试用用户指南：Microsoft Defender for Endpoint

欢迎使用Microsoft Defender for Endpoint计划 2 试用用户指南！

此 playbook 是一个简单的指南，可帮助你充分利用免费试用版。 使用本文中Microsoft Defender团队建议的步骤，你将了解 Defender for Endpoint 如何帮助你预防、检测、调查和响应高级威胁。

什么是 Defender for Endpoint？

Defender for Endpoint 是一个企业终结点安全平台，它使用以下内置于 Windows 的技术组合和Microsoft强大的云服务：

• 终结点行为传感器：嵌入在 Windows 中，这些传感器收集和处理来自操作系统的行为信号，并将传感器数据发送到 Defender for Endpoint 的专用、隔离的云实例。

• 云安全分析：使用跨 Windows 生态系统的大数据、设备学习和独特的Microsoft光学，企业云产品 (（如 Microsoft 365) 和联机资产）将行为信号转换为对高级威胁的见解、检测和建议响应。

• 威胁情报：威胁情报由Microsoft猎人和安全团队生成，并由合作伙伴提供的威胁情报进行扩充，使 Defender for Endpoint 能够识别攻击者的工具、技术和过程，并在收集的传感器数据中观察到攻击者时生成警报。

Microsoft Defender for Endpoint

核心 Defender 漏洞管理	攻击面减少	下一代保护	终结点检测和响应	自动调查和修正	Microsoft 威胁专家
集中式配置和管理、APICentralized configuration and administration, APIs
Microsoft Defender门户Microsoft Defender portal

让我们开始吧！

设置试用版

1. 确认许可证状态。
2. 设置基于角色的访问控制，并向安全团队授予权限。
3. 访问Microsoft Defender门户。
4. 使用任何受支持的管理工具载入终结点。
5. 配置功能。
6. 访问Microsoft Defender门户。

步骤 1：确认许可证状态

若要确保正确预配 Defender for Endpoint 订阅，可以在Microsoft 365 管理中心 () 或Microsoft Entra ID () https://admin.microsoft.com 中检查https://portal.azure.com许可证状态。

检查许可证状态。

步骤 2：设置基于角色的访问控制，并向安全团队授予权限

Microsoft建议使用最小特权的概念。 Defender for Endpoint 在 Microsoft Entra ID 中使用内置角色。 查看可用的不同角色， 并为安全团队选择合适的角色。 某些角色可能需要暂时应用并在试用完成后删除。

使用Privileged Identity Management管理角色，为具有目录权限的用户提供额外的审核、控制和访问评审。

Defender for Endpoint 支持两种管理权限的方法：

• 基本权限管理：将权限设置为完全访问权限或只读权限。 Microsoft Entra ID具有全局管理员或安全管理员角色的用户具有完全访问权限。 安全读取者角色具有只读访问权限，不授予查看计算机/设备清单的权限。
• 基于角色的访问控制 (RBAC) ：通过定义角色、将Microsoft Entra用户组分配给角色以及授予用户组对设备组的访问权限来设置精细权限。 有关详细信息，请参阅 使用基于角色的访问控制管理门户访问权限。

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色，应仅限于在无法使用现有角色的紧急情况下使用。

步骤 3：访问Microsoft Defender门户

可以在Microsoft Defender门户 (https://security.microsoft.com) 访问 Defender for Endpoint 功能。

1. 在Microsoft Defender门户中查看预期内容。

2. 转到 https://security.microsoft.com 并登录。

3. 在导航窗格中，请参阅 终结点 部分以访问你的功能。

步骤 4：使用任何受支持的管理工具载入终结点

本部分概述了) 载入设备 (终结点的常规步骤。

1. 观看此视频 ，快速了解载入过程，并了解可用的工具和方法。

2. 查看 设备载入工具选项 ，并选择最适合你的环境的选项。

步骤 5：配置功能

) 载入设备 (终结点后，你将配置各种功能，例如终结点检测和响应、下一代保护和攻击面减少。

使用设备载入表选择要配置的组件。 建议配置所有可用功能，但可以跳过不适用的功能。

载入设备后， 运行检测测试。

步骤 6：访问Microsoft Defender门户

Microsoft Defender门户 (https://security.microsoft.com) 是一个中心位置，可在其中查看载入的设备、安全建议、检测到的威胁、警报等。 若要开始，请参阅 Microsoft Defender 门户。

另请参阅

• Defender for Endpoint 技术文档
• Microsoft安全技术内容库
• Defender for Endpoint 演示

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。