试用用户指南:Microsoft Defender for Endpoint

  • 项目

欢迎使用Microsoft Defender for Endpoint计划 2 试用用户指南!

此 playbook 是一个简单的指南,可帮助你充分利用免费试用版。 使用本文中Microsoft Defender团队建议的步骤,你将了解 Defender for Endpoint 如何帮助你预防、检测、调查和响应高级威胁。

什么是 Defender for Endpoint?

Defender for Endpoint 是一个企业终结点安全平台,它使用以下内置于 Windows 和 Microsoft 强大云服务的技术组合:

  • 终结点行为传感器:嵌入在 Windows 中,这些传感器收集和处理来自操作系统的行为信号,并将传感器数据发送到 Defender for Endpoint 的专用、隔离的云实例。

  • 云安全分析:使用跨 Windows 生态系统的大数据、设备学习和独特的 Microsoft 光学,企业云产品 ((例如 Microsoft 365) )和联机资产、行为信号将转换为见解、检测和建议高级威胁响应。

  • 威胁情报:威胁情报由 Microsoft 猎人和安全团队生成,并由合作伙伴提供的威胁情报进行补充,使 Defender for Endpoint 能够识别攻击者的工具、技术和过程,并在收集的传感器数据中观察到攻击者时生成警报。

Microsoft Defender for Endpoint

漏洞管理
核心 Defender 漏洞管理
攻击面减少
攻击面减少
下一代保护
下一代保护
终结点检测和响应
终结点检测和响应
自动调查和修正
自动调查和修正
Microsoft 威胁专家
Microsoft 威胁专家
集中式配置和管理、API
Centralized configuration and administration, APIs
Microsoft 365 Defender
Microsoft 365 Defender

让我们开始吧!

设置试用版

  1. 确认许可证状态
  2. 设置基于角色的访问控制,并向安全团队授予权限
  3. 访问 Microsoft 365 Defender 门户
  4. 使用任何受支持的管理工具载入终结点
  5. 配置功能
  6. 通过模拟攻击体验Microsoft Defender for Endpoint
  7. 设置Microsoft Defender for Endpoint评估实验室

步骤 1:确认许可证状态

若要确保正确预配 Defender for Endpoint 订阅,可以在 Microsoft 365 管理中心 () https://admin.microsoft.com 或 Azure Active Directory (https://portal.azure.com) 中检查许可证状态。

检查许可证状态

步骤 2:设置基于角色的访问控制,并向安全团队授予权限

Microsoft 建议使用最小特权的概念。 Defender for Endpoint 使用 Azure Active Directory 中的内置角色。 查看可用的不同角色, 并为安全团队选择合适的角色。 某些角色可能需要暂时应用,并在试用完成后删除。

使用Privileged Identity Management管理角色,为具有目录权限的用户提供额外的审核、控制和访问评审。

Defender for Endpoint 支持两种管理权限的方法:

  • 基本权限管理:将权限设置为完全访问权限或只读权限。 在 Azure Active Directory 中具有全局管理员或安全管理员角色的用户具有完全访问权限。 安全读取者角色具有只读访问权限,不授予查看计算机/设备清单的权限。

  • 基于角色的访问控制 (RBAC) :通过定义角色、将 Azure AD 用户组分配给角色以及授予用户组对设备组的访问权限来设置精细权限。 有关详细信息,请参阅 使用基于角色的访问控制管理门户访问权限

    注意

    Defender for Endpoint 计划 1 和计划 2 支持创建设备组。

步骤 3:访问Microsoft 365 Defender门户

可在 Microsoft 365 Defender 门户 (https://security.microsoft.com) 访问 Defender for Endpoint 功能。

  1. 在Microsoft 365 Defender门户中查看预期内容

  2. 转到 https://security.microsoft.com 并登录。

  3. 在导航窗格中,请参阅 终结点 部分以访问你的功能。

步骤 4:使用任何受支持的管理工具载入终结点

本部分概述了) 载入设备 (终结点的常规步骤。

  1. 观看此视频 ,快速了解载入过程,并了解可用的工具和方法。

  2. 查看 设备载入工具选项 ,并选择最适合你的环境的选项。

步骤 5:配置功能

) 载入设备 (终结点后,你将配置各种功能,例如终结点检测和响应、下一代保护和攻击面减少。

使用此表选择要配置的组件。 建议配置所有可用功能,但可以跳过不适用的功能。

步骤 6:通过模拟攻击体验Microsoft Defender for Endpoint

在将多个设备加入服务之前,你可能想要体验 Defender for Endpoint。 为此,可以在几个测试设备上运行受控攻击模拟。 运行模拟攻击后,可以查看 Defender for Endpoint 如何显示恶意活动,并探索它如何实现有效响应。

若要运行提供的任何模拟,至少需要 一个已载入的设备

  1. 访问教程。 在Microsoft 365 Defender门户 (https://security.microsoft.com) 导航窗格中的“终结点”下,选择“教程”。

  2. 阅读每个攻击方案随附的演练文档。 每个文档都包含 OS 和应用程序要求以及特定于攻击方案的详细说明。

  3. 运行模拟

步骤 7:设置Microsoft Defender for Endpoint评估实验室

Microsoft Defender for Endpoint评估实验室旨在消除设备和环境配置的复杂性,以便你可以专注于评估平台的功能、运行模拟,以及查看操作中的预防、检测和修正功能。 使用评估实验室中的简化设置体验,可以专注于运行自己的测试方案和预制模拟,以了解 Defender for Endpoint 的性能。

另请参阅