Pålastingsenheter som bruker strømlinjeformet tilkobling for Microsoft Defender for endepunkt
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Defender for Endpoint-klienten kan kreve bruk av utsatte tilkoblinger til relevante skytjenester. Denne artikkelen beskriver metoden for strømlinjeformet enhetstilkobling, forutsetningene og gir tilleggsinformasjon for å bekrefte tilkoblingen ved hjelp av de nye destinasjonene.
For å forenkle nettverkskonfigurasjon og administrasjon har du nå muligheten til å pålaste nye enheter til Defender for Endpoint ved hjelp av et redusert nettadressesett eller statiske IP-områder. Hvis du vil ha mer informasjon om overføring av tidligere innebygde enheter, kan du se Overføre enheter til strømlinjeformet tilkobling.
Defender for endepunktanerkjent forenklet domene: *.endpoint.security.microsoft.com konsoliderer tilkobling til følgende kjernetjenester for Defender for Endpoint:
- Skybasert beskyttelse
- Lagringsplass for eksempel på innsending av skadelig programvare
- Auto-IR-eksempellagring
- Kommandoen Defender for endepunkt & kontroll
- Defender for nett- og diagnosedata for endepunkt
Hvis du vil ha mer informasjon om hvordan du klargjør miljøet og den oppdaterte listen over mål, kan du se TRINN 1: Konfigurere nettverksmiljøet for å sikre tilkobling til Defender for Endpoint-tjenesten.
Hvis du vil støtte nettverksenheter uten vertsnavnoppløsning eller jokertegnstøtte, kan du alternativt konfigurere tilkobling ved hjelp av dedikerte statiske IP-områder for Defender for Endpoint. Hvis du vil ha mer informasjon, kan du se Konfigurere tilkobling ved hjelp av statiske IP-områder.
Obs!
- Den strømlinjeformede tilkoblingsmetoden endrer ikke hvordan Microsoft Defender for endepunkt fungerer på en enhet, og den vil heller ikke endre sluttbrukeropplevelsen. Bare nettadressene eller IP-ene som en enhet bruker til å koble til tjenesten, endres.
- Det finnes for øyeblikket ingen plan for å avskrive de gamle, konsoliderte url-adressene for tjenesten. Enheter som er pålastet med «standard»-tilkobling, fortsetter å fungere. Det er viktig å sikre at tilkoblingen
*.endpoint.security.microsoft.comer og forblir mulig, da fremtidige tjenester vil kreve det. Denne nye URL-adressen er inkludert i alle nødvendige URL-adresselister. - Connections til tjenesten dra nytte av sertifikat festing og TLS. Det støttes ikke for å «bryte og inspisere» trafikk. I tillegg startes tilkoblinger fra en enhetskontekst, ikke en brukerkontekst. Aktivering av proxy-godkjenning (bruker) vil i de fleste tilfeller ikke tillate tilkobling til (brudd).
Før du starter
Enheter må oppfylle bestemte forutsetninger for å bruke den strømlinjeformede tilkoblingsmetoden for Defender for Endpoint. Sørg for at forutsetningene er oppfylt før du fortsetter med pålasting.
Forutsetninger
Lisens:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender for Business
- Håndtering av trusler og sikkerhetsproblemer i Microsoft Defender
Minimum KB-oppdatering (Windows)
- SENSE-versjon: 10.8040.*/ 8. mars 2022 eller nyere (se tabell)
Microsoft Defender Antivirusversjoner (Windows)
-
Klient for beskyttelse mot skadelig programvare:
4.18.2211.5 -
Motor:
1.1.19900.2 -
Antivirus (sikkerhetsintelligens):
1.391.345.0
Defender Antivirus versjoner (macOS/Linux)
- macOS-støttede versjoner med MDE produktversjon 101.24022.*+
- Linux-støttede versjoner med MDE produktversjon 101.24022.*+
Operativsystemer som støttes
- Windows 10 versjon 1809 eller nyere. Windows 10 versjoner 1607, 1703, 1709, 1803 støttes på den strømlinjeformede pålastingspakken, men krever en annen nettadresseliste, se strømlinjeformet nettadresseark
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 eller Windows Server 2016, fullstendig oppdatert kjører Defender for Endpoint moderne enhetlig løsning (installasjon gjennom MSI).
- macOS-støttede versjoner med MDE produktversjon 101.24022.*+
- Linux-støttede versjoner med MDE produktversjon 101.24022.*+
Viktig
- Enheter som kjører på MMA-agent, støttes ikke på den strømlinjeformede tilkoblingsmetoden, og må fortsette å bruke standard nettadressesett (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 ikke oppgradert til moderne enhetlig agent).
- Windows Server 2012 R2 og Server 2016 må oppgradere til enhetlig agent for å dra nytte av den nye metoden.
- Windows 10 1607, 1703, 1709, 1803 kan dra nytte av det nye pålastingsalternativet, men vil bruke en lengre liste. Hvis du vil ha mer informasjon, kan du se det strømlinjeformede nettadressearket.
| Windows OS | Minimum kb obligatorisk (8. mars 2022) |
|---|---|
| Windows 11 | KB5011493 (8. mars 2022) |
| Windows 10 1809, Windows Server 2019 | KB5011503 (8. mars 2022) |
| Windows 10 19H2 (1909) | KB5011485 (8. mars 2022) |
| Windows 10 20H2, 21H2 | KB5011487 (8. mars 2022) |
| Windows 10 22H2 | KB5020953 (28. oktober 2022) |
| Windows 10 1803* | < slutt på tjenesten > |
| Windows 10 1709* | < slutt på tjenesten > |
| Windows Server 2022 | KB5011497 (8. mars 2022) |
| Windows Server 2012 R2, 2016* | Enhetlig agent |
Strømlinjeformet tilkoblingsprosess
Illustrasjonen nedenfor viser den strømlinjeformede tilkoblingsprosessen og tilsvarende faser:
Trinn 1. Konfigurer nettverksmiljøet for skytilkobling
Når du bekrefter at forutsetningene er oppfylt, må du sørge for at nettverksmiljøet er riktig konfigurert for å støtte den strømlinjeformede tilkoblingsmetoden. Følg trinnene som er beskrevet i Konfigurer nettverksmiljøet for å sikre tilkobling med Defender for Endpoint-tjenesten.
Url-adresser for Defender for Endpoint-tjenesten som er konsolidert under forenklet domene, må ikke lenger være nødvendig for tilkobling. Noen nettadresser er imidlertid ikke inkludert i konsolideringen.
Strømlinjeformet tilkobling lar deg bruke følgende alternativ for å konfigurere skytilkobling:
Alternativ 1: Konfigurere tilkobling ved hjelp av det forenklede domenet
Konfigurer miljøet til å tillate tilkoblinger til det forenklede Defender for Endpoint-domenet: *.endpoint.security.microsoft.com. Hvis du vil ha mer informasjon, kan du se Konfigurere nettverksmiljøet for å sikre tilkobling med Defender for Endpoint-tjenesten.
Du må opprettholde tilkoblingen med gjenstående nødvendige tjenester som er oppført under den oppdaterte listen. For eksempel kan det hende at sertifiseringsopphevelseslisten, Windows Update, SmartScreen-tjenester også må være tilgjengelig avhengig av gjeldende nettverksinfrastruktur og oppdateringstilnærming.
Alternativ 2: Konfigurere tilkobling ved hjelp av statiske IP-områder
Med strømlinjeformet tilkobling kan IP-baserte løsninger brukes som et alternativ til nettadresser. Disse IP-ene dekker følgende tjenester:
- KART
- Lagringsplass for eksempel på innsending av skadelig programvare
- Automatisk IR-eksempellagring
- Kommando og kontroll for Defender for endepunkt
Viktig
EDR Cyber data service (OneDsCollector) må konfigureres separat hvis du bruker IP-metoden (denne tjenesten er bare konsolidert på et NETT-nivå). Du må også opprettholde tilkoblingen til andre nødvendige tjenester, inkludert SmartScreen, CRL, Windows Update og andre tjenester.
For å holde deg oppdatert på IP-områder, anbefales det å referere til følgende Azure-tjenestekoder for Microsoft Defender for endepunkt tjenester. De nyeste IP-områdene finnes i tjenestekoden. Hvis du vil ha mer informasjon, kan du se Azure IP-områder.
| Navn på tjenestekode | Defender for endepunkttjenester inkludert |
|---|---|
| MicrosoftDefenderForEndpoint | Skybasert beskyttelse, lagringsplass for eksempel på innsending av skadelig programvare, auto-IR-eksempellagring, Defender for endepunkt-kommando og -kontroll. |
| OneDsCollector | Defender for nett- og diagnosedata for endepunkt Obs! Trafikken under denne tjenestekoden er ikke begrenset til Defender for Endpoint og kan inkludere diagnosedatatrafikk for andre Microsoft-tjenester. |
Tabellen nedenfor viser gjeldende statiske IP-områder som dekkes av MicrosoftDefenderForEndpoint-tjenestekoden. Hvis du vil ha den nyeste listen, kan du se dokumentasjonen for Azure-tjenestekoder .
| Geo | IP-områder |
|---|---|
| OSS | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| EU | 4.208.13.0/24 20.8.195.0/24 |
| STORBRITANNIA | 20.26.63.224/28 20.254.173.48/28 |
| AU | 68.218.120.64/28 20.211.228.80/28 |
Viktig
I samsvar med Defender for sikkerhets- og samsvarsstandarder for endepunkt, behandles og lagres dataene i samsvar med leierens fysiske plassering. Basert på klientplassering kan trafikken flyte gjennom noen av disse IP-områdene (som tilsvarer Azure-datasenterområder). Hvis du vil ha mer informasjon, kan du se Datalagring og personvern.
Trinn 2. Konfigurer enhetene til å koble til Defender for Endpoint-tjenesten
Konfigurer enheter til å kommunisere gjennom tilkoblingsinfrastrukturen. Sørg for at enhetene oppfyller forutsetningene og har oppdatert sensor- og Microsoft Defender Antivirus-versjoner. Hvis du vil ha mer informasjon, kan du se Konfigurere innstillinger for enhetsproxy og Internett-tilkobling .
Trinn 3. Bekreft forhåndsinnlasting av klienttilkobling
Hvis du vil ha mer informasjon, kan du se Kontrollere klienttilkobling.
Følgende forhåndsinnlastingskontroller kan kjøres på både Windows og Xplat MDE Client Analyzer: Last ned Microsoft Defender for endepunkt klientanalyse.
Hvis du vil teste strømlinjeformet tilkobling for enheter som ennå ikke er innebygd i Defender for Endpoint, kan du bruke Klientanalyse for Windows ved hjelp av følgende kommandoer:
Kjør
mdeclientanalyzer.cmd -o <path to cmd file>fra MDEClientAnalyzer-mappen. Kommandoen bruker parametere fra pålastingspakken til å teste tilkoblingen.Kjør
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>, der parameteren er av GW_US, GW_EU GW_UK. GW refererer til det strømlinjeformede alternativet. Kjør med gjeldende geo-leier.
Som en ekstra kontroll kan du også bruke klientanalysen til å teste om en enhet oppfyller forutsetninger: https://aka.ms/MDEClientAnalyzerPreview
Obs!
Klientanalyse tester mot standardsett med nettadresser for enheter som ennå ikke er koblet til Defender for endepunkt. Hvis du vil teste den strømlinjeformede tilnærmingen, må du kjøre med bryterne som er oppført tidligere i denne artikkelen.
Trinn 4. Bruk den nye pålastingspakken som kreves for strømlinjeformet tilkobling
Når du konfigurerer nettverket til å kommunisere med den fullstendige listen over tjenester, kan du begynne pålastingsenheter ved hjelp av den strømlinjeformede metoden.
Bekreft at enhetene oppfyller forutsetningene før du fortsetter, og har oppdatert sensor- og Microsoft Defender Antivirus-versjoner.
Hvis du vil hente den nye pakken, velger du Pålasting for enhetsbehandling >> for innstillinger >i Microsoft Defender XDR.
Velg det aktuelle operativsystemet, og velg «Strømlinjeformet» fra rullegardinmenyen tilkoblingstype.
For nye enheter (ikke innebygd i Defender for endepunkt) som støttes under denne metoden, følger du pålastingstrinn fra tidligere inndelinger ved hjelp av den oppdaterte innebygde pakken med den foretrukne distribusjonsmetoden:
- Innebygd Windows-klient
- Windows Server på bord
- Innebygde enheter som ikke er Windows-enheter
- Kjør en gjenkjenningstest på en enhet for å bekrefte at den er riktig pålastet for å Microsoft Defender for endepunkt
- Utelat enheter fra eksisterende pålastingspolicyer som bruker standard pålastingspakke.
Hvis du vil overføre enheter som allerede er koblet til Defender for endepunkt, kan du se Overføre enheter til den strømlinjeformede tilkoblingen. Du må starte enheten på nytt og følge spesifikk veiledning her.