Laitteiden perehdyttäminen virtaviivaistettua yhteyttä käyttämällä Microsoft Defender for Endpoint
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint -asiakasohjelma saattaa vaatia proxied-yhteyksien käyttöä asianmukaisiin pilvipalveluihin. Tässä artikkelissa kuvataan virtaviivaistettu laiteyhteysmenetelmä, edellytykset ja annetaan lisätietoja yhteyksien tarkistamisesta uusissa kohteissa.
Verkon määrityksen ja hallinnan yksinkertaistamiseksi voit nyt ottaa käyttöön uusia laitteita Defender for Endpointiin käyttämällä rajoitettua URL-joukkoa tai staattisia IP-alueita. Lisätietoja aiemmin perehdytetyistä laitteista on kohdassa Laitteiden siirtäminen virtaviivaistettuun yhteyteen.
Defender for Endpoint -tunnistettu yksinkertaistettu toimialue: *.endpoint.security.microsoft.com yhdistää yhdistettävyyden seuraavaan Ydin Defender for Endpoint -palveluihin:
- Pilvipalveluun toimitettu suojaus
- Haittaohjelmamallin lähetystallennustila
- Auto-IR-mallisäilö
- Defender for Endpoint -komento & ohjausobjekti
- Defender for Endpointin kyber- ja diagnostiikkatiedot
Lisätietoja ympäristön valmistelusta ja päivitetystä kohdeluettelosta on kohdassa VAIHE 1: Verkkoympäristön määrittäminen yhteyksien varmistamiseksi Defender for Endpoint -palveluun.
Jos haluat tukea verkkolaitteita ilman isäntänimen tarkkuutta tai yleismerkkitukea, voit myös määrittää yhteyden käyttämällä erillistä Defender for Endpointin staattisia IP-osoitealueita. Lisätietoja on kohdassa Yhteyksien määrittäminen staattisten IP-osoitealueiden avulla.
Huomautus
- Virtaviivaistettu yhteysmenetelmä ei muuta sitä, miten Microsoft Defender for Endpoint toimii laitteessa, eikä se muuta loppukäyttäjän käyttökokemusta. Vain URL-osoitteet tai URL-osoitteet, joita laite käyttää palveluun yhdistämiseen, muuttuvat.
- Tällä hetkellä ei ole suunnitelmaa vanhojen yhdistettyjen palvelun URL-osoitteiden käytöstä poistoon. Laitteet, joissa on vakioyhteys, toimivat edelleen. On tärkeää varmistaa, että liitettävyys
*.endpoint.security.microsoft.comon ja pysyy mahdollisena, sillä tulevat palvelut sitä edellyttävät. Tämä uusi URL-osoite sisältyy kaikkiin pakollisia URL-luetteloita. - Connections palveluun hyödyntävät varmenteen kiinnittymistä ja TLS:ää. Liikennettä ei voi katkaista ja tarkastaa. Lisäksi yhteydet aloitetaan laitteen kontekstista, ei käyttäjäkontekstista. Välityspalvelimen (käyttäjän) todennuksen pakottaminen estää (katkaista) yhteyden useimmissa tapauksissa.
Alkuvalmistelut
Laitteiden on täytettävä tietyt edellytykset, jotta defender for Endpointin virtaviivaistettua yhteysmenetelmää voidaan käyttää. Varmista, että edellytykset täyttyvät, ennen kuin jatkat perehdytystä.
Ennakkovaatimukset
Lisenssi:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defenderin haavoittuvuuksien hallinta
Pienin KB-päivitys (Windows)
- SENSE-versio: 10.8040.*/ 8. maaliskuuta 2022 tai uudempi (katso taulukko)
Microsoft Defender virustentorjuntaversiot (Windows)
-
Haittaohjelmien torjuntasovellus:
4.18.2211.5 -
Moottori:
1.1.19900.2 -
Virustentorjunta (suojaustiedot):
1.391.345.0
Defenderin virustentorjunta versiot (macOS/Linux)
- macOS:n tukemat versiot, joissa on MDE tuoteversio 101.24022.*+
- Linuxin tukemat versiot, joissa on MDE tuoteversio 101.24022.*+
Tuetut käyttöjärjestelmät
- Windows 10 versio 1809 tai uudempi versio. Windows 10 versioita 1607, 1703, 1709 ja 1803 tuetaan virtaviivaistetussa perehdytyspaketissa, mutta ne edellyttävät eri URL-luetteloa, katso virtaviivaistettu URL-taulukko
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 tai Windows Server 2016, täysin päivitetty suorittamalla Defender for Endpoint modern unified -ratkaisu (asennus MSI:n kautta).
- macOS:n tukemat versiot, joissa on MDE tuoteversio 101.24022.*+
- Linuxin tukemat versiot, joissa on MDE tuoteversio 101.24022.*+
Tärkeää
- MMA-agentissa käytettäviä laitteita ei tueta virtaviivaistetun yhteysmenetelmän avulla, ja niiden on käytettävä vakio-URL-joukkoa (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 ei ole päivitetty nykyaikaiseksi yhdistetyksi agentiksi).
- Windows Server 2012 R2 ja Server 2016 on päivitettävä yhdistetyksi agentiksi uuden menetelmän hyödyntämiseksi.
- Windows 10 1607, 1703, 1709, 1803 voivat hyödyntää uutta perehdytysvaihtoehtoa, mutta käyttävät pidempää luetteloa. Lisätietoja on virtaviivaistetun URL-taulukon ohjeaiheessa.
| Windows-käyttöjärjestelmä | Vaadittu pienin kilotavu (8. maaliskuuta 2022) |
|---|---|
| Windows 11 | KB5011493 (8. maaliskuuta 2022) |
| Windows 10 1809, Windows Server 2019 | KB5011503 (8. maaliskuuta 2022) |
| Windows 10 19H2 (1909) | KB5011485 (8. maaliskuuta 2022) |
| Windows 10 20H2, 21H2 | KB5011487 (8. maaliskuuta 2022) |
| Windows 10 22H2 | KB5020953 (28. lokakuuta 2022) |
| Windows 10 1803* | < palvelun päättyminen > |
| Windows 10 1709* | < palvelun päättyminen > |
| Windows Server 2022 | KB5011497 (8. maaliskuuta 2022) |
| Windows Server 2012 R2, 2016* | Yhdistetty agentti |
Virtaviivaistettu yhteysprosessi
Seuraavasta kuvasta näet virtaviivaistetun yhteysprosessin ja vastaavat vaiheet:
Vaihe 1. Verkkoympäristön määrittäminen pilviyhteyttä varten
Kun olet varmistanut, että edellytykset täyttyvät, varmista, että verkkoympäristösi on määritetty oikein tukemaan virtaviivaistettua yhteysmenetelmää. Varmista yhteys Defender for Endpoint -palveluun noudattamalla kohdassa Verkkoympäristön määrittäminen kuvattuja vaiheita.
Defender for Endpoint -palvelun URL-osoitteita, jotka on yhdistetty yksinkertaistettuun toimialueeseen, ei enää pitäisi tarvita yhteydessä. Jotkin URL-osoitteet eivät kuitenkaan sisälly konsolidointiin.
Virtaviivaistetun yhteyden avulla voit määrittää pilviyhteyden seuraavan vaihtoehdon avulla:
- Vaihtoehto 1: Yksinkertaistetun toimialueen käyttäminen
- Vaihtoehto 2: Staattisten IP-alueiden käyttäminen
Vaihtoehto 1: Yhteyden määrittäminen yksinkertaistetun toimialueen avulla
Määritä ympäristö sallimaan yhteydet yksinkertaistettuun Defender for Endpoint -toimialueeseen: *.endpoint.security.microsoft.com. Lisätietoja on artikkelissa Verkkoympäristön määrittäminen yhteyksien varmistamiseksi Defender for Endpoint -palveluun.
Sinun on ylläpidettävä yhteyttä jäljellä olevissa vaadituissa palveluissa, jotka on lueteltu päivitetyssä luettelossa. Esimerkiksi sertifioinnin kumoamisluettelon Windows Update SmartScreen-palveluiden on ehkä oltava käytettävissä nykyisestä verkkoinfrastruktuuristasi ja korjausmenetelmästäsi riippuen.
Vaihtoehto 2: Yhteyksien määrittäminen staattisten IP-osoitealueiden avulla
Virtaviivaistetun liitettävyyden ansiosta IP-pohjaisia ratkaisuja voidaan käyttää vaihtoehtona URL-osoitteille. Nämä IP:t kattavat seuraavat palvelut:
- KARTAT
- Haittaohjelmamallin lähetystallennustila
- Auto-IR-mallisäilö
- Defender for Endpoint Command and Control
Tärkeää
EDR Cyber Data Service (OneDsCollector) on määritettävä erikseen, jos käytät IP-menetelmää (tämä palvelu yhdistetään vain URL-tasolla). Sinun on myös ylläpidettävä yhteyttä muihin vaadittuihin palveluihin, kuten SmartScreeniin, CRL:hen, Windows Update ja muihin palveluihin.
Jotta voit pysyä ajan tasalla IP-osoitealueista, on suositeltavaa viitata seuraaviin Microsoft Defender for Endpoint palveluiden Azure-palvelutunnisteisiin. Uusimmat IP-alueet löytyvät palvelutunnisteesta. Lisätietoja on kohdassa Azuren IP-alueet.
| Palvelutunnisteen nimi | Defender for Endpoint -palvelut sisältyvät |
|---|---|
| MicrosoftDefenderForEndpoint | Pilvipalveluun toimitettu suojaus, haittaohjelmamallin lähetystallennustila, auto-IR-mallitallennustila, Defender for Endpoint -komento ja hallinta. |
| OneDsCollector | Defender for Endpointin kyber- ja diagnostiikkatiedot Huomautus: Tämän palvelutunnisteen alla oleva liikenne ei rajoitu Defender for Endpointiin, ja se voi sisältää muiden Microsoft-palveluiden diagnostiikkatietoliikenteen. |
Seuraavassa taulukossa on luettelo nykyisistä staattisista IP-alueista, joita MicrosoftDefenderForEndpoint-palvelutunniste koskee. Katso uusin luettelo Azure-palvelutunnisteiden dokumentaatiosta .
| Geo | IP-alueet |
|---|---|
| US | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| EU | 4.208.13.0/24 20.8.195.0/24 |
| BRITANNIA | 20.26.63.224/28 20.254.173.48/28 |
| AU | 68.218.120.64/28 20.211.228.80/28 |
Tärkeää
Defender for Endpointin suojaus- ja yhteensopivuusstandardien mukaisesti tiedot käsitellään ja tallennetaan vuokraajasi fyysisen sijainnin mukaisesti. Asiakassijainnin perusteella liikenne voi kulkea minkä tahansa näiden IP-alueiden läpi (jotka vastaavat Azuren palvelinkeskusalueita). Lisätietoja on kohdassa Tietojen tallennus ja tietosuoja.
Vaihe 2. Määritä laitteet muodostamaan yhteys Defender for Endpoint -palveluun
Määritä laitteet kommunikoimaan yhteysinfrastruktuurin kautta. Varmista, että laitteet täyttävät edellytykset ja että niillä on päivitetyt tunnistin- ja Microsoft Defender virustentorjuntaversiot. Lisätietoja on kohdassa Laitteen välityspalvelimen ja Internet-yhteyden asetusten määrittäminen .
Vaihe 3. Tarkista asiakasyhteyden esiasennus
Lisätietoja on kohdassa Asiakasyhteyden tarkistaminen.
Seuraavat esikäsittelytarkistukset voidaan suorittaa sekä Windowsissa että Xplat MDE Client Analyzerissa: Lataa Microsoft Defender for Endpoint asiakasanalysaattori.
Jos haluat testata virtaviivaistettua yhteyttä laitteille, joita ei ole vielä otettu käyttöön Defender for Endpointissa, voit käyttää Client Analyzer for Windowsia seuraavien komentojen avulla:
Suorita
mdeclientanalyzer.cmd -o <path to cmd file>MDEClientAnalyzer-kansiosta. Komento käyttää perehdytyspaketin parametreja yhteyksien testaamiseen.Suorita
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>, jossa parametri on GW_US, GW_EU GW_UK. GW tarkoittaa virtaviivaistettua vaihtoehtoa. Suorita soveltuvalla vuokraajan maantieteellisellä sijaintipalvelulla.
Lisätarkistuksena voit myös käyttää asiakasanalysaattoria sen testaamiseen, täyttääkö laite edellytykset: https://aka.ms/MDEClientAnalyzerPreview
Huomautus
Jos laite ei ole vielä otettu käyttöön Defender for Endpointissa, asiakasanalysaattori testaa vakio-URL-osoitteita vastaan. Jos haluat testata virtaviivaistetun lähestymistavan, sinun on suoritettava tässä artikkelissa aiemmin luetellut valitsimet.
Vaihe 4. Ota käyttöön uusi perehdytyspaketti, jota tarvitaan virtaviivaistettuun yhteyteen
Kun olet määrittänyt verkon vaihtamaan tietoja täyden palveluluettelon kanssa, voit aloittaa laitteiden käyttöönoton virtaviivaistetun menetelmän avulla.
Varmista ennen jatkamista, että laitteet täyttävät edellytykset ja että ne ovat päivittäneet tunnistimen ja Microsoft Defender virustentorjuntaversiot.
Saat uuden paketin valitsemalla Microsoft Defender XDR Asetukset > Päätepisteet > Laitteiden hallinnan> perehdytys.
Valitse haluamasi käyttöjärjestelmä ja valitse avattavasta Yhteystyyppi-valikosta Virtaviivaistettu.
Jos tätä menetelmää tuetaan uusissa laitteissa (joita ei ole otettu käyttöön Defender for Endpointissa), noudata edellisten osioiden käyttöönottovaiheita käyttämällä päivitettyä perehdytetyssä paketissa haluamallasi käyttöönottomenetelmällä:
- Windows-asiakasohjelma laivalla
- Windows Server -laivalla
- Muiden kuin Windows-laitteiden käyttöönotto
- Suorita tunnistustesti laitteessa varmistaaksesi, että se on otettu oikein käyttöön Microsoft Defender for Endpoint
- Jätä pois laitteet olemassa olevista perehdytyskäytännöistä, jotka käyttävät tavallista perehdytyspakettia.
Lisätietoja laitteiden siirtämisestä Defender for Endpointiin on kohdassa Laitteiden siirtäminen virtaviivaistettuun yhteyteen. Sinun on käynnistettävä laite uudelleen ja noudatettava erityisiä ohjeita täällä.