試驗和部署適用於端點的 Microsoft Defender
適用於:
- Microsoft Defender XDR
本文提供在組織中試驗和部署適用於端點的 Microsoft Defender 的工作流程。 您可以使用這些建議,將適用於端點的 Microsoft Defender 作為個別的網路安全性工具上線,或作為 Microsoft Defender XDR 端對端解決方案的一部分。
本文假設您有生產 Microsoft 365 租使用者,並在此環境中試驗和部署適用於端點的 Microsoft Defender。 此做法會維護您在試驗期間為完整部署所設定的任何設定和自定義。
適用於端點的 Defender 藉由協助防止或減少因缺口而造成的業務損害,為零信任架構做出貢獻。 如需詳細資訊,請參閱 Microsoft 零信任採用架構中的 防止或減少因外 泄商務案例造成的業務損害。
Microsoft Defender XDR 的端對端部署
這是系列文章 6 的第 4 篇文章,可協助您部署 Microsoft Defender XDR 的元件,包括調查和回應事件。
本系列文章:
| 階段 | 連結 |
|---|---|
| 答: 啟動試驗 | 啟動試驗 |
| B. 試驗和部署 Microsoft Defender XDR 元件 | - 試驗和部署適用於身分識別的Defender - 試驗和部署適用於 Office 365 的 Defender - 試驗和部署適用於端點的Defender (本文) - 試驗和部署適用於雲端應用程式的 Microsoft Defender |
| C. 調查和回應威脅 | 練習事件調查和回應 |
試驗和部署適用於身分識別的Defender工作流程
下圖說明在IT環境中部署產品或服務的常見程式。
首先,您會評估產品或服務,以及其在組織內的運作方式。 然後,您可以使用適當的小型生產基礎結構子集來試驗產品或服務,以進行測試、學習和自定義。 然後,逐漸增加部署的範圍,直到涵蓋整個基礎結構或組織為止。
以下是在生產環境中試驗和部署適用於身分識別的Defender的工作流程。
依照下列步驟執行:
以下是每個部署階段的建議步驟。
| 部署階段 | 描述 |
|---|---|
| 評估 | 執行適用於端點的Defender的產品評估。 |
| 試驗 | 針對試驗群組執行步驟 1-4。 |
| 完整部署 | 在步驟 3 中設定試驗群組,或新增群組以擴充試驗之外,並最終包含所有裝置。 |
保護您的組織免於駭客的攻擊
適用於身分識別的Defender自行提供強大的保護。 不過,結合 Microsoft Defender XDR 的其他功能時,適用於端點的 Defender 會將數據提供給共用訊號,以協助停止攻擊。
以下是網路攻擊的範例,以及 Microsoft Defender XDR 的元件如何協助偵測並減輕攻擊。
適用於端點的 Defender 會偵測可能在組織管理的裝置上遭到惡意探索的裝置和網路弱點。
Microsoft Defender XDR 會將來自所有 Microsoft Defender 元件的訊號相互關聯,以提供完整的攻擊案例。
適用於端點的Defender架構
下圖說明適用於端點的 Microsoft Defender 架構和整合。
下表描述此圖例。
| 註銷 | 描述 |
|---|---|
| 1 | 裝置會透過其中一個支援的管理工具上線。 |
| 2 | 已上線的裝置會提供並回應適用於端點的 Microsoft Defender 訊號數據。 |
| 3 | 受控裝置已加入 Microsoft Entra ID 並/或註冊。 |
| 4 | 已加入網域的 Windows 裝置會使用 Microsoft Entra Connect 同步處理至 Microsoft Entra ID。 |
| 5 | 適用於端點的 Microsoft Defender 警示、調查和回應會在 Microsoft Defender XDR 中管理。 |
提示
適用於端點的 Microsoft Defender 也隨附產品內評估實驗室,您可以在其中新增預先設定的裝置,並執行模擬來評估平臺的功能。 實驗室隨附簡化的設定體驗,可協助快速示範適用於端點的 Microsoft Defender 的價值,包括進階搜捕和威脅分析等許多功能的指引。 如需詳細資訊,請 參閱評估功能。 本文提供的指導方針與評估實驗室之間的主要差異在於評估環境使用生產裝置,而評估實驗室則使用非生產裝置。
步驟 1:檢查授權狀態
您必須先檢查授權狀態,以確認其已正確布建。 您可以透過系統管理中心或 透過 Microsoft Azure 入口網站來執行此動作。
若要檢視您的授權,請移至 Microsoft Azure 入口網站 ,並流覽至 [Microsoft Azure 入口網站授權] 區段。
![Microsoft Defender 入口網站中 [Azure 授權] 頁面的螢幕快照。](/zh-tw/defender/media/defender/atp-licensing-azure-portal.png)
或者,在系統管理中心中,流覽至 [帳單>訂閱]。
在畫面上,您會看到所有布建的授權及其目前的 狀態。
![Microsoft Azure 入口網站中 [帳單授權] 頁面的螢幕快照。](/zh-tw/defender/media/defender/atp-billing-subscriptions.png)
![Microsoft Defender 入口網站中 [Azure 授權] 頁面的螢幕快照。](/zh-tw/defender/media/defender/atp-licensing-azure-portal.png#lightbox)
![Microsoft Azure 入口網站中 [帳單授權] 頁面的螢幕快照。](/zh-tw/defender/media/defender/atp-billing-subscriptions.png#lightbox)
步驟 2:使用任何支援的管理工具將端點上線
確認授權狀態已正確布建之後,您可以開始將裝置上線至服務。
為了評估適用於端點的 Microsoft Defender,建議您選擇幾個要進行評估的 Windows 裝置。
您可以選擇使用任何支援的管理工具,但 Intune 提供最佳的整合。 如需詳細資訊, 請參閱在 Microsoft Intune 中設定適用於端點的 Microsoft Defender。
規劃部署主題概述部署適用於端點的Defender所需的一般步驟。
觀看這段影片以取得上線程式的快速概觀,並瞭解可用的工具和方法。
上線工具選項
下表根據您需要上線的端點,列出可用的工具。
| 端點 | 工具選項 |
|---|---|
| Windows | - 本機腳本 (最多10部裝置) - 組策略 - Microsoft Intune/ 行動裝置管理員 - Microsoft Endpoint Configuration Manager - VDI 腳本 |
| macOS | - 本機腳本 - Microsoft Intune - JAMF Pro - 行動裝置管理 |
| iOS | 以應用程式為基礎 |
| Android | Microsoft Intune |
當您試驗適用於端點的 Microsoft Defender 時,您可以選擇先將一些裝置上線至服務,再將整個組織上線。
然後,您可以試用可用的功能,例如執行攻擊模擬,並查看適用於端點的 Defender 如何呈現惡意活動,並讓您進行有效率的回應。
步驟 3:驗證試驗群組
完成啟用評估一節中所述的上線步驟之後,您應該會在大約一小時后看到裝置清查清單中的裝置。
當您看到已上線的裝置時,接著可以繼續試用功能。
步驟 4:試用功能
現在您已完成將某些裝置上線,並確認它們正在向服務回報,請嘗試立即可用的強大功能,以熟悉產品。
在試驗期間,您可以輕鬆地開始嘗試一些功能來查看產品運作情形,而不需要進行複雜的設定步驟。
讓我們從取出儀錶板開始。
檢視裝置清查
裝置清查可讓您在網路中看到端點、網路裝置和IoT裝置的清單。 它不僅能為您提供網路中裝置的檢視,還會提供您有關裝置的深入資訊,例如網域、風險層級、OS 平臺和其他詳細數據,讓您輕鬆識別風險最高的裝置。
檢視 Microsoft Defender 弱點管理儀錶板
Defender 弱點管理可協助您專注於對組織造成最緊急且最高風險的弱點。 從儀錶板,取得組織曝光分數、裝置的 Microsoft 安全分數、裝置曝光分佈、最高安全性建議、最易受攻擊的軟體、最高補救活動,以及最高公開裝置數據的高階檢視。
執行模擬
適用於端點的 Microsoft Defender 隨附可在試驗裝置上執行 的「自行執行」攻擊案例 。 每份檔都包含作業系統和應用程式需求,以及攻擊案例特定的詳細指示。 這些腳本安全、記載且易於使用。 這些案例將反映適用於端點的Defender功能,並逐步引導您完成調查體驗。
若要執行任何提供的模擬,您至少需要 一個已上線的裝置。
在 [說明>模擬 & 教學課程中,選取您想要模擬哪些可用的攻擊案例:
案例 1:檔卸除後門 檔 - 模擬社會工程設計之偽裝文件的傳遞。 檔會啟動特別製作的後門檔,讓攻擊者能夠控制。
案例 2:無檔案攻擊中的 PowerShell 腳本 - 模擬依賴 PowerShell 的無檔案攻擊、顯示受攻擊面縮小,以及惡意記憶體活動的裝置學習偵測。
案例 3:自動化事件回應 - 觸發自動化調查,自動搜捕和補救缺口成品,以調整您的事件回應容量。
下載並閱讀所選案例所提供的對應逐步解說檔。
流覽至> [說明模擬] & 教學課程,以下載模擬檔案或複製模擬腳本。 您可以選擇在測試裝置上下載檔案或腳本,但這不是必要的。
如逐步解說檔中的指示,在測試裝置上執行模擬檔案或腳本。
注意事項
模擬檔案或腳本會模擬攻擊活動,但實際上是良性的,而且不會傷害或危害測試裝置。
SIEM 整合
您可以整合適用於端點的 Defender 與 Microsoft Sentinel 或一般安全性資訊和事件管理 (SIEM) 服務,以啟用來自已連線應用程式的警示和活動的集中監視。 透過 Microsoft Sentinel,您可以更全面地分析整個組織的安全性事件,並建置劇本以獲得有效且立即的回應。
Microsoft Sentinel 包含適用於端點的 Defender 連接器。 如需詳細資訊,請參閱 適用於 Microsoft Sentinel 的適用於端點的 Microsoft Defender 連接器。
如需與一般 SIEM 系統整合的相關信息,請參閱 在適用於端點的 Microsoft Defender 中啟用 SIEM 整合。
下一步
將 適用於端點的 Defender 安全性作業指南 中的資訊併入您的 SecOps 程式中。
Microsoft Defender XDR 端對端部署的下一個步驟
使用試驗繼續進行 Microsoft Defender XDR 的端對端部署 ,並部署適用於雲端應用程式的 Microsoft Defender。
提示
想要深入了解? 在我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender XDR 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應