你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
通过 Defender for Cloud 的集成式 EDR 解决方案 Microsoft Defender for Endpoint 来保护终结点
借助 Microsoft Defender for Servers,你可以访问 Microsoft Defender for Endpoint 并将它部署到服务器资源。 Microsoft Defender for Endpoint 是一种整体的、云交付的终结点安全解决方案。 主要功能包括:
- 基于风险的漏洞管理和评估
- 攻击面减少
- 基于行为的、由云提供支持的保护
- 终结点检测和响应 (EDR)
- 自动调查和补救
- 托管搜寻服务
你可以通过观看《Defender for Cloud 实战》视频系列中的以下视频来了解 Defender for Cloud 与 Microsoft Defender for Endpoint 的集成:Defender for Servers 与 Microsoft Defender for Endpoint 的集成
有关将服务器从 Defender for Endpoint 迁移到 Defender for Cloud 的详细信息,请参阅 Microsoft Defender for Endpoint 到 Microsoft Defender for Cloud 迁移指南。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式发布版 (GA) |
| 定价: | 需要 Microsoft Defender for Servers 计划 1 或计划 2 |
| 支持的环境: |  运行 Windows/Linux 的支持 Azure Arc 的计算机运行 Linux 的 Azure VM(支持的版本) 运行 Windows Server 2022、2019、2016、2012 R2、2008 R2 SP1、Windows 10/11 企业版多会话(前身为“企业版虚拟桌面”)的 Azure VM 运行 Windows 11 或 Windows 10 的 Azure VM(运行 Windows 10/11 企业版多会话除外) |
| 所需角色和权限: | - 启用/禁用集成:“安全管理员”或“所有者” - 查看 Defender for Cloud 内的 Defender for Endpoint 警报:“安全读取者”、“读取者”、“资源组参与者”、“资源组所有者”、“安全管理员”、“订阅所有者”或“订阅参与者” |
| 云: | 商用云 Azure 政府Azure 中国世纪互联 连接的 AWS 帐户 已连接的 GCP 项目 |
将 Microsoft Defender for Endpoint 与 Defender for Cloud 集成的优势
Microsoft Defender for Endpoint 可保护 Windows 和 Linux 计算机,无论它们是托管在 Azure、混合云(本地)还是多云环境中。
保护包括:
高级入侵后检测传感器。 Defender for Endpoint 传感器可收集计算机中的大量行为信号。
Microsoft Defender 漏洞管理中的漏洞评估。 安装 Microsoft Defender for Endpoint 后,Defender for Cloud 可以显示 Defender 漏洞管理发现的漏洞,并可以提供此模块作为支持的漏洞评估解决方案。 要了解详细信息,请参阅通过 Microsoft Defender 漏洞管理调查弱点。
基于分析的、由云提供支持的入侵后检测。 Defender for Endpoint 可快速应对不断变化的威胁。 它使用高级分析和大数据。 Defender for Endpoint 借助 Intelligent Security Graph 的强大功能得以增强,并结合 Windows、Azure 和 Office 中的信号来检测未知威胁。 它提供可以采取措施的警报,并可让你快速做出响应。
威胁智能。 Defender for Endpoint 在识别攻击者工具、方法和过程时生成警报。 它使用 Microsoft 威胁猎人和安全团队生成的,并由合作伙伴提供的情报补充的数据。
将 Defender for Endpoint 与 Defender for Cloud 集成后,你将获得使用以下额外功能的权益:
自动加入。 Defender for Cloud 会在连接 Defender for Cloud 的所有支持的计算机上自动启用 Defender for Endpoint 传感器。
单一虚拟管理平台。 Defender for Cloud 门户页面会显示 Defender for Endpoint 警报。 若要进一步调查,请使用 Microsoft Defender for Endpoint 本身的门户页面,其中提供其他信息,如警报流程树和事件图。 此外,还可以看到详细的机器时间线,其中显示了最长六个月的历史时段的每种行为。
对 Microsoft Defender for Endpoint 租户有哪些要求?
当你使用 Defender for Cloud 监视计算机时,系统会自动创建 Defender for Endpoint 租户。
位置: Defender for Endpoint 收集的数据存储在租户所在的地理位置(在预配期间确定)。 客户数据(采用假名)也可能存储在美国的中央存储和处理系统中。 配置位置后,无法对其进行更改。 如果自己有 Microsoft Defender for Endpoint 许可,并且需要将数据移动到其他位置,请联系 Microsoft 支持部门重置租户。
移动订阅: 如果在 Azure 租户之间移动了 Azure 订阅,还需要执行一些手动预备步骤,然后 Defender for Cloud 才会部署 Defender for Endpoint。 有关完整的详细信息,请联系 Microsoft 支持人员。
启用 Microsoft Defender for Endpoint 集成
先决条件
在实现与 Defender for Cloud 的 Microsoft Defender for Endpoint 集成之前,必须确认计算机满足 Defender for Endpoint 的必要要求:
确保已根据需要将计算机连接到 Azure 和 Internet:
Azure 虚拟机(Windows 或 Linux) :请按照配置设备代理和 Internet 连接设置:Windows 或 Linux 中所述配置网络设置。
本地计算机 - 将目标计算机连接到 Azure Arc,如将混合计算机连接到已启用 Azure Arc 的服务器中所述。
启用 Microsoft Defender for Servers。 请参阅快速入门:启用 Defender for Cloud 的增强安全功能。
重要
默认已启用安全中心与 Defender for Cloud 与 Microsoft Defender for Endpoint 的集成。 因此,启用增强安全功能即表示你同意 Microsoft Defender for Servers 访问与你的终结点的漏洞、已安装软件和警报相关的 Microsoft Defender for Endpoint 数据。
对于 Windows 服务器,请确保服务器满足加入 Microsoft Defender for Endpoint 的要求。
对于 Linux 服务器,必须已安装 Python。 建议对所有发行版使用 Python 3,但 RHEL 8.x 和 Ubuntu 20.04 或更高版本必须使用 Python 3。 如果需要,请参阅在 Linux 上安装 Python 的分步说明。
如果已在 Azure 租户之间移动订阅,还需要执行一些手动预备步骤。 有关详细信息,请联系 Microsoft 支持人员。
启用集成
Windows
MDE 统一解决方案不使用或要求安装 Log Analytics 代理。 对于 Azure Windows 2012 R2 和 2016 服务器、通过 Azure Arc 连接的 Windows 服务器以及通过多云连接器连接的 Windows 多云服务器,统一解决方案会自动部署。
你将通过以下两种方式之一将 Defender for Endpoint 部署到 Windows 计算机 - 具体取决于是否已将其部署到你的 Windows 计算机:
- 启用了 Defender for Servers 并部署了 Microsoft Defender for Endpoint 的用户
- 从未启用过与 Microsoft Defender for Endpoint 集成的新用户
启用了 Defender for Servers 并部署了 Microsoft Defender for Endpoint 的用户
如果已启用与 Defender for Endpoint 的集成,可以完全控制何时以及是否将 MDE 统一解决方案部署到 Windows 计算机。
要部署 MDE 统一解决方案,需要使用 REST API 调用或 Azure 门户:
在 Defender for Cloud 的菜单中,选择“环境设置”,然后选择包含要接收 Defender for Endpoint 的 Windows 计算机的订阅。
在 Defender for Servers 计划的“监视范围”列中,选择“设置”。
“终结点保护”组件的状态为“部分”,这意味着并非所有组件部分都已启用。
注意
如果状态为“关”,请按从未启用过与适用于 Windows 的 Microsoft Defender for Endpoint 集成的用户中的说明操作。
选择“修复”以查看未启用的组件。
若要为 Windows Server 2012 R2 和 2016 计算机启用统一解决方案,请选择“启用”。
若要保存更改,请选择页面顶部的“保存”,然后在“设置和监视”页中选择“继续”。
Microsoft Defender for Cloud 将执行以下操作:
- 停止 Log Analytics 代理中为 Defender for Servers 收集数据的现有 MDE 进程。
- 为所有现有和新 Windows Server 2012 R2 和 2016 计算机安装 MDE 统一解决方案。
Microsoft Defender for Cloud 会自动将你的计算机加入 Microsoft Defender for Endpoint。 加入过程可能最多需要 12 小时。 对于启用集成后创建的新计算机,载入最多需要一小时。
注意
如果选择不将 MDE 统一解决方案部署到 Defender for Servers 计划 2 中的 Windows 2012 R2 和 2016 服务器,然后将 Defender for Servers 降级到计划 1,则 MDE 统一解决方案不会部署到这些服务器,以便现有部署在未经明确同意的情况下不会更改。
从未启用过与适用于 Windows 的 Microsoft Defender for Endpoint 的集成的用户
如果从未为 Windows 启用过集成,则“终结点保护”将启用 Defender for Cloud,将 Defender for Endpoint 同时部署到 Windows 和 Linux 计算机。
若要部署 MDE 统一解决方案,需要使用 REST API 调用或 Azure 门户:
在 Defender for Cloud 的菜单中,选择“环境设置”,然后选择包含要接收 Defender for Endpoint 的计算机的订阅。
在“终结点保护”组件的状态中,选择“开”以启用与 Microsoft Defender for Endpoint 的集成。
MDE 代理统一解决方案部署到所选订阅中的所有计算机。
Linux
你将通过以下方式之一将 Defender for Endpoint 部署到 Linux 计算机,具体取决于是否已将其部署到你的 Windows 计算机:
- 在 Azure 门户环境设置中为特定订阅启用
- 在 Azure 门户仪表板中为多个订阅启用
- 使用 PowerShell 脚本为多个订阅启用
注意
启用自动部署时,Defender for Endpoint for Linux 安装将在具有使用 fanotify 和其他也可能导致 MDE 故障或可能受到 MDE(例如安全服务)影响的预先运行的服务的计算机上中止。 验证潜在的兼容性问题后,建议在这些服务器上手动安装 Defender for Endpoint。
已启用 Defender for Cloud 增强安全功能并使用适用于 Windows 的 Microsoft Defender for Endpoint 的现有用户
如果已启用与适用于 Windows 的 Defender for Endpoint 的集成,可以完全控制何时以及是否将 Defender for Endpoint 部署到 Linux 计算机 。
在 Defender for Cloud 的菜单中,选择“环境设置”,然后选择包含要接收 Defender for Endpoint 的 Linux 计算机的订阅。
在 Defender for Server 计划的“监视范围”列中,选择“设置”。
“终结点保护”组件的状态为“部分”,这意味着并非所有组件部分都已启用。
注意
如果未选择状态为“关”,请按从未启用过与适用于 Windows 的 Microsoft Defender for Endpoint 集成的用户中的说明操作。
选择“修复”以查看未启用的组件。
若要启用部署到 Linux 计算机,请选择“启用”。
若要保存更改,请选择页面顶部的“保存”,然后在“设置和监视”页中选择“继续”。
Microsoft Defender for Cloud 将执行以下操作:
- 自动将 Linux 计算机载入 Defender for Endpoint
- 检测任何以前安装的 Defender for Endpoint,并将其重新配置为与 Defender for Cloud 集成
Microsoft Defender for Cloud 会自动将你的计算机加入 Microsoft Defender for Endpoint。 加入过程可能最多需要 12 小时。 对于启用集成后创建的新计算机,载入最多需要一小时。
注意
下次返回到 Azure 门户的此页面时,不会显示“为 Linux 计算机启用”按钮。 若要对 Linux 禁用集成,需要同时对 Windows 禁用集成,方法是清除“允许 Microsoft Defender for Endpoint 访问我的数据”复选框并选择“保存” 。
若要验证 Linux 计算机上的 Defender for Endpoint 安装情况,请在计算机上运行以下 shell 命令:
mdatp health如果安装了 Microsoft Defender for Endpoint,会显示其运行状况:
healthy : truelicensed: true此外,在 Azure 门户中,名为
MDE.Linux的计算机上会显示新的 Azure 扩展。
从未启用过与适用于 Windows 的 Microsoft Defender for Endpoint 的集成的新用户
如果从未为 Windows 启用过集成,则终结点保护将启用 Defender for Cloud,将 Defender for Endpoint 同时部署到 Windows 和 Linux 计算机。
在 Defender for Cloud 的菜单中,选择“环境设置”,然后选择包含要接收 Defender for Endpoint 的 Linux 计算机的订阅。
在 Defender for Server 计划的“监视范围”列中,选择“设置”。
在“终结点保护”组件的状态中,选择“开”以启用与 Microsoft Defender for Endpoint 的集成。
Microsoft Defender for Cloud 将执行以下操作:
- 自动将 Windows 和 Linux 计算机载入 Defender for Endpoint
- 检测任何以前安装的 Defender for Endpoint,并将其重新配置为与 Defender for Cloud 集成
载入最多可能需要 1 小时。
选择“继续”和“保存”以保存设置。
若要验证 Linux 计算机上的 Defender for Endpoint 安装情况,请在计算机上运行以下 shell 命令:
mdatp health如果安装了 Microsoft Defender for Endpoint,会显示其运行状况:
healthy : truelicensed: true此外,在 Azure 门户中,名为
MDE.Linux的计算机上会显示新的 Azure 扩展。
在 Azure 门户仪表板中为多个订阅启用
如果一个或多个订阅未为 Linux 计算机启用“终结点保护”,你将在 Defender for Cloud 仪表板中看到一个见解面板。 见解面板会告诉你有关为 Windows 计算机启用了 Defender for Endpoint 集成但未为 Linux 计算机启用的订阅。 可以使用见解面板查看受影响的订阅以及每个订阅中受影响的资源数量。 没有 Linux 计算机的订阅不显示受影响的资源。 然后,可以选择订阅来为 Linux 集成启用终结点保护。
在见解面板中选择“启用”后,Defender for Cloud:
- 在所选订阅中自动将 Linux 计算机加入 Defender for Endpoint。
- 检测任何以前安装的 Defender for Endpoint,并将其重新配置为与 Defender for Cloud 集成。
使用 Defender for Endpoint 状态工作簿验证 Linux 计算机上 Defender for Endpoint 的安装和部署状态。
使用 PowerShell 脚本为多个订阅启用
使用 Defender for Cloud GitHub 存储库中的 PowerShell 脚本在多个订阅中的 Linux 计算机上启用终结点保护。
大规模启用 MDE 统一解决方案
还可以通过提供的 REST API 版本 2022-05-01 大规模启用 MDE 统一解决方案。 有关完整的详细信息,请参阅 API 文档。
以下是启用 MDE 统一解决方案的 PUT 请求的请求正文示例:
URI:https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP_UNIFIED_SOLUTION?api-version=2022-05-01
{
"name": "WDATP_UNIFIED_SOLUTION",
"type": "Microsoft.Security/settings",
"kind": "DataExportSettings",
"properties": {
"enabled": true
}
}
跟踪 MDE 部署状态
可以使用 Defender for Endpoint 部署状态工作簿来跟踪通过 Azure Arc 连接的 Azure VM 和非 Azure 计算机上的 MDE 部署状态。此交互式工作簿概述了环境中的计算机,显示其 Microsoft Defender for Endpoint 扩展部署状态。
访问 Microsoft Defender for Endpoint 门户
确保用户帐户具有必需权限。 有关详细信息,请参阅向 Microsoft Defender 安全中心分配用户访问权限。
检查代理或防火墙是否阻止匿名流量。 Defender for Endpoint 传感器从系统上下文进行连接,因此必须允许匿名流量。 若要确保访问 Defender for Endpoint 门户不受阻碍,请按照在代理服务器中启用对服务 URL 的访问中的说明进行操作。
打开 Microsoft 365 Defender 门户。 了解 Microsoft 365 Defender 中的 Microsoft Defender for Endpoint。
发送测试警报
若要从 Defender for Endpoint 中生成良性测试警报,请选择相关的终结点操作系统的选项卡:
在 Windows 上测试
对于运行 Windows 的终结点,请执行以下操作:
创建文件夹“C:\test-MDATP-test”。
使用远程桌面访问计算机。
打开命令行窗口。
在提示符下,复制并运行以下命令。 命令提示符窗口将自动关闭。
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
如果该命令成功,工作负载保护仪表板和 Microsoft Defender for Endpoint 门户中会显示一条新警报。 此警报可能要在几分钟之后才显示。
若要在 Microsoft Defender for Cloud 查看该警报,请转到“安全警报”>“可疑的 PowerShell 命令行”。
在调查窗口中,选择相应的链接转到 Microsoft Defender for Endpoint 门户。
提示
此警报由“信息”严重性触发。
在 Linux 上测试
对于运行 Windows 的终结点,请执行以下操作:
从 https://aka.ms/LinuxDIY 下载测试警报工具
提取 zip 文件的内容并执行以下 shell 脚本:
./mde_linux_edr_diy如果该命令成功,工作负载保护仪表板和 Microsoft Defender for Endpoint 门户中会显示一条新警报。 此警报可能要在几分钟之后才显示。
若要在 Defender for Cloud 查看警报,请转到“安全警报”>“枚举包含敏感数据的文件” 。
在调查窗口中,选择相应的链接转到 Microsoft Defender for Endpoint 门户。
提示
此警报触发时显示为“低”严重性。
从计算机中删除 Defender for Endpoint
若要从计算机中删除 Defender for Endpoint 解决方案,请运行以下操作:
禁用集成:
- 从 Defender for Cloud 的菜单中,选择“环境设置”,然后选择相关计算机的订阅。
- 在“Defender 计划”页中,选择“设置”&“监视”。
- 在终结点保护组件的状态中,选择“关”以禁用与 Microsoft Defender for Endpoint 的集成。
- 选择“继续”和“保存”以保存设置。
从计算机中删除 MDE.Windows/MDE.Linux 扩展。
按照 Defender for Endpoint 文档中的 Microsoft Defender for Endpoint 服务中的登出设备中所述步骤操作。
FAQ - Microsoft Defender for Cloud 与 Microsoft Defender for Endpoint 的集成
- 计算机上运行的这个 “MDE.Windows”/“MDE.Linux”扩展是什么?
- Microsoft Defender for Endpoint 有哪些许可要求?
- 我是否需要购买单独的反恶意软件解决方案来保护我的计算机?
- 如果已有 Microsoft Defender for Endpoint 许可证,能否获得 Microsoft Defender for Servers 的折扣?
- 如何从第三方 EDR 工具进行切换?
计算机上运行的这个“MDE.Windows”/“MDE.Linux”扩展是什么?
过去,Microsoft Defender for Endpoint 由 Log Analytics 代理预配。 扩展支持以包括 Windows Server 2019 和 Linux 时,我们还添加了一个扩展来执行自动载入。
Defender for Cloud 会自动将扩展部署到运行以下内容的计算机:
- Windows Server 2019 和 Windows Server 2022
- Windows Server 2012 R2 和 2016(如果启用了 MDE 统一解决方案集成)
- Azure 虚拟桌面上的 Windows 10。
- 其他版本的 Windows Server,前提是 Defender for Cloud 无法识别操作系统版本(例如,使用自定义 VM 映像时)。 在这种情况下,Microsoft Defender for Endpoint 仍由 Log Analytics 代理预配。
- Linux。
重要
如果删除 MDE.Windows/MDE.Linux 扩展,系统不会删除 Microsoft Defender for Endpoint。 要登出计算机,请参阅登出 Windows 服务器。
我已启用解决方案,但 MDE.Windows/MDE.Linux 扩展未在计算机上显示
如果已启用集成,但仍未看到扩展在计算机上运行:
- 需要等待至少 12 小时才能确定存在要调查的问题。
- 如果 12 小时后仍看不到扩展在计算机上运行,请检查是否满足集成的先决条件。
- 确保已为与要调查的计算机相关的订阅启用 Microsoft Defender for Servers 计划。
- 如果在 Azure 租户之间移动了 Azure 订阅,还需要执行一些手动预备步骤,然后 Defender for Cloud 才会部署 Defender for Endpoint。 有关完整的详细信息,请联系 Microsoft 支持人员。
Microsoft Defender for Endpoint 有哪些许可要求?
适用于服务器的 Defender for Endpoint 许可证在 Microsoft Defender for Servers 中随附。
我是否需要购买单独的反恶意软件解决方案来保护我的计算机?
不是。 通过 Defender for Servers 中的 MDE 集成,你还将在你的计算机上获得恶意软件防护功能。
- 在启用了 MDE 统一解决方案集成的 Windows Server 2012 R2 上,Defender for Servers 将以主动模式部署 Microsoft Defender Antivirus。
- 在较新的 Windows Server 操作系统上,Microsoft Defender Antivirus 是操作系统的一部分,将在活动模式下启用。
- 在 Linux 上,Defender for Servers 将部署包含反恶意软件组件的 MDE,并将组件设置为被动模式。
如果已有 Microsoft Defender for Endpoint 许可证,能否获得 Microsoft Defender for Servers 的折扣?
如果你已获得适用于服务器的 Defender for Endpoint 的许可证,则无需为 Microsoft Defender for Servers 计划 2 许可证的相应部分付费。 详细了解 Microsoft 365 许可证。
若要请求折扣,请联系 Defender for Cloud 的支持团队。 需要提供相关的工作区 ID、区域以及为给定工作区中的计算机应用的适用于服务器的 Microsoft Defender for Endpoint 许可证数。
该折扣将从批准之日起生效,且不具追溯效力。
如何从第三方 EDR 工具进行切换?
有关从非 Microsoft 终结点解决方案进行切换的完整说明,请参阅 Microsoft Defender for Endpoint 文档:迁移概述。
Defender for Servers 支持哪个 Microsoft Defender for Endpoint 计划?
Defender for Servers 计划 1 和计划 2 提供 Microsoft Defender for Endpoint 计划 2 的功能。