Pilottesta och distribuera Microsoft Defender för Endpoint
Gäller för:
- Microsoft Defender XDR
Den här artikeln innehåller ett arbetsflöde för att testa och distribuera Microsoft Defender för Endpoint i din organisation. Du kan använda dessa rekommendationer för att publicera Microsoft Defender för Endpoint som ett enskilt cybersäkerhetsverktyg eller som en del av en heltäckande lösning med Microsoft Defender XDR.
Den här artikeln förutsätter att du har en Microsoft 365-produktionsklientorganisation och pilottestar och distribuerar Microsoft Defender för Endpoint i den här miljön. Den här metoden underhåller alla inställningar och anpassningar som du konfigurerar under pilottestet för din fullständiga distribution.
Defender för Endpoint bidrar till en Zero Trust-arkitektur genom att hjälpa till att förhindra eller minska affärsskador från ett intrång. Mer information finns i Avsnittet om att förhindra eller minska affärsskador från ett scenario med intrång i Microsoft Zero Trust-implementeringsramverket.
Distribution från slutpunkt till slutpunkt för Microsoft Defender XDR
Det här är artikel 4 av 6 i en serie som hjälper dig att distribuera komponenterna i Microsoft Defender XDR, inklusive att undersöka och åtgärda incidenter.
Artiklarna i den här serien motsvarar följande faser i distributionen från slutpunkt till slutpunkt:
| Fas | Länk |
|---|---|
| A. Starta piloten | Starta piloten |
| B. Pilottesta och distribuera Microsoft Defender XDR-komponenter | - Pilottesta och distribuera Defender for Identity - Pilottesta och distribuera Defender för Office 365 - Pilottesta och distribuera Defender för Endpoint (den här artikeln) - Pilottesta och distribuera Microsoft Defender för Cloud Apps |
| C. Undersöka och svara på hot | Öva incidentundersökning och svar |
Pilot- och distributionsarbetsflöde för Defender for Identity
Följande diagram illustrerar en gemensam process för att distribuera en produkt eller tjänst i en IT-miljö.
Du börjar med att utvärdera produkten eller tjänsten och hur den fungerar i din organisation. Sedan pilottestar du produkten eller tjänsten med en lämplig liten delmängd av produktionsinfrastrukturen för testning, inlärning och anpassning. Öka sedan distributionens omfattning gradvis tills hela infrastrukturen eller organisationen omfattas.
Här är arbetsflödet för att testa och distribuera Defender for Identity i produktionsmiljön.
Gör så här:
- Kontrollera licenstillstånd
- Registrera slutpunkter med något av de hanteringsverktyg som stöds
- Verifiera pilotgrupp
- Prova funktioner
Här är de rekommenderade stegen för varje distributionsfas.
| Distributionssteg | Beskrivning |
|---|---|
| Evaluera | Utför produktutvärdering för Defender för Endpoint. |
| Pilot | Utför steg 1–4 för en pilotgrupp. |
| Fullständig distribution | Konfigurera pilotgruppen i steg 3 eller lägg till grupper för att expandera bortom piloten och så småningom inkludera alla dina enheter. |
Skydda din organisation från hackare
Defender for Identity ger ett kraftfullt skydd på egen hand. Men i kombination med de andra funktionerna i Microsoft Defender XDR tillhandahåller Defender för Endpoint data i de delade signalerna som tillsammans hjälper till att stoppa attacker.
Här är ett exempel på en cyberattack och hur komponenterna i Microsoft Defender XDR hjälper till att identifiera och åtgärda det.
Defender för Endpoint identifierar säkerhetsrisker för enheter och nätverk som annars kan utnyttjas för enheter som hanteras av din organisation.
Microsoft Defender XDR korrelerar signalerna från alla Microsoft Defender-komponenter för att ge den fullständiga attackberättelsen.
Defender för Endpoint-arkitektur
Följande diagram illustrerar arkitektur och integreringar i Microsoft Defender för Endpoint.
Den här tabellen beskriver bilden.
| Pratbubba | Beskrivning |
|---|---|
| 1 | Enheterna är registrerade via något av de hanteringsverktyg som stöds. |
| 2 | Enheter ombord tillhandahåller och svarar på Signaldata från Microsoft Defender för Endpoint. |
| 3 | Hanterade enheter är anslutna och/eller registrerade i Microsoft Entra-ID. |
| 4 | Domänanslutna Windows-enheter synkroniseras med Microsoft Entra-ID med Hjälp av Microsoft Entra Connect. |
| 5 | Microsoft Defender för Endpoint-aviseringar, undersökningar och svar hanteras i Microsoft Defender XDR. |
Tips
Microsoft Defender för Endpoint levereras också med ett labb för produktutvärdering där du kan lägga till förkonfigurerade enheter och köra simuleringar för att utvärdera plattformens funktioner. Labbet har en förenklad konfigurationsupplevelse som snabbt kan demonstrera värdet för Microsoft Defender för Endpoint, inklusive vägledning för många funktioner som avancerad jakt och hotanalys. Mer information finns i Utvärdera funktioner. Den största skillnaden mellan vägledningen i den här artikeln och utvärderingslabbet är att utvärderingsmiljön använder produktionsenheter medan utvärderingslabbet använder icke-produktionsenheter.
Steg 1: Kontrollera licenstillstånd
Du måste först kontrollera licenstillståndet för att kontrollera att det har etablerats korrekt. Du kan göra detta via administrationscentret eller via Microsoft Azure-portalen.
Om du vill visa dina licenser går du till Microsoft Azure-portalen och går till licensavsnittet för Microsoft Azure-portalen.
Alternativt går du tillFaktureringsprenumerationer> i administrationscentret.
På skärmen visas alla etablerade licenser och deras aktuella status.
Steg 2: Registrera slutpunkter med något av de hanteringsverktyg som stöds
När du har kontrollerat att licenstillståndet har etablerats korrekt kan du börja registrera enheter till tjänsten.
I syfte att utvärdera Microsoft Defender för Endpoint rekommenderar vi att du väljer ett par Windows-enheter att utföra utvärderingen på.
Du kan välja att använda något av de hanteringsverktyg som stöds, men Intune ger optimal integrering. Mer information finns i Konfigurera Microsoft Defender för Endpoint i Microsoft Intune.
I avsnittet Planera distribution beskrivs de allmänna steg som du behöver vidta för att distribuera Defender för Endpoint.
Titta på den här videon för en snabb översikt över onboardingprocessen och lär dig mer om tillgängliga verktyg och metoder.
Registreringsverktygsalternativ
I följande tabell visas de tillgängliga verktygen baserat på den slutpunkt som du behöver registrera.
| Slutpunkt | Verktygsalternativ |
|---|---|
| Windows | - Lokalt skript (upp till 10 enheter) - Grupprincip - Microsoft Intune/Mobile Device Manager - Microsoft Endpoint Configuration Manager - VDI-skript |
| macOS | - Lokala skript - Microsoft Intune - JAMF Pro - Hantering av mobila enheter |
| iOS | Appbaserad |
| Android | Microsoft Intune |
När du pilottestar Microsoft Defender för Endpoint kan du välja att registrera några enheter till tjänsten innan du registrerar hela organisationen.
Du kan sedan prova funktioner som är tillgängliga, till exempel att köra attacksimuleringar och se hur Defender för Endpoint visar skadliga aktiviteter och gör att du kan utföra ett effektivt svar.
Steg 3: Verifiera pilotgruppen
När du har slutfört registreringsstegen som beskrivs i avsnittet Aktivera utvärdering bör du se enheterna i listan Enhetsinventering ungefär efter en timme.
När du ser dina registrerade enheter kan du fortsätta med att testa funktionerna.
Steg 4: Prova funktioner
Nu när du har slutfört registreringen av vissa enheter och kontrollerat att de rapporterar till tjänsten kan du bekanta dig med produkten genom att testa de kraftfulla funktioner som är tillgängliga direkt.
Under piloten kan du enkelt komma igång med att testa några av funktionerna för att se produkten i praktiken utan att gå igenom komplexa konfigurationssteg.
Vi börjar med att checka ut instrumentpanelerna.
Visa enhetsinventeringen
I enhetsinventeringen visas en lista över slutpunkter, nätverksenheter och IoT-enheter i nätverket. Det ger dig inte bara en överblick över enheterna i nätverket, utan ger dig också detaljerad information om dem, till exempel domän, risknivå, OS-plattform och annan information för enkel identifiering av de enheter som är mest utsatta.
Visa instrumentpanelen för sårbarhetshantering i Microsoft Defender
Defender Vulnerability Management hjälper dig att fokusera på de svagheter som utgör den mest brådskande och högsta risken för organisationen. Från instrumentpanelen får du en översikt över organisationens exponeringspoäng, Microsofts säkerhetspoäng för enheter, distribution av enhetsexponering, de främsta säkerhetsrekommendationerna, mest sårbara programvara, de främsta reparationsaktiviteterna och de vanligaste exponerade enhetsdata.
Köra en simulering
Microsoft Defender för Endpoint levereras med attackscenarier med typen "Gör det själv" som du kan köra på dina pilotenheter. Varje dokument innehåller krav för operativsystem och program samt detaljerade instruktioner som är specifika för ett angreppsscenario. Dessa skript är säkra, dokumenterade och enkla att använda. De här scenarierna återspeglar funktionerna i Defender för Endpoint och vägleder dig genom undersökningsupplevelsen.
Om du vill köra någon av de angivna simuleringarna behöver du minst en registrerad enhet.
I Hjälpsimuleringar>& självstudier väljer du vilka av de tillgängliga attackscenarier som du vill simulera:
Scenario 1: Dokumentet släpper bakdörr – simulerar leverans av ett socialt konstruerat lockdokument. Dokumentet startar en specialgjord bakdörr som ger angripare kontroll.
Scenario 2: PowerShell-skript i fillös attack – simulerar ett fillöst angrepp som förlitar sig på PowerShell, som visar minskning av attackytan och identifiering av skadlig minnesaktivitet.
Scenario 3: Automatiserad incidenthantering – utlöser automatiserad undersökning, som automatiskt söker efter och åtgärdar intrångsartefakter för att skala din kapacitet för incidenthantering.
Ladda ned och läs motsvarande genomgångsdokument som medföljer det valda scenariot.
Ladda ned simuleringsfilen eller kopiera simuleringsskriptet genom att gå tillHjälpsimuleringar> & självstudier. Du kan välja att ladda ned filen eller skriptet på testenheten, men det är inte obligatoriskt.
Kör simuleringsfilen eller skriptet på testenheten enligt instruktionerna i genomgångsdokumentet.
Obs!
Simuleringsfiler eller skript efterliknar attackaktivitet men är faktiskt ofarliga och skadar inte eller äventyrar testenheten.
SIEM-integrering
Du kan integrera Defender för Endpoint med Microsoft Sentinel eller en allmän SIEM-tjänst (säkerhetsinformation och händelsehantering) för att aktivera centraliserad övervakning av aviseringar och aktiviteter från anslutna appar. Med Microsoft Sentinel kan du mer omfattande analysera säkerhetshändelser i organisationen och skapa spelböcker för effektiv och omedelbar respons.
Microsoft Sentinel innehåller ett Defender för Endpoint-anslutningsprogram. Mer information finns i Microsoft Defender för Endpoint Connector för Microsoft Sentinel.
Information om integrering med generiska SIEM-system finns i Aktivera SIEM-integrering i Microsoft Defender för Endpoint.
Nästa steg
Införliva informationen i Defender för Endpoint Security Operations Guide i dina SecOps-processer.
Nästa steg för distribution från slutpunkt till slutpunkt av Microsoft Defender XDR
Fortsätt distributionen av Microsoft Defender XDR från slutpunkt till slutpunkt med Pilot och distribuera Microsoft Defender för Cloud Apps.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för