试点和部署Microsoft Defender for Endpoint

适用于:

  • Microsoft Defender XDR

本文提供了在组织中试点和部署Microsoft Defender for Endpoint的工作流。 可以使用这些建议将Microsoft Defender for Endpoint加入为单个网络安全工具,或作为具有 Microsoft Defender XDR 的端到端解决方案的一部分。

本文假设你有一个生产Microsoft 365 租户,并且正在试点和部署此环境中的Microsoft Defender for Endpoint。 这种做法将维护在试点期间为完整部署配置的任何设置和自定义项。

Defender for Endpoint 通过帮助防止或减少违规造成的业务损失,为零信任体系结构做出了贡献。 有关详细信息,请参阅Microsoft零信任采用框架中的防止或减少违规业务造成的业务损失

Microsoft Defender XDR的端到端部署

这是系列文章 4(共 6 篇),可帮助部署Microsoft Defender XDR组件,包括调查和响应事件。

显示试点和部署Microsoft Defender XDR过程中Microsoft Defender for Endpoint的关系图。

本系列文章对应于端到端部署的以下阶段:

阶段 链接
A. 启动试点 启动试点
B. 试点和部署Microsoft Defender XDR组件 - 试点和部署 Defender for Identity

- 试点和部署Defender for Office 365

- 本文 (试点和部署 Defender for Endpoint)

- 试点和部署Microsoft Defender for Cloud Apps
C. 调查并响应威胁 实践事件调查和响应

为 Defender for Identity 试点和部署工作流

下图演示了在 IT 环境中部署产品或服务的常见过程。

试点、评估和完整部署采用阶段的示意图。

首先评估产品或服务及其在组织中的工作方式。 然后,使用适当的一小部分生产基础结构来试用产品或服务,以便进行测试、学习和自定义。 然后,逐步增加部署范围,直到涵盖整个基础结构或组织。

下面是在生产环境中试点和部署 Defender for Identity 的工作流。

显示试点和部署Microsoft Defender for Identity步骤的关系图。

请按照下列步骤操作:

  1. 检查许可证状态
  2. 使用任何受支持的管理工具载入终结点
  3. 验证试点组
  4. 试用功能

下面是每个部署阶段的建议步骤。

部署阶段 说明
评估 对 Defender for Endpoint 执行产品评估。
试点 为试点组执行步骤 1-4。
完全部署 在步骤 3 中配置试点组或添加组以扩展到试点之外,并最终包括所有设备。

保护组织免受黑客攻击

Defender for Identity 本身提供强大的保护。 但是,当与 Microsoft Defender XDR 的其他功能结合使用时,Defender for Endpoint 会将数据提供给共享信号,共同帮助阻止攻击。

下面是网络攻击的示例,以及Microsoft Defender XDR组件如何帮助检测和缓解网络攻击。

显示Microsoft Defender XDR如何阻止威胁链的关系图。

Defender for Endpoint 检测可能针对组织管理的设备利用的设备和网络漏洞。

Microsoft Defender XDR关联来自所有Microsoft Defender组件的信号,以提供完整的攻击情况。

Defender for Endpoint 体系结构

下图演示了Microsoft Defender for Endpoint体系结构和集成。

显示将Microsoft Defender for Endpoint添加到Microsoft Defender XDR评估环境的步骤的关系图。

此表对插图进行说明。

标注 说明
1 设备通过受支持的管理工具之一加入。
2 载入设备提供并响应Microsoft Defender for Endpoint信号数据。
3 托管设备已加入和/或注册Microsoft Entra ID。
4 已加入域的 Windows 设备使用 Microsoft Entra Connect 同步到Microsoft Entra ID。
5 Microsoft Defender XDR中管理Microsoft Defender for Endpoint警报、调查和响应。

提示

Microsoft Defender for Endpoint还附带了一个产品内评估实验室,你可以在其中添加预配置的设备和运行模拟来评估平台的功能。 该实验室附带了简化的设置体验,可帮助快速演示Microsoft Defender for Endpoint包括针对许多功能(如高级搜寻和威胁分析)的指导。 有关详细信息,请参阅 评估功能。 本文中提供的指南与评估实验室之间的main区别是评估环境使用生产设备,而评估实验室使用非生产设备。

步骤 1:检查许可证状态

首先需要检查许可证状态,以验证它是否已正确预配。 可以通过管理中心或Microsoft Azure 门户执行此操作。

  1. 若要查看许可证,请转到Microsoft Azure 门户并导航到Microsoft Azure 门户许可证部分

    Microsoft Defender门户中“Azure 许可”页的屏幕截图。

  2. 或者,在管理中心中,导航到 “计费>订阅”。

    在屏幕上,你将看到所有预配的许可证及其当前 状态

    Microsoft Azure 门户中“计费许可证”页的屏幕截图。

步骤 2:使用任何受支持的管理工具载入终结点

验证许可证状态是否已正确预配后,可以开始将设备加入服务。

为了评估Microsoft Defender for Endpoint,我们建议选择几个 Windows 设备来执行评估。

可以选择使用任何受支持的管理工具,但Intune提供最佳集成。 有关详细信息,请参阅在 Microsoft Intune 中配置Microsoft Defender for Endpoint

规划部署主题概述了部署 Defender for Endpoint 所需的一般步骤。

观看此视频,快速了解载入过程,并了解可用的工具和方法。

载入工具选项

下表列出了基于需要加入的终结点的可用工具。

端点 工具选项
Windows - 本地脚本 (最多 10 台设备)
- 组策略
- Microsoft Intune/移动设备管理器
- Microsoft终结点Configuration Manager
- VDI 脚本
macOS - 本地脚本
- Microsoft Intune
- JAMF Pro
- 移动设备管理
iOS 基于应用
Android Microsoft Intune

试点Microsoft Defender for Endpoint时,可以选择在加入整个组织之前将一些设备加入服务。

然后,可以尝试可用的功能,例如运行攻击模拟,以及查看 Defender for Endpoint 如何显示恶意活动,并使你能够进行有效的响应。

步骤 3:验证试点组

完成“启用评估”部分中概述的载入步骤后,大约一小时后,应在设备清单列表中看到设备。

看到已载入的设备时,可以继续试用功能。

步骤 4:试用功能

现在,你已完成载入某些设备并验证它们是否正在向服务报告,请通过试用现成的强大功能来熟悉产品。

在试点期间,可以轻松开始试用一些功能,以查看产品在运行中,而无需执行复杂的配置步骤。

让我们首先查看仪表板。

查看设备清单

可在设备清单中查看网络中终结点、网络设备和 IoT 设备的列表。 它不仅提供网络中设备的视图,而且还提供了有关设备的深入信息,例如域、风险级别、OS 平台和其他详细信息,以便轻松识别风险最大的设备。

查看Microsoft Defender 漏洞管理 仪表板

Defender 漏洞管理可帮助你专注于对组织构成最紧迫和最高风险的弱点。 从仪表板获取组织暴露分数的高级视图,Microsoft设备的安全功能分数、设备暴露分布、热门安全建议、最易受攻击的软件、热门修正活动和公开最多的设备数据。

运行模拟

Microsoft Defender for Endpoint附带了可在试点设备上运行的“自行执行”攻击方案。 每个文档都包含 OS 和应用程序要求,以及特定于攻击方案的详细说明。 这些脚本安全、有记录且易于使用。 这些方案将反映 Defender for Endpoint 功能,并引导你完成调查体验。

若要运行提供的任何模拟,至少需要 一个已载入的设备

  1. 帮助>模拟 & 教程中,选择要模拟的可用攻击方案:

    • 方案 1:文档删除后门 - 模拟社交工程引诱文档的交付。 文档启动一个特制后门,使攻击者能够控制。

    • 方案 2:无文件攻击中的 PowerShell 脚本 - 模拟依赖于 PowerShell 的无文件攻击,展示攻击面减少和设备对恶意内存活动的学习检测。

    • 方案 3:自动事件响应 - 触发自动调查,自动搜寻和修正违规项目,以扩展事件响应容量。

  2. 下载并阅读所选方案随附的相应演练文档。

  3. 通过导航到帮助>模拟 &教程下载模拟文件或复制模拟脚本。 可以选择在测试设备上下载文件或脚本,但这不是必需的。

  4. 按照演练文档中的指示,在测试设备上运行模拟文件或脚本。

注意

模拟文件或脚本模拟攻击活动,但实际上是良性的,不会损害或破坏测试设备。

SIEM 集成

可以将 Defender for Endpoint 与Microsoft Sentinel或通用安全信息和事件管理集成 (SIEM) 服务,以集中监视来自连接的应用的警报和活动。 借助Microsoft Sentinel,你可以更全面地分析整个组织的安全事件,并生成 playbook,以便进行有效和即时的响应。

显示 SIEM 集成的Microsoft Defender for Endpoint体系结构的关系图。

Microsoft Sentinel包括 Defender for Endpoint 连接器。 有关详细信息,请参阅用于Microsoft Sentinel的Microsoft Defender for Endpoint连接器

有关与通用 SIEM 系统集成的信息,请参阅在 Microsoft Defender for Endpoint 中启用 SIEM 集成

后续步骤

Defender for Endpoint 安全操作指南 中的信息合并到 SecOps 流程中。

Microsoft Defender XDR的端到端部署的下一步

使用试点继续Microsoft Defender XDR的端到端部署,并部署Microsoft Defender for Cloud Apps

显示试点和部署Microsoft Defender XDR过程中Microsoft Defender for Cloud Apps的关系图。

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区