Freigeben über

Aktivieren der Defender for Endpoint-Integration

  • Artikel

Microsoft Defender for Cloud kann nativ in Microsoft Defender for Endpoint integriert werden, um die Funktionen von Defender for Endpoint und Microsoft Defender Vulnerability Management in Defender for Cloud bereitzustellen.

  • Wenn Sie den Defender for Servers-Plan in Defender for Cloud aktivieren, ist die Integration von Defender for Endpoint standardmäßig aktiviert.
  • Die Integration stellt automatisch den Defender for Endpoint-Agent auf Computern bereit.

In diesem Artikel wird beschrieben, wie Sie die Integration von Defender for Endpoint bei Bedarf manuell aktivieren.

Voraussetzungen

Anforderung Details
Windows-Unterstützung Vergewissern Sie sich, dass Windows-Computer von Defender for Endpoint unterstützt werden.
Linux-Unterstützung Für Linux-Server muss Python installiert sein. Python 3 wird für alle Distributionen empfohlen, ist aber für RHEL 8.x und Ubuntu 20.04 oder höher erforderlich.

Die automatische Bereitstellung des Defender for Endpoint-Sensors auf Linux-Computern funktioniert möglicherweise nicht wie erwartet, wenn Computer Dienste ausführen, die fanotify verwenden. Installieren Sie den Defender for Endpoint-Sensor auf diesen Computern manuell.
Virtuelle Azure-Computer Überprüfen Sie, ob VMs eine Verbindung mit dem Defender for Endpoint-Dienst herstellen können.

Wenn Computer keinen direkten Zugriff haben, müssen Proxyeinstellungen oder Firewallregeln den Zugriff auf Defender for Endpoint-URLs zulassen. Überprüfen Sie die Proxyeinstellungen für Windows- und Linux-Computer.
Lokale VMs Es wird empfohlen, lokale Computer als Azure Arc-fähige VMs aufzunehmen.

Wenn Sie lokale virtuelle Computer direkt integrieren, sind die Funktionen von Defender for Servers-Plan 1 verfügbar, die meisten Funktionen von Defender for Servers-Plan 2 funktionieren jedoch nicht.
Azure-Mandant Wenn Sie Ihr Abonnement zwischen Azure-Mandanten verschoben haben, sind auch einige manuelle Vorbereitungsschritte erforderlich. Wenden Sie sich an den Microsoft-Support, um weitere Informationen zu erhalten.
Windows Server 2016, 2012 R2 Im Gegensatz zu späteren Versionen von Windows Server, die im Lieferumfang des vorinstallierten Defender for Endpoint-Sensors enthalten sind, installiert Defender for Cloud den Sensor auf Computern mit Windows Server 2016/2012 R2 mithilfe der einheitlichen Defender for Endpoint-Lösung. Nachdem Sie einen Defender for Servers-Plan mit der Integration aktiviert haben, können Sie ihn nicht zurücksetzen. Auch wenn Sie den Plan deaktivieren und dann wiederverwenden können, wird die Integration erneut aktiviert.

Aktivieren für ein Abonnement

Die Integration von Defender for Endpoint ist standardmäßig aktiviert, wenn Sie einen Defender for Servers-Plan aktivieren. Wenn Sie die Integration von Defender for Endpoint in einem Abonnement deaktivieren, können Sie sie mithilfe dieser Anweisungen manuell aktivieren.

  1. Wählen Sie in Defender for Cloud Umgebungseinstellungen aus, und wählen Sie das Abonnement aus, das die Computer enthält, auf denen Sie die Integration von Defender for Endpoint bereitstellen möchten.

  2. Schalten Sie in Einstellungen und Überwachung>Endpunktschutz die Spalteneinstellungen Status auf Ein um.

    Screenshot der Umschaltfläche „Status“ zur Aktivierung von Microsoft Defender for Endpoint

  3. Klicken Sie auf Weiter und auf Speichern, um Ihre Einstellungen zu speichern.

  4. Der Defender for Endpoint-Sensor wird auf allen Windows- und Linux-Computern im ausgewählten Abonnement bereitgestellt.

    Diese Integration kann bis zu eine Stunde dauern. Auf Linux-Computern erkennt Defender for Cloud alle vorherigen Defender for Endpoint-Installationen und konfiguriert sie neu, um sie in Defender for Cloud zu integrieren.

Überprüfen der Installation auf Linux-Computern

Überprüfen Sie die Installation des Defender for Endpoint-Sensors auf einem Linux-Computer wie folgt:

  1. Führen Sie den folgenden Shellbefehl auf jedem Computer aus: mdatp health. Wenn Microsoft Defender für Endpunkt installiert ist, wird der entsprechende Integritätsstatus angezeigt:

    healthy : true

    licensed: true

  2. Darüber hinaus können Sie im Azure-Portal überprüfen, ob Linux-Computer über eine neue Azure-Erweiterung namens MDE.Linux verfügen.

Aktivieren der einheitlichen Defender for Endpoint-Lösung unter Windows Server 2016/2012 R2

Wenn Defender for Servers bereits aktiviert ist und die Integration von Defender for Endpoint in einem Abonnement aktiviert ist, können Sie die Integration der einheitlichen Lösung für Computer mit Windows Server 2016 oder Windows Server 2012 R2 im Abonnement manuell aktivieren.

  1. Wählen Sie in Defender for Cloud Umgebungseinstellungen und anschließend das Abonnement mit den Windows-Computern aus, für die Defender for Endpoint bereitgestellt werden soll.

  2. Wählen Sie in der Spalte für die Überwachungsabdeckung des Defender for Servers-Plans Einstellungen aus.

    Der Status der Endpoint Protections-Komponente lautet Partiell. Das bedeutet, dass nicht alle Teile der Komponente aktiviert sind.

  3. Wählen Sie Reparieren aus, um die Komponenten anzuzeigen, die nicht aktiviert sind.

    Screenshot der Schaltfläche „Reparieren“, mit der die Microsoft Defender for Endpoint-Unterstützung aktiviert wird

  4. Wählen Sie unter Fehlende Komponenten>Einheitliche Lösung die Option Aktivieren aus, um den Defender for Endpoint-Agent automatisch auf Windows Server 2012 R2- und 2016-Computern zu installieren, die mit Microsoft Defender for Cloud verbunden sind.

    Screenshot der Aktivierung der Verwendung der einheitlichen Defender for Endpoint-Lösung für Computer mit Windows Server 2012 R2 und 2016.

  5. Wählen Sie oben auf der Seite Speichern aus, um die Änderungen zu speichern. Wählen Sie auf der Seite Einstellungen und Überwachung die Option Fortfahren aus.

    Defender for Cloud integriert vorhandene und neue Computer in Defender for Endpoint.

    Das Onboarding kann bis zu zwölf Stunden dauern. Für neue Computer, die nach der Aktivierung der Integration erstellt wurden, dauert das Onboarding bis zu einer Stunde.

Aktivieren auf Linux-Computern (Plan/Integration aktiviert)

Wenn Defender for Servers bereits aktiviert ist und die Integration von Defender for Endpoint in einem Abonnement aktiviert ist, können Sie die Integration für Linux-Computer in einem Abonnement manuell aktivieren.

  1. Wählen Sie in Defender for Cloud Umgebungseinstellungen und anschließend das Abonnement mit den Linux-Computern aus, für die Defender für Endpunkt bereitgestellt werden soll.

  2. Klicken Sie in der Spalte Überwachungsabdeckung des Defender for Servers-Plans auf Einstellungen.

    Der Status der Komponente Endpunktschutz lautet Partiell. Das bedeutet, dass nicht alle Teile der Komponente aktiviert sind.

  3. Wählen Sie Reparieren aus, um die Komponenten anzuzeigen, die nicht aktiviert sind.

    Screenshot der Schaltfläche „Reparieren“, mit der die Microsoft Defender for Endpoint-Unterstützung aktiviert wird

  4. Wählen Sie unter Fehlende Komponenten>Linux-Computer die Option Aktivieren aus.

    Screenshot der Aktivierung der Integration zwischen Defender for Cloud und Microsoft Defender for Endpoint für Linux, der EDR-Lösung von Microsoft

  5. Wählen Sie oben auf der Seite Speichern aus, um die Änderungen zu speichern. Wählen Sie auf der Seite Einstellungen und Überwachung die Option Fortfahren aus.

    • Defender for Cloud integriert Linux-Computer in Defender for Endpoint.
    • Defender for Cloud erkennt alle vorherigen Defender for Endpoint-Installationen auf Linux-Computern und konfiguriert sie neu, um sie in Defender for Cloud zu integrieren.
    • Das Onboarding kann bis zu zwölf Stunden dauern. Für neue Computer, die nach der Aktivierung der Integration erstellt wurden, dauert das Onboarding bis zu einer Stunde.

  6. Wenn Sie die Defender for Endpoint-Sensorinstallation auf einem Linux-Computer überprüfen möchten, führen Sie auf jedem Computer den folgenden Shellbefehl aus:

    mdatp health

    Wenn Microsoft Defender für Endpunkt installiert ist, wird der entsprechende Integritätsstatus angezeigt:

    healthy : true

    licensed: true

  7. Im Azure-Portal können Sie überprüfen, ob Linux-Computer über eine neue Azure-Erweiterung namens MDE.Linux verfügen.

Hinweis

Das Aktivieren der Integration von Defender for Endpoint auf Linux-Computern ist eine einmalige Aktion. Wenn Sie den Plan deaktivieren und erneut aktivieren, bleibt die Integration aktiviert.

Aktivieren der Integration auf Linux in mehreren Abonnements

  1. Öffnen Sie in Defender for Cloud das Dashboard Workloadschutz.

  2. Überprüfen Sie im Dashboard den Erkenntnisbereich, um zu sehen, welche Abonnements und Ressourcen Defender for Endpoint nicht für Linux-Computer aktiviert haben.

    • Im Erkenntnisbereich werden Informationen zu Abonnements angezeigt, für die die Integration für Windows-Computer, aber nicht für Linux-Computer aktiviert ist.
    • Bei Abonnements ohne Linux-Computer werden keine betroffenen Ressourcen angezeigt.

  3. Wählen Sie im Erkenntnisbereich die Abonnements aus, für die die Integration von Defender for Endpoint für Linux-Computer aktiviert werden soll.

  4. Wählen Sie Aktivieren aus, um den Endpunktschutz für Linux-Computer zu aktivieren. Defender für Cloud:

    • Automatisches Onboarding von Linux-Computern in Defender for Endpoint in den ausgewählten Abonnements
    • Erkennen früherer Installationen von Defender for Endpoint und Neukonfiguration dieser mit Integration mit Defender for Cloud

Verwenden der Status-Arbeitsmappe zur Bereitstellung von Defender for Servers. In dieser Arbeitsmappe können Sie unter anderem den Installations- und Bereitstellungsstatus von Defender for Endpoint auf einem Linux-Computer überprüfen.

Verwalten automatischer Updates für Linux

In Windows werden Defender for Endpoint-Versionsupdates über fortlaufende Knowledge Base-Updates bereitgestellt. In Linux müssen Sie das Defender for Endpoint-Paket aktualisieren.

  • Wenn Sie Defender for Servers mit der Erweiterung MDE.Linux verwenden, sind automatische Updates für Microsoft Defender for Endpoint standardmäßig aktiviert.

  • Wenn Sie die Versionsupdates manuell verwalten möchten, können Sie automatische Updates auf Ihren Computern deaktivieren. Fügen Sie hierzu das folgende Tag für Computer hinzu, die mit der Erweiterung MDE.Linux integriert wurden.

    • Tagname: ExcludeMdeAutoUpdate
    • Tagwert: true

= Diese Konfiguration wird für Azure-VMs und Azure Arc-Computer unterstützt, auf denen die Erweiterung MDE.Linux die automatische Aktualisierung initiiert.

Aktivieren der Integration mit PowerShell in mehreren Abonnements

Verwenden Sie zum Aktivieren des Endpunktschutzes auf Linux-Computern und Windows-Computern mit Windows Server 2016/2012 R2 in mehreren Abonnements unser PowerShell-Skript aus dem Defender for Cloud-GitHub-Repository.

Integration im großen Stil aktivieren

Sie können die Defender for Endpoint-Integration über die mitgelieferte REST-API-Version 2022-05-01 aktivieren. Umfassende Details hierzu finden Sie in der API-Dokumentation.

Hier finden Sie ein Beispiel des Anforderungstexts für die PUT-Anforderung, um die Defender for Endpoint-Integration zu aktivieren:

URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Verfolgen des Defender for Endpoint-Bereitstellungsstatus

Sie können die Defender for Endpoint-Bereitstellungsstatus-Arbeitsmappe verwenden, um den Defender for Endpoint-Bereitstellungsstatus auf Ihren Azure-VMs und Azure Arc-fähigen VMs nachzuverfolgen. Die interaktive Arbeitsmappe bietet eine Übersicht über Computer in Ihrer Umgebung mit dem Bereitstellungsstatus der Microsoft Defender for Endpoint-Erweiterung.

Zugriff auf das Defender-Portal

  1. Vergewissern Sie sich, dass Sie über die richtigen Berechtigungen für den Zugriff auf das Portal verfügen.

  2. Überprüfen Sie, ob Sie einen Proxy oder eine Firewall einsetzen, der bzw. die anonymen Datenverkehr blockiert.

    • Der Sensor von Defender für den Endpunkt stellt eine Verbindung aus dem Systemkontext her, daher muss anonymer Datenverkehr zugelassen werden.
    • Um den ungehinderten Zugriff auf das Portal von Defender für den Endpunkt sicherzustellen, aktivieren Sie den Zugriff auf Dienst-URLs im Proxyserver.

  3. Öffnen Sie das Microsoft Defender-Portal. Erfahren Sie mehr über Microsoft Defender for Endpoint in Microsoft Defender XDR.

Senden einer Testbenachrichtigung von Defender for Endpoint

Wenn von Defender für Endpunkt eine harmlose Testwarnung generiert werden soll, wählen Sie die Registerkarte für das jeweilige Betriebssystem Ihres Endpunkts aus:

Testen unter Windows

Für Endpunkte unter Windows:

  1. Erstellen Sie einen Ordner „C:\test-MDATP-test“.

  2. Verwenden Sie Remotedesktop, um auf Ihren Computer zuzugreifen.

  3. Öffnen Sie ein Befehlszeilenfenster.

  4. Kopieren Sie an der Eingabeaufforderung den folgenden Befehl, und führen Sie ihn aus. Das Eingabeaufforderungsfenster wird automatisch geschlossen.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'

    Ein Eingabeaufforderungsfenster mit dem Befehl zum Generieren einer Testwarnung

    Wenn der Befehl erfolgreich ist, wird Ihnen eine neue Warnung auf dem Workloadschutzdashboard und im Microsoft Defender für Endpunkt-Portal angezeigt. Die Anzeige dieser Warnung kann einige Minuten dauern.

  5. Um die Warnung im Security Center zu überprüfen, navigieren Sie zu Sicherheitswarnungen>Verdächtige PowerShell-Befehlszeile.

  6. Wählen Sie im Untersuchungsfenster den Link aus, um zum Portal von Microsoft Defender für den Endpunkt zu navigieren.

    Tipp

    Die Warnung wird mit dem Schweregrad Info ausgelöst.

Testen unter Linux

Für Endpunkte unter Linux:

  1. Laden Sie unter https://aka.ms/LinuxDIY das Tool für Testwarnungen herunter.

  2. Extrahieren Sie den Inhalt der ZIP-Datei, und führen Sie das folgende Shell-Skript aus:

    ./mde_linux_edr_diy

    Wenn der Befehl erfolgreich ist, wird Ihnen eine neue Warnung auf dem Workloadschutzdashboard und im Microsoft Defender für Endpunkt-Portal angezeigt. Die Anzeige dieser Warnung kann einige Minuten dauern.

  3. Wenn Sie die Warnung im Security Center überprüfen möchten, navigieren Sie zu Sicherheitswarnungen>Auflistung von Dateien mit vertraulichen Daten (Enumeration of files with sensitive data).

  4. Wählen Sie im Untersuchungsfenster den Link aus, um zum Portal von Microsoft Defender für den Endpunkt zu navigieren.

    Tipp

    Die Warnung wird mit niedrigem Schweregrad ausgelöst.

Entfernen von Defender für Endpunkt von einem Computer

So entfernen Sie die Defender für Endpunkt-Lösung von Ihren Computern

  1. Um die Integration zu deaktivieren, wählen Sie in Defender for Cloud >Umgebungseinstellungen das Abonnement mit den relevanten Computern aus.
  2. Wählen Sie auf der Seite „Defender-Pläne“ die Option Einstellungen und Überwachung aus.
  3. Wählen Sie im Status der Endpunkt-Schutzkomponente Aus aus, um die Integration mit Microsoft Defender for Endpoint für das Abonnement zu deaktivieren.
  4. Klicken Sie auf Weiter und auf Speichern, um Ihre Einstellungen zu speichern.
  5. Entfernen Sie die MDE.Windows-/MDE.Linux-Erweiterung vom Computer.
  6. Offboarding des Geräts vom Microsoft Defender for Endpoint-Dienst.