啟用適用於端點的Defender整合

發行項
03/13/2024

適用於雲端的 Microsoft Defender 與適用於端點的 Microsoft Defender 整合時，提供雲端式端點安全性解決方案，提供各種不同的功能。整合提供風險型弱點管理和評量，有助於識別並排定需要解決的弱點的優先順序。解決方案也包含受攻擊面縮小，有助於將端點的攻擊面降到最低，以及行為型和雲端式保護，以偵測和回應威脅。此外，適用於端點的 Microsoft Defender 提供端點偵測及回應（EDR）、自動調查和補救，以及受控搜捕服務，以協助組織快速偵測、調查及回應安全性事件。

必要條件

您必須先確認您的電腦符合適用於端點的 Defender 的必要需求，才能啟用適用於端點的 Microsoft Defender 與適用於雲端的 Defender 整合：

請確定電腦已視需要連線到 Azure 和因特網：
- Azure 虛擬機（Windows 或 Linux） - 設定裝置 Proxy 和因特網連線設定中所述的網路設定： Windows 或 Linux。
- 內部部署機器 - 連線目標機器到 Azure Arc，如連線已啟用 Azure Arc 的伺服器混合式機器中所述。
啟用 適用於伺服器的 Microsoft Defender。請參閱快速入門：啟用適用於雲端的 Defender 增強的安全性功能。

重要

默認會啟用適用於雲端的 Defender 與適用於端點的 Microsoft Defender的整合。因此，當您啟用增強式安全性功能時，您會同意適用於伺服器的 Microsoft Defender 存取與端點弱點、已安裝的軟體和警示相關的適用於端點的 Microsoft Defender 數據。
針對 Windows 伺服器，請確定您的伺服器符合上線適用於端點的 Microsoft Defender 的需求。
針對 Linux 伺服器，您必須安裝 Python。建議針對所有散發版本使用 Python 3，但 RHEL 8.x 和 Ubuntu 20.04 或更高版本都需要。如有需要，請參閱在Linux上安裝 Python 的逐步指示。
如果您已在 Azure 租使用者之間移動訂用帳戶，也需要一些手動準備步驟。如需詳細資訊，請連絡 Microsoft 支援服務。

啟用整合

在 Windows 上
在 Linux 上

Windows

適用於端點的Defender整合解決方案不會使用或需要安裝Log Analytics代理程式。統一解決方案會自動針對 Azure Windows 2012 R2 和 2016 伺服器、透過 Azure Arc 連線的 Windows 伺服器，以及透過多重雲端連接器連線的 Windows 多雲端伺服器自動部署。

您將使用下列兩種方式之一將適用於端點的 Defender 部署到 Windows 機器 - 視您是否已將它部署到 Windows 機器而定：

已啟用適用於伺服器的 Defender 且已部署適用於端點的 Microsoft Defender 的使用者
從未啟用與適用於端點的 Microsoft Defender整合的使用者

已啟用適用於伺服器的 Defender 且已部署適用於端點的 Microsoft Defender 的使用者

如果您已經啟用與 適用於端點的 Defender 整合，您可以完全控制何時以及是否要將適用於端點的 Defender 整合解決方案部署到 您的 Windows 機器。

若要部署適用於端點的 Defender 整合解決方案，您必須使用 REST API 呼叫或 Azure 入口網站：

從適用於雲端的 Defender 的功能表中，選取 [環境設定]，然後選取您要接收適用於端點的Defender的 Windows 機器的訂用帳戶。
在適用於伺服器的 Defender 方案的 [監視涵蓋範圍] 資料行中，選取 [設定]。

Endpoint Protections 元件的狀態為 Partial，這表示元件的所有部分都未啟用。

注意

如果狀態為 [關閉]，請使用從未啟用與 windows 適用於端點的 Microsoft Defender 整合的使用者中的指示。
選取 [修正] 以查看未啟用的元件。
若要啟用 Windows Server 2012 R2 和 2016 電腦的整合解決方案，請選取 [ 啟用]。
若要儲存變更，請選取頁面頂端的 [儲存]，然後在設定和監視頁面中選取 [繼續]。

適用於雲端的 Microsoft Defender 會：

在 Log Analytics 代理程式中停止現有的適用於端點的 Defender 程式，該代理程式會收集適用於伺服器的 Defender 數據。
為所有現有和新的 Windows Server 2012 R2 和 2016 電腦安裝適用於端點的 Defender 整合解決方案。

適用於雲端的 Microsoft Defender 會自動將機器上線至適用於端點的 Microsoft Defender。上線可能需要 12 小時的時間。針對啟用整合之後所建立的新機器，上線最多需要一小時的時間。

注意

如果您選擇不要將適用於端點的 Defender 整合解決方案部署到適用於伺服器的 Defender 方案 2 和 2016 伺服器方案 2，然後將適用於伺服器的 Defender 降級為方案 1，則適用於端點的 Defender 整合解決方案不會部署到這些伺服器，如此一來，您的現有部署就不會在明確同意的情況下變更。

從未啟用與 windows 適用於端點的 Microsoft Defender 整合的使用者

如果您從未啟用 Windows 的整合，Endpoint protection 會啟用適用於雲端的 Defender 將適用於端點的 Defender 部署至 Windows 和 Linux 機器。

若要部署適用於端點的 Defender 整合解決方案，您必須使用 REST API 呼叫或 Azure 入口網站：

從適用於雲端的 Defender 的功能表中，選取 [環境設定]，然後選取您要接收適用於端點的Defender的電腦的訂用帳戶。
在 Endpoint protection 元件的狀態中，選取 [開啟] 以啟用與適用於端點的 Microsoft Defender 的整合。

適用於端點的 Defender 代理程式整合解決方案會部署到所選訂用帳戶中的所有機器。

Linux

您將透過下列其中一種方式，將適用於端點的 Defender 部署到 Linux 機器，視您是否已將它部署到 Windows 機器而定：

在 Azure 入口網站環境設定中啟用特定訂用帳戶
- 已啟用適用於雲端的 Defender 增強式安全性功能的現有使用者，並針對 Windows 適用於端點的 Microsoft Defender
- 從未啟用與 windows 適用於端點的 Microsoft Defender 整合的新使用者
在 Azure 入口網站儀錶板中啟用多個訂用帳戶
使用 PowerShell 腳本啟用多個訂用帳戶

注意

當您啟用自動部署時，適用於 Linux 的 Defender 安裝會在具有預先執行服務的機器上中止，這些服務會使用 fanotify 和其他服務中止，這些服務也可能導致適用於端點的 Defender 故障，或可能受到適用於端點的 Defender 的影響，例如安全性服務。驗證潛在的相容性問題之後，建議您在這些伺服器上手動安裝適用於端點的 Defender。

已針對 Windows 啟用和適用於端點的 Microsoft Defender 適用於雲端的 Defender 增強式安全性功能的現有使用者

如果您已經啟用與 適用於 Windows 的 Defender 整合，您可以完全控制何時以及是否要將適用於端點的 Defender 部署至 Linux 機器。

從適用於雲端的 Defender 的功能表中，選取 [環境設定]，然後選取您要接收適用於端點的Defender的Linux機器的訂用帳戶。
在適用於伺服器的 Defender 方案的 [監視涵蓋範圍] 資料行中，選取 [設定]。

Endpoint Protections 元件的狀態為 Partial，這表示元件的所有部分都未啟用。

注意

如果未選取狀態為 [關閉]，請使用從未啟用與 Windows 適用於端點的 Microsoft Defender 整合的使用者中的指示。
選取 [修正] 以查看未啟用的元件。
若要啟用 Linux 計算機的部署，請選取 [ 啟用]。
若要儲存變更，請選取頁面頂端的 [儲存]，然後在設定和監視頁面中選取 [繼續]。

適用於雲端的 Microsoft Defender 會：
- 將 Linux 機器自動上線至適用於端點的 Defender
- 偵測任何先前的適用於端點的Defender安裝，並重新設定它們以與適用於雲端的 Defender
適用於雲端的 Microsoft Defender 會自動將機器上線至適用於端點的 Microsoft Defender。上線可能需要 12 小時的時間。針對啟用整合之後所建立的新機器，上線最多需要一小時的時間。

注意

下次返回 Azure 入口網站的此頁面時，將不會顯示 [啟用 Linux 計算機] 按鈕。若要停用 Linux 的整合，您必須在 Endpoint Protection 中關閉切換，然後選取 [繼續]，以停用 Windows 的整合。
若要確認在 Linux 機器上安裝適用於端點的 Defender，請在您的電腦上執行下列殼層命令：

mdatp health

如果已安裝適用於端點的 Microsoft Defender，您會看到其健全狀態：

healthy : true

licensed: true

此外，在 Azure 入口網站您會在名為 MDE.Linux的計算機上看到新的 Azure 擴充功能。

從未啟用與 Windows 適用於端點的 Microsoft Defender 整合的新使用者

如果您從未啟用 Windows 的整合，Endpoint Protection 會啟用適用於雲端的 Defender 將適用於端點的 Defender 部署至 Windows 和 Linux 機器。

從適用於雲端的 Defender 的功能表中，選取 [環境設定]，然後選取您要接收適用於端點的Defender的Linux機器的訂用帳戶。
在適用於伺服器之 Defender 方案的 [監視涵蓋範圍] 資料行中，選取 [設定]。
在 Endpoint protection 元件的狀態中，選取 [開啟] 以啟用與適用於端點的 Microsoft Defender 的整合。

適用於雲端的 Microsoft Defender 會：
- 自動將 Windows 和 Linux 機器上線至適用於端點的 Defender
- 偵測任何先前的適用於端點的Defender安裝，並重新設定它們以與適用於雲端的 Defender整合
上線可能需要 1 小時的時間。
選取 [ 繼續 ] 和 [儲存 ] 以儲存您的設定。
若要確認在 Linux 機器上安裝適用於端點的 Defender，請在您的電腦上執行下列殼層命令：

mdatp health

如果已安裝適用於端點的 Microsoft Defender，您會看到其健全狀態：

healthy : true

licensed: true

此外，在 Azure 入口網站您會在名為 MDE.Linux的計算機上看到新的 Azure 擴充功能。

在 Azure 入口網站儀錶板中的多個訂用帳戶上啟用

如果您的一或多個訂用帳戶未針對 Linux 機器啟用 Endpoint Protection，您將會在適用於雲端的 Defender 儀錶板中看到深入解析面板。深入解析面板會告訴您針對 Windows 機器啟用適用於端點的 Defender 整合，但不適用於 Linux 機器的訂用帳戶。您可以使用深入解析面板來查看受影響的訂用帳戶，其中包含每個訂用帳戶中受影響的資源數目。沒有 Linux 機器的訂用帳戶不會顯示受影響的資源。然後，您可以選取訂用帳戶，以啟用 Linux 整合的端點保護。

在深入解析面板中選取 [啟用] 之後，適用於雲端的 Defender：

自動將 Linux 機器上線至所選訂用帳戶中的適用於端點的 Defender。
偵測任何先前的適用於端點的Defender安裝，並重新設定它們以與適用於雲端的 Defender整合。

使用適用於端點的 Defender 狀態活頁簿，確認 Linux 電腦上適用於端點的 Defender 安裝和部署狀態。

使用 PowerShell 腳本在多個訂用帳戶上啟用

使用來自適用於雲端的 Defender GitHub 存放庫的 PowerShell 腳本，在位於多個訂用帳戶的 Linux 機器上啟用端點保護。

管理 Linux 的自動更新設定

在 Windows 中，適用於端點的 Defender 版本更新是透過持續知識庫更新來提供;在 Linux 中，您需要更新適用於端點的 Defender 套件。當您搭配MDE.Linux擴充功能使用適用於伺服器的 Defender 時，預設會啟用適用於端點的 Microsoft Defender 的自動更新。如果您想要手動管理適用於端點的Defender版本更新，您可以停用機器上的自動更新。若要這樣做，請為已使用 MDE.Linux 擴充功能上線的機器新增下列標籤。

標籤名稱：'ExcludeMdeAutoUpdate'
標記值：'true'

此設定支援 Azure VM 和 Azure Arc 機器，其中 MDE.Linux 延伸模組會起始自動更新。

大規模啟用適用於端點的 Microsoft Defender 統一解決方案

您也可以透過提供的 REST API 2022-05-01 版大規模啟用適用於端點的 Defender 整合解決方案。如需完整詳細數據，請參閱 API 檔。

以下是 PUT 要求的範例要求本文，可啟用適用於端點的 Defender 整合解決方案：

Uri： https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

追蹤 MDE 部署狀態

您可以使用適用於端點的Defender部署狀態活頁簿來追蹤 Azure VM 上的適用於端點的Defender部署狀態，以及透過 Azure Arc 連線的非 Azure 機器。互動式活頁簿提供環境中計算機的概觀，其中顯示其適用於端點的 Microsoft Defender 擴充功能部署狀態。

存取適用於端點的 Microsoft Defender 入口網站

請確定用戶帳戶具有必要的許可權。若要深入瞭解，請參閱將使用者存取權指派給 Microsoft Defender 資訊安全中心。
檢查您是否有封鎖匿名流量的 Proxy 或防火牆。適用於端點的 Defender 感測器會從系統內容連線，因此必須允許匿名流量。若要確保不受限制地存取適用於端點的Defender入口網站，請遵循啟用 Proxy 伺服器中服務 URL 存取中的指示。
開啟 Microsoft Defender 入口網站。瞭解 Microsoft Defender 全面偵測回應中的適用於端點的 Microsoft Defender。

傳送測試警示

若要從適用於端點的 Defender 產生良性測試警示，請選取端點相關作業系統的索引標籤：

在 Windows 上測試
在 Linux 上測試

在 Windows 上測試

針對執行 Windows 的端點：

建立資料夾 'C：\test-MDATP-test'。
使用遠端桌面來存取您的電腦。
開啟命令行視窗。
在提示字元中，複製並執行下列命令。命令提示字元視窗會自動關閉。
```
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
```
如果命令成功，您會在工作負載保護儀錶板和適用於端點的 Microsoft Defender 入口網站上看到新的警示。此警示可能需要幾分鐘的時間才會出現。
若要檢閱適用於雲端的 Defender 中的警示，請移至安全性警示>可疑 PowerShell CommandLine。
從調查視窗中，選取連結以移至適用於端點的 Microsoft Defender 入口網站。

提示

警示會以資訊嚴重性觸發。

在 Linux 上測試

針對執行 Linux 的端點：

從下列位置下載測試警示工具： https://aka.ms/LinuxDIY
擷取 zip 檔案的內容，並執行此殼層腳本：

./mde_linux_edr_diy

如果命令成功，您會在工作負載保護儀錶板和適用於端點的 Microsoft Defender 入口網站上看到新的警示。此警示可能需要幾分鐘的時間才會出現。
若要檢閱適用於雲端的 Defender 中的警示，請移至 [安全性警示>] 列舉具有敏感數據的檔案。
從調查視窗中，選取連結以移至適用於端點的 Microsoft Defender 入口網站。

提示

警示會以低嚴重性觸發。

從電腦移除適用於端點的Defender

若要從您的電腦中移除適用於端點的 Defender 解決方案：

停用整合：
1. 從適用於雲端的 Defender 的功能表中，選取 [環境設定]，然後選取具有相關計算機的訂用帳戶。
2. 在 [Defender 方案] 頁面中，選取 [設定和監視]。
3. 在 Endpoint protection 元件的狀態中，選取 [關閉] 以停用與適用於端點的 Microsoft Defender 的整合。
4. 選取 [ 繼續 ] 和 [儲存 ] 以儲存您的設定。
拿掉 MDE。Windows/MDE。來自電腦的Linux擴充功能。
請遵循從適用於端點的 Defender 檔適用於端點的 Microsoft Defender 服務下架裝置中的步驟。

適用於雲端的 Microsoft Defender 支援的平臺和功能
了解建議如何協助您保護 Azure 資源
檢視與適用於端點的 Microsoft Defender 適用於雲端的 Defender整合的常見問題