ger åtgärdsbara aviseringar och gör att du kan svara snabbt.

  • Hotinformation. Defender för Endpoint genererar aviseringar när angriparens verktyg, tekniker och procedurer identifieras. Den använder data som genereras av Microsofts hotjägare och säkerhetsteam, förstärkta med information från partner.

Genom att integrera Defender för Endpoint med Defender för molnet kan du dra nytta av följande extra funktioner:

  • Automatisk registrering. Defender för molnet aktiverar automatiskt Defender för Endpoint-sensorn på alla datorer som stöds som är anslutna till Defender för molnet.

  • En enda fönsterruta. Defender för molnet-portalsidorna visar Defender för Endpoint-aviseringar. Om du vill undersöka vidare kan du använda Microsoft Defender för Endpoints egna portalsidor där du hittar ytterligare information, t. ex. aviseringsprocessträdet och incidentdiagrammet. Du kan också se en detaljerad tidslinje för datorn som visar varje beteende under en tidigare period på upp till sex månader.

    Microsoft Defender för Endpoint eget Security Center

Vilka är kraven för Microsoft Defender för Endpoint klientorganisationen?

När du använder Defender för molnet för att övervaka dina datorer skapas automatiskt en Defender för Endpoint-klientorganisation.

  • Plats: Data som samlas in av Defender för Endpoint lagras på klientorganisationens geoplats enligt vad som identifierades under etableringen. Kunddata – i pseudonymiserad form – kan också lagras i de centrala lagrings- och bearbetningssystemen i USA. När du har konfigurerat platsen kan du inte ändra den. Om du har en egen licens för Microsoft Defender för Endpoint och behöver flytta dina data till en annan plats kontaktar du Microsofts support för att återställa klientorganisationen.
  • Flytta prenumerationer: Om du har flyttat din Azure-prenumeration mellan Azure-klientorganisationer krävs några manuella förberedande steg innan Defender för molnet distribuerar Defender för Endpoint. Kontakta Microsofts support om du vill ha fullständig information.

Aktivera integrering av Microsoft Defender för Endpoint

Förutsättningar

Kontrollera att datorn uppfyller de nödvändiga kraven för Defender för Endpoint:

  1. Kontrollera att datorn är ansluten till Azure och Internet efter behov:

  2. Aktivera Microsoft Defender för servrar. Se Snabbstart: Aktivera Defender för molnets förbättrade säkerhetsfunktioner.

    Viktigt

    Defender for Cloud-integrering med Microsoft Defender för Endpoint är aktiverat som standard. Så när du aktiverar förbättrade säkerhetsfunktioner ger du medgivande till Att Microsoft Defender för servrar får åtkomst till Microsoft Defender för Endpoint data som rör sårbarheter, installerad programvara och aviseringar för dina slutpunkter.

  3. För Windows-servrar kontrollerar du att dina servrar uppfyller kraven för registrering Microsoft Defender för Endpoint

  4. Om du har flyttat din prenumeration mellan Azure-klientorganisationer krävs även några manuella förberedande steg. Kontakta Microsofts support om du vill ha fullständig information.

Aktivera integreringen

Den enhetliga MDE-lösningen använder inte eller kräver installation av Log Analytics-agenten. Den enhetliga lösningen distribueras automatiskt för alla Windows-servrar som är anslutna via Azure Arc och servrar med flera moln som är anslutna via anslutningsprogram för flera moln, med undantag för Windows 2012 R2- och 2016-servrar på Azure som skyddas av Defender för servrar, abonnemang 2. Du kan välja att distribuera den enhetliga MDE-lösningen till dessa datorer.

Du distribuerar Defender för Endpoint till dina Windows-datorer på ett av två sätt , beroende på om du redan har distribuerat det till dina Windows-datorer:

Användare med Defender för servrar aktiverade och Microsoft Defender för Endpoint distribuerade

Om du redan har aktiverat integreringen med Defender för Endpoint har du fullständig kontroll över när och om du vill distribuera den enhetliga MDE-lösningen till dina Windows-datorer .

Om du vill distribuera den enhetliga MDE-lösningen måste du använda REST API-anropet eller Azure Portal:

  1. Från Defender för molnets meny väljer du Miljöinställningar och väljer prenumerationen med de Windows-datorer som du vill ta emot Defender för Endpoint.

  2. Välj Integreringar. Du vet att integreringen är aktiverad om kryssrutan Tillåt Microsoft Defender för Endpoint att komma åt mina data är markerad enligt följande:

    Integreringen mellan Microsoft Defender för molnet och Microsofts EDR-lösning, Microsoft Defender för Endpoint, är aktiverad.

    Anteckning

    Om den inte är markerad använder du anvisningarna i Användare som aldrig har aktiverat integreringen med Microsoft Defender för Endpoint för Windows.

  3. Så här distribuerar du den enhetliga MDE-lösningen till dina Windows Server 2012 R2- och 2016-datorer:

    1. Välj Aktivera enhetlig lösning.
    2. Välj Spara.
    3. Kontrollera informationen i bekräftelseprompten och välj Aktivera för att fortsätta.

    Bekräfta användningen av den enhetliga MDE-lösningen för Windows Server 2012 R2- och 2016-datorer

    Microsoft Defender för molnet kommer att:

    • Stoppa den befintliga MDE-processen i Log Analytics-agenten som samlar in data för Defender för servrar.
    • Installera den enhetliga MDE-lösningen för alla befintliga och nya Windows Server 2012 R2- och 2016-datorer.
    • Ta bort alternativet Aktivera enhetlig lösning från integreringsalternativen.

    Microsoft Defender för molnet registrerar automatiskt dina datorer för att Microsoft Defender för Endpoint. Registrering kan ta upp till 12 timmar. För nya datorer som skapas efter att integreringen har aktiverats tar det upp till en timme att registrera sig.

    Anteckning

    Om du väljer att inte distribuera den enhetliga MDE-lösningen till dina Windows 2012 R2- och 2016-servrar i Defender för servrar plan 2 och sedan nedgradera Defender för servrar till plan 1 distribueras inte den enhetliga MDE-lösningen till dessa servrar så att din befintliga distribution inte ändras utan ditt uttryckliga medgivande.

Användare som aldrig har aktiverat integreringen med Microsoft Defender för Endpoint för Windows

Om du aldrig har aktiverat integreringen för Windows kommer alternativet Tillåt Microsoft Defender för Endpoint att komma åt mina data att göra det möjligt för Defender för molnet att distribuera Defender för Endpoint till både dina Windows- och Linux-datorer.

Om du vill distribuera den enhetliga MDE-lösningen måste du använda REST API-anropet eller Azure Portal:

  1. I Defender för molnets meny väljer du Miljöinställningar och väljer prenumerationen med de datorer som du vill ta emot Defender för Endpoint.

  2. Välj Integreringar.

  3. Välj Tillåt Microsoft Defender för Endpoint att komma åt mina data och välj Spara.

MDE-agentens enhetliga lösning distribueras till alla datorer i den valda prenumerationen.

Aktivera MDE-enhetlig lösning i stor skala

Du kan också aktivera MDE-enhetlig lösning i stor skala via den angivna REST API-versionen 2022-05-01. Fullständig information finns i API-dokumentationen.

Detta är ett exempel på begärandetext för PUT-begäran för att aktivera MDE-enhetlig lösning:

URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings&api-version=2022-05-01-preview

{
    "name": "WDATP_UNIFIED_SOLUTION",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Öppna Microsoft Defender för Endpoint-portalen

  1. Kontrollera att användarkontot har nödvändiga behörigheter. Läs mer i Tilldela användaråtkomst till Microsoft Defender Säkerhetscenter.

  2. Kontrollera om du har en proxy eller brandvägg som blockerar anonym trafik. Defender för Endpoint-sensorn ansluter från systemkontexten, så anonym trafik måste tillåtas. För att säkerställa obehindrat åtkomst till Defender för Endpoint-portalen följer du anvisningarna i Aktivera åtkomst till tjänst-URL:er på proxyservern.

  3. Öppna Defender för Endpoint Security Center-portalen. Läs mer om portalens funktioner och ikoner i Översikt över Defender för Endpoint Security Center-portalen.

Skicka en testavisering

Om du vill generera en godartad testavisering från Defender för Endpoint väljer du fliken för det relevanta operativsystemet för slutpunkten:

För slutpunkter som kör Windows:

  1. Skapa mappen C:\test-MDATP-test.

  2. Använd Fjärrskrivbord för att komma åt datorn.

  3. Öppna ett kommandotolksfönster.

  4. Kopiera och kör följande kommando i kommandotolken. Kommandotolken stängs automatiskt.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

    Ett kommandotolksfönster med kommandot för att generera en testavisering.

    Om kommandot lyckas visas en ny avisering på instrumentpanelen för arbetsbelastningsskydd och Microsoft Defender för Endpoint portalen. Den här aviseringen kan ta några minuter att visas.

  5. Om du vill granska aviseringen i Defender för molnet går du till Säkerhetsaviseringar>Misstänkt PowerShell-kommandorad.

  6. I undersökningsfönstret väljer du länken för att gå till Microsoft Defender för Endpoint-portalen.

    Tips

    Aviseringen utlöses med informations allvarlighetsgrad .

Ta bort Defender för Endpoint från en dator

Så här tar du bort Defender för Endpoint-lösningen från dina datorer:

  1. Inaktivera integreringen:

    1. I Defender för molnets meny väljer du Miljöinställningar och sedan prenumerationen med relevanta datorer.
    2. Öppna Integreringar och avmarkera kryssrutan Tillåt Microsoft Defender för Endpoint att komma åt mina data.
    3. Välj Spara.
  2. Ta bort MDE. Windows/MDE. Linux-tillägg från datorn.

  3. Följ stegen i Avregistrera enheter från Microsoft Defender för Endpoint-tjänsten från dokumentationen för Defender för Endpoint.

Vanliga frågor och svar – Microsoft Defender för molnintegrering med Microsoft Defender för Endpoint

Vad är detta "MDE. Windows/ "MDE. Linux-tillägg som körs på min dator?

Tidigare etablerades Microsoft Defender för Endpoint av Log Analytics-agenten. När vi utökade stödet för att inkludera Windows Server 2019 och Linux lade vi även till ett tillägg för att utföra den automatiska onboardingen.

Defender för molnet distribuerar automatiskt tillägget till datorer som kör:

  • Windows Server 2019 och Windows Server 2022
  • Windows Server 2012 R2 och 2016 om MDE Unified Solution-integrering är aktiverat
  • Windows 10 på Azure Virtual Desktop.
  • Andra versioner av Windows Server om Defender för molnet inte känner igen OS-versionen (till exempel när en anpassad VM-avbildning används). I det här fallet etableras Microsoft Defender för Endpoint fortfarande av Log Analytics-agenten.
  • Linux.

Viktigt

Om du tar bort MDE. Windows/MDE. Linux-tillägget tar inte bort Microsoft Defender för Endpoint. till "offboard", se Avregistrera Windows-servrar..

Jag aktiverade lösningen men "MDE. Windows/ "MDE. Linux-tillägget visas inte på min dator

Om du har aktiverat integreringen men fortfarande inte ser tillägget som körs på dina datorer:

  1. Om 12 timmar inte gick sedan du aktiverade lösningen måste du vänta till slutet av den här perioden för att vara säker på att det finns ett problem att undersöka.
  2. Om du fortfarande inte ser tillägget som körs på dina datorer efter 12 timmar kontrollerar du att du uppfyller kraven för integreringen.
  3. Kontrollera att du har aktiverat Microsoft Defender för servrar-planen för de prenumerationer som är relaterade till de datorer som du undersöker.
  4. Om du har flyttat din Azure-prenumeration mellan Azure-klientorganisationer krävs några manuella förberedande steg innan Defender för molnet distribuerar Defender för Endpoint. Kontakta Microsofts support om du vill ha fullständig information.

Vilka är licenskraven för Microsoft Defender för Endpoint?

Defender för Endpoint ingår utan extra kostnad med Microsoft Defender för servrar. Alternativt kan den köpas separat för 50 datorer eller mer.

Behöver jag köpa en separat lösning mot skadlig kod för att skydda mina datorer?

Nej. Med MDE-integrering i Defender för servrar får du även skydd mot skadlig kod på dina datorer.

  • På Windows Server 2012 R2 med MDE enhetlig lösningsintegrering aktiverat distribuerar Defender för servrar Microsoft Defender Antivirus i aktivt läge.
  • På nyare Windows Server-operativsystem är Microsoft Defender Antivirus en del av operativsystemet och kommer att aktiveras i aktivt läge.
  • I Linux distribuerar Defender for Servers MDE, inklusive komponenten för skydd mot skadlig kod, och anger komponenten i passivt läge.

Kan jag få rabatt på Microsoft Defender för servrar om jag redan har en licens för Microsoft Defender för Endpoint?

Om du redan har en licens för Microsoft Defender för Endpoint för servrar betalar du inte för den delen av din Licens för Microsoft Defender för servrar, abonnemang 2. Läs mer om Microsoft 365-licensen.

Om du vill begära din rabatt kontaktar du supportteamet för Defender for Cloud. Du måste ange relevant arbetsyte-ID, region och antal Microsoft Defender för Endpoint för serverlicenser som tillämpas för datorer på den angivna arbetsytan.

Rabatten börjar gälla från godkännandedatumet och sker inte retroaktivt.

Hur gör jag för att växla från ett EDR-verktyg från tredje part?

Fullständiga instruktioner för att växla från en slutpunktslösning som inte kommer från Microsoft finns i Microsoft Defender för Endpoint dokumentation: Migreringsöversikt.

Vilken Microsoft Defender för Endpoint plan stöds i Defender för servrar?

Defender for Servers Plan 1 och Plan 2 tillhandahåller funktionerna i Microsoft Defender för Endpoint plan 2. -->

Nästa steg