通过

试点和部署 Microsoft Defender for Endpoint

  • 项目

适用于:

  • Microsoft Defender XDR

本文提供了在组织中试点和部署 Microsoft Defender for Endpoint 的工作流。 可以使用这些建议将 Microsoft Defender for Endpoint 作为单个网络安全工具加入,或者作为使用 Microsoft Defender XDR 的端到端解决方案的一部分。

本文假设你有一个生产Microsoft 365 租户,并且正在在此环境中试点和部署 Microsoft Defender for Endpoint。 这种做法将维护在试点期间为完整部署配置的任何设置和自定义项。

Defender for Endpoint 通过帮助防止或减少违规造成的业务损失,为零信任体系结构做出了贡献。 有关详细信息,请参阅Microsoft零信任采用框架中的 防止或减少违规 业务造成的业务损失。

Microsoft Defender XDR 的端到端部署

这是一个系列文章 4/6,可帮助你部署 Microsoft Defender XDR 的组件,包括调查和响应事件。

显示试点中的 Microsoft Defender for Endpoint 并部署 Microsoft Defender XDR 过程的关系图。

本系列文章对应于端到端部署的以下阶段:

阶段 链接
A. 启动试点 启动试点
B. 试点和部署 Microsoft Defender XDR 组件 - 试点和部署 Defender for Identity

- 试点和部署 Defender for Office 365

- 本文 (试点和部署 Defender for Endpoint)

- 试点和部署 Microsoft Defender for Cloud Apps
C. 调查并响应威胁 实践事件调查和响应

为 Defender for Identity 试点和部署工作流

下图演示了在 IT 环境中部署产品或服务的常见过程。

试点、评估和完整部署采用阶段的示意图。

首先评估产品或服务及其在组织中的工作方式。 然后,使用适当的一小部分生产基础结构来试用产品或服务,以便进行测试、学习和自定义。 然后,逐步增加部署范围,直到涵盖整个基础结构或组织。

下面是在生产环境中试点和部署 Defender for Identity 的工作流。

显示试点和部署 Microsoft Defender for Identity 的步骤的关系图。

请按照下列步骤操作:

  1. 检查许可证状态
  2. 使用任何受支持的管理工具载入终结点
  3. 验证试点组
  4. 试用功能

下面是每个部署阶段的建议步骤。

部署阶段 说明
评估 对 Defender for Endpoint 执行产品评估。
试点 为试点组执行步骤 1-4。
完全部署 在步骤 3 中配置试点组或添加组以扩展到试点之外,并最终包括所有设备。

保护组织免受黑客攻击

Defender for Identity 本身提供强大的保护。 但是,当与 Microsoft Defender XDR 的其他功能结合使用时,Defender for Endpoint 会将数据提供给共享信号,共同帮助阻止攻击。

下面是网络攻击的示例,以及 Microsoft Defender XDR 的组件如何帮助检测和缓解它。

显示 Microsoft Defender XDR 如何阻止威胁链的关系图。

Defender for Endpoint 检测可能针对组织管理的设备利用的设备和网络漏洞。

Microsoft Defender XDR 关联来自所有 Microsoft Defender 组件的信号,以提供完整的攻击情况。

Defender for Endpoint 体系结构

下图演示了 Microsoft Defender for Endpoint 体系结构和集成。

此图显示了将 Microsoft Defender for Endpoint 添加到 Microsoft Defender XDR 评估环境的步骤。

此表对插图进行说明。

标注 说明
1 设备通过受支持的管理工具之一加入。
2 载入设备提供并响应 Microsoft Defender for Endpoint 信号数据。
3 托管设备已加入和/或注册Microsoft Entra ID。
4 使用 Microsoft Entra Connect 将已加入域的 Windows 设备同步到 Microsoft Entra ID。
5 Microsoft Defender for Endpoint 警报、调查和响应在 Microsoft Defender XDR 中管理。

提示

Microsoft Defender for Endpoint 还附带了一个产品内评估实验室,你可以在其中添加预配置的设备和运行模拟来评估平台的功能。 实验室附带了简化的设置体验,可帮助快速演示 Microsoft Defender for Endpoint 的价值,包括针对高级搜寻和威胁分析等许多功能的指南。 有关详细信息,请参阅 评估功能。 本文中提供的指南与评估实验室之间的主要区别在于评估环境使用生产设备,而评估实验室使用非生产设备。

步骤 1:检查许可证状态

首先需要检查许可证状态,以验证它是否已正确预配。 可以通过管理中心或 azure 门户Microsoft执行此操作。

  1. 若要查看许可证,请转到 Azure 门户Microsoft 并导航到 “Microsoft Azure 门户许可证”部分

    Microsoft Defender 门户中“Azure 许可”页的屏幕截图。

  2. 或者,在管理中心中,导航到 “计费>订阅”。

    在屏幕上,你将看到所有预配的许可证及其当前 状态

    Microsoft Azure 门户中“计费许可证”页的屏幕截图。

步骤 2:使用任何受支持的管理工具载入终结点

验证许可证状态是否已正确预配后,可以开始将设备加入服务。

为了评估 Microsoft Defender for Endpoint,我们建议选择几个 Windows 设备来执行评估。

可以选择使用任何受支持的管理工具,但 Intune 提供了最佳集成。 有关详细信息,请参阅 在 Microsoft Intune 中配置 Microsoft Defender for Endpoint

规划部署主题概述了部署 Defender for Endpoint 所需的一般步骤。

观看此视频,快速了解载入过程,并了解可用的工具和方法。

载入工具选项

下表列出了基于需要加入的终结点的可用工具。

端点 工具选项
Windows - 本地脚本 (最多 10 台设备)
- 组策略
- Microsoft Intune/移动设备管理器
- Microsoft Endpoint Configuration Manager
- VDI 脚本
macOS - 本地脚本
- Microsoft Intune
- JAMF Pro
- 移动设备管理
iOS 基于应用
Android Microsoft Intune

Microsoft Defender for Endpoint 试点时,可以选择在加入整个组织之前将一些设备加入服务。

然后,可以尝试可用的功能,例如运行攻击模拟,以及查看 Defender for Endpoint 如何显示恶意活动,并使你能够进行有效的响应。

步骤 3:验证试点组

完成“启用评估”部分中概述的载入步骤后,大约一小时后,应在设备清单列表中看到设备。

看到已载入的设备时,可以继续试用功能。

步骤 4:试用功能

现在,你已完成载入某些设备并验证它们是否正在向服务报告,请通过试用现成的强大功能来熟悉产品。

在试点期间,可以轻松开始试用一些功能,以查看产品在运行中,而无需执行复杂的配置步骤。

让我们首先查看仪表板。

查看设备清单

可在设备清单中查看网络中终结点、网络设备和 IoT 设备的列表。 它不仅提供网络中设备的视图,而且还提供了有关设备的深入信息,例如域、风险级别、OS 平台和其他详细信息,以便轻松识别风险最大的设备。

查看 Microsoft Defender 漏洞管理仪表板

Defender 漏洞管理可帮助你专注于对组织构成最紧迫和最高风险的弱点。 从仪表板中,获取组织曝光分数的高级视图,Microsoft设备的安全功能分数、设备暴露分布、热门安全建议、最易受攻击的软件、热门修正活动和公开最多的设备数据。

运行模拟

Microsoft Defender for Endpoint 附带了可在试点设备上运行的 “自行操作”攻击方案 。 每个文档都包含 OS 和应用程序要求,以及特定于攻击方案的详细说明。 这些脚本安全、有记录且易于使用。 这些方案将反映 Defender for Endpoint 功能,并引导你完成调查体验。

若要运行提供的任何模拟,至少需要 一个已载入的设备

  1. 帮助>模拟 & 教程中,选择要模拟的可用攻击方案:

    • 方案 1:文档删除后门 - 模拟社交工程引诱文档的交付。 文档启动一个特制后门,使攻击者能够控制。

    • 方案 2:无文件攻击中的 PowerShell 脚本 - 模拟依赖于 PowerShell 的无文件攻击,展示攻击面减少和设备对恶意内存活动的学习检测。

    • 方案 3:自动事件响应 - 触发自动调查,自动搜寻和修正违规项目,以扩展事件响应容量。

  2. 下载并阅读所选方案随附的相应演练文档。

  3. 通过导航到帮助>模拟 &教程下载模拟文件或复制模拟脚本。 可以选择在测试设备上下载文件或脚本,但这不是必需的。

  4. 按照演练文档中的指示,在测试设备上运行模拟文件或脚本。

注意

模拟文件或脚本模拟攻击活动,但实际上是良性的,不会损害或破坏测试设备。

SIEM 集成

可以将 Defender for Endpoint 与 Microsoft Sentinel 或泛型安全信息和事件管理 (SIEM) 服务集成,以集中监视来自连接的应用的警报和活动。 使用 Microsoft Sentinel,可以更全面地分析整个组织的安全事件,并生成 playbook,以便进行有效和即时的响应。

此图显示了具有 SIEM 集成的 Microsoft Defender for Endpoint 的体系结构。

Microsoft Sentinel 包括 Defender for Endpoint 连接器。 有关详细信息,请参阅 适用于 Microsoft Sentinel 的 Microsoft Defender for Endpoint 连接器

有关与通用 SIEM 系统集成的信息,请参阅 在 Microsoft Defender for Endpoint 中启用 SIEM 集成

后续步骤

Defender for Endpoint 安全操作指南 中的信息合并到 SecOps 流程中。

Microsoft Defender XDR 端到端部署的下一步

使用试点继续对 Microsoft Defender XDR 进行端到端部署 ,并部署 Microsoft Defender for Cloud Apps

此图显示了在试点和部署 Microsoft Defender XDR 过程中Microsoft Defender for Cloud Apps。

提示

想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动