Delen via


De integratie van Defender voor Eindpunt inschakelen

Microsoft Defender voor Cloud integratie met Microsoft Defender voor Eindpunt biedt een cloudoplossing voor eindpuntbeveiliging die een breed scala aan functies biedt. De integratie biedt beheer en evaluatie van beveiligingsproblemen op basis van risico's, waarmee u beveiligingsproblemen kunt identificeren en prioriteren die moeten worden aangepakt. De oplossing omvat ook kwetsbaarheid voor aanvallen verminderen, waarmee het kwetsbaarheid voor aanvallen van eindpunten wordt geminimaliseerd, evenals gedrags- en cloudbeveiliging om bedreigingen te detecteren en erop te reageren. Daarnaast biedt Microsoft Defender voor Eindpunt eindpuntdetectie en -respons (EDR), automatisch onderzoek en herstel, en beheerde opsporingsservices om organisaties te helpen snel beveiligingsincidenten te detecteren, onderzoeken en erop te reageren.

Vereisten

Voordat u de Microsoft Defender voor Eindpunt-integratie met Defender voor Cloud kunt inschakelen, moet u controleren of uw computer voldoet aan de vereiste vereisten voor Defender voor Eindpunt:

  • Zorg ervoor dat de machine is verbonden met Azure en internet, indien nodig:

    • Virtuele Azure-machines (Windows of Linux): configureer de netwerkinstellingen die worden beschreven in het configureren van apparaatproxy- en internetverbindingsinstellingen: Windows of Linux.

    • On-premises machines : verbind uw doelmachines met Azure Arc, zoals wordt uitgelegd in Hybride machines verbinden met servers met Azure Arc.

  • Schakel Microsoft Defender voor Servers in. Zie quickstart: verbeterde beveiligingsfuncties van Defender voor Cloud inschakelen.

    Belangrijk

    de integratie van Defender voor Cloud met Microsoft Defender voor Eindpunt is standaard ingeschakeld. Wanneer u verbeterde beveiligingsfuncties inschakelt, geeft u dus toestemming voor Microsoft Defender voor Servers om toegang te krijgen tot de Microsoft Defender voor Eindpunt gegevens met betrekking tot beveiligingsproblemen, geïnstalleerde software en waarschuwingen voor uw eindpunten.

  • Voor Windows-servers moet u ervoor zorgen dat uw servers voldoen aan de vereisten voor onboarding Microsoft Defender voor Eindpunt.

  • Voor Linux-servers moet Python zijn geïnstalleerd. Python 3 wordt aanbevolen voor alle distributies, maar is vereist voor RHEL 8.x en Ubuntu 20.04 of hoger. Zie, indien nodig, stapsgewijze instructies voor het installeren van Python in Linux.

  • Als u uw abonnement hebt verplaatst tussen Azure-tenants, zijn er ook handmatige voorbereidende stappen vereist. Neem contact op met Microsoft Ondersteuning voor meer informatie.

De integratie inschakelen

Windows

De geïntegreerde oplossing defender voor eindpunt gebruikt of vereist geen installatie van de Log Analytics-agent. De geïntegreerde oplossing wordt automatisch geïmplementeerd voor Azure Windows 2012 R2- en 2016-servers, Windows-servers die zijn verbonden via Azure Arc en Windows-servers met meerdere clouds die zijn verbonden via de connectors voor meerdere clouds.

U implementeert Defender voor Eindpunt op uw Windows-computers op twee manieren, afhankelijk van of u deze al op uw Windows-computers hebt geïmplementeerd:

Gebruikers waarvoor Defender for Servers is ingeschakeld en Microsoft Defender voor Eindpunt geïmplementeerd

Als u de integratie met Defender voor Eindpunt al hebt ingeschakeld, hebt u volledige controle over wanneer en of u de geïntegreerde Defender for Endpoint-oplossing op uw Windows-computers wilt implementeren.

Als u de geïntegreerde oplossing Defender voor Eindpunt wilt implementeren, moet u de REST API-aanroep of de Azure-portal gebruiken:

  1. Selecteer in het menu van Defender voor Cloud omgevingsinstellingen en selecteer het abonnement met de Windows-computers die u Defender voor Eindpunt wilt ontvangen.

  2. Selecteer Instellingen in de kolom Bewakingsdekking van het Defender for Servers-plan.

    De status van het onderdeel Endpoint Protections is Gedeeltelijk, wat betekent dat niet alle onderdelen van het onderdeel zijn ingeschakeld.

    Notitie

    Als de status Uitgeschakeld is, gebruikt u de instructies in gebruikers die de integratie nooit hebben ingeschakeld met Microsoft Defender voor Eindpunt voor Windows.

  3. Selecteer Herstellen om de onderdelen weer te geven die niet zijn ingeschakeld.

    Schermopname van de knop Fix waarmee Microsoft Defender voor Eindpunt ondersteuning wordt ingeschakeld.

  4. Als u de geïntegreerde oplossing voor Windows Server 2012 R2- en 2016-computers wilt inschakelen, selecteert u Inschakelen.

    Schermopname van het inschakelen van het gebruik van de geïntegreerde Defender for Endpoint-oplossing voor Windows Server 2012 R2- en 2016-computers.

  5. Als u de wijzigingen wilt opslaan, selecteert u Opslaan boven aan de pagina en selecteert u Doorgaan op de pagina Instellingen en bewaking.

Microsoft Defender voor Cloud:

  • Stop het bestaande Defender for Endpoint-proces in de Log Analytics-agent die gegevens verzamelt voor Defender voor Servers.
  • Installeer de geïntegreerde Defender voor Eindpunt-oplossing voor alle bestaande en nieuwe Windows Server 2012 R2- en 2016-computers.

Microsoft Defender voor Cloud onboardt uw machines automatisch naar Microsoft Defender voor Eindpunt. Onboarding kan tot 12 uur duren. Voor nieuwe machines die zijn gemaakt nadat de integratie is ingeschakeld, duurt onboarding maximaal een uur.

Notitie

Als u ervoor kiest om de geïntegreerde Defender for Endpoint-oplossing niet te implementeren op uw Windows 2012 R2- en 2016-servers in Defender for Servers Plan 2 en vervolgens Defender for Servers te downgraden naar Abonnement 1, wordt de geïntegreerde oplossing Defender for Endpoint niet geïmplementeerd op die servers, zodat uw bestaande implementatie niet wordt gewijzigd zonder uw expliciete toestemming.

Gebruikers die de integratie met Microsoft Defender voor Eindpunt voor Windows nooit hebben ingeschakeld

Als u de integratie voor Windows nog nooit hebt ingeschakeld, schakelt Endpoint Protection Defender voor Cloud in om Defender voor Eindpunt te implementeren op zowel uw Windows- als Linux-computers.

Als u de geïntegreerde defender voor Eindpunt-oplossing wilt implementeren, moet u de REST API-aanroep of de Azure-portal gebruiken:

  1. Selecteer in het menu van Defender voor Cloud omgevingsinstellingen en selecteer het abonnement met de computers die u Defender voor Eindpunt wilt ontvangen.

  2. Selecteer In de status van het onderdeel Endpoint Protection de optie Aan om de integratie met Microsoft Defender voor Eindpunt in te schakelen.

    Schermopname van de wisselknop Status waarmee Microsoft Defender voor Eindpunt wordt ingeschakeld.

De geïntegreerde oplossing defender voor eindpuntagent wordt geïmplementeerd op alle machines in het geselecteerde abonnement.

Linux

U implementeert Defender voor Eindpunt op uw Linux-machines op een van deze manieren, afhankelijk van of u deze al op uw Windows-computers hebt geïmplementeerd:

Notitie

Wanneer u automatische implementatie inschakelt, wordt de installatie van Defender voor Eindpunt voor Linux afgebroken op computers met bestaande actieve services met behulp van fanotify en andere services die er ook voor kunnen zorgen dat Defender voor Eindpunt defect raakt of mogelijk wordt beïnvloed door Defender voor Eindpunt, zoals beveiligingsservices. Nadat u mogelijke compatibiliteitsproblemen hebt gevalideerd, wordt u aangeraden Defender voor Eindpunt handmatig op deze servers te installeren.

Bestaande gebruikers met verbeterde beveiligingsfuncties van Defender voor Cloud ingeschakeld en Microsoft Defender voor Eindpunt voor Windows

Als u de integratie met Defender voor Eindpunt voor Windows al hebt ingeschakeld, hebt u volledige controle over wanneer en of u Defender voor Eindpunt wilt implementeren op uw Linux-machines .

  1. Selecteer in het menu van Defender voor Cloud omgevingsinstellingen en selecteer het abonnement met de Linux-machines die u Defender voor Eindpunt wilt ontvangen.

  2. Selecteer Instellingen in de kolom Bewakingsdekking van het Defender for Server-plan.

    De status van het onderdeel Endpoint Protections is Gedeeltelijk, wat betekent dat niet alle onderdelen van het onderdeel zijn ingeschakeld.

    Notitie

    Als de status Uitgeschakeld niet is geselecteerd, gebruikt u de instructies in Gebruikers die de integratie met Microsoft Defender voor Eindpunt voor Windows nooit hebben ingeschakeld.

  3. Selecteer Herstellen om de onderdelen weer te geven die niet zijn ingeschakeld.

    Schermopname van de knop Fix waarmee Microsoft Defender voor Eindpunt ondersteuning wordt ingeschakeld.

  4. Als u implementatie naar Linux-machines wilt inschakelen, selecteert u Inschakelen.

    Schermopname van het inschakelen van de integratie tussen Defender voor Cloud en de EDR-oplossing van Microsoft, Microsoft Defender voor Eindpunt voor Linux.

  5. Als u de wijzigingen wilt opslaan, selecteert u Opslaan boven aan de pagina en selecteert u Doorgaan op de pagina Instellingen en bewaking.

    Microsoft Defender voor Cloud:

    • Automatisch onboarden van uw Linux-machines naar Defender voor Eindpunt
    • Detecteer eventuele eerdere installaties van Defender voor Eindpunt en configureer deze opnieuw om te integreren met Defender voor Cloud

    Microsoft Defender voor Cloud onboardt uw machines automatisch naar Microsoft Defender voor Eindpunt. Onboarding kan tot 12 uur duren. Voor nieuwe machines die zijn gemaakt nadat de integratie is ingeschakeld, duurt onboarding maximaal een uur.

    Notitie

    De volgende keer dat u terugkeert naar deze pagina van Azure Portal, wordt de knop Inschakelen voor Linux-machines niet weergegeven. Als u de integratie voor Linux wilt uitschakelen, moet u deze ook voor Windows uitschakelen door de wisselknop in Endpoint Protection in te schakelen en Doorgaan te selecteren.

  6. Als u de installatie van Defender voor Eindpunt op een Linux-computer wilt controleren, voert u de volgende shell-opdracht uit op uw computers:

    mdatp health

    Als Microsoft Defender voor Eindpunt is geïnstalleerd, ziet u de status:

    healthy : true

    licensed: true

    In Azure Portal ziet u ook een nieuwe Azure-extensie op uw computers met de naam MDE.Linux.

Nieuwe gebruikers die de integratie nooit hebben ingeschakeld met Microsoft Defender voor Eindpunt voor Windows

Als u de integratie voor Windows nog nooit hebt ingeschakeld, schakelt Endpoint Protection Defender voor Cloud in om Defender voor Eindpunt te implementeren op zowel uw Windows- als Linux-computers.

  1. Selecteer in het menu van Defender voor Cloud omgevingsinstellingen en selecteer het abonnement met de Linux-machines die u Defender voor Eindpunt wilt ontvangen.

  2. Selecteer Instellingen in de kolom Bewakingsdekking van het Defender for Server-plan.

  3. Selecteer In de status van het onderdeel Endpoint Protection de optie Aan om de integratie met Microsoft Defender voor Eindpunt in te schakelen.

    Schermopname van de wisselknop Status waarmee Microsoft Defender voor Eindpunt wordt ingeschakeld.

    Microsoft Defender voor Cloud:

    • Automatisch onboarden van uw Windows- en Linux-machines naar Defender voor Eindpunt
    • Detecteer eventuele eerdere installaties van Defender voor Eindpunt en configureer deze opnieuw om te integreren met Defender voor Cloud

    Onboarding kan maximaal 1 uur duren.

  4. Selecteer Doorgaan en Opslaan om uw instellingen op te slaan.

  5. Als u de installatie van Defender voor Eindpunt op een Linux-computer wilt controleren, voert u de volgende shell-opdracht uit op uw computers:

    mdatp health

    Als Microsoft Defender voor Eindpunt is geïnstalleerd, ziet u de status:

    healthy : true

    licensed: true

    Bovendien ziet u in Azure Portal een nieuwe Azure-extensie op uw computers met de naam MDE.Linux.

Inschakelen voor meerdere abonnementen in het Dashboard van de Azure-portal

Als voor een of meer abonnementen Eindpuntbeveiligingen niet zijn ingeschakeld voor Linux-machines, ziet u een deelvenster inzicht in het Defender voor Cloud dashboard. In het deelvenster Inzicht krijgt u informatie over abonnementen waarvoor Defender voor Eindpunt-integratie is ingeschakeld voor Windows-computers, maar niet voor Linux-machines. U kunt het deelvenster Inzicht gebruiken om de betrokken abonnementen te zien met het aantal betrokken resources in elk abonnement. Abonnementen die geen Linux-machines hebben, bevatten geen betrokken resources. Vervolgens kunt u de abonnementen selecteren om Endpoint Protection in te schakelen voor Linux-integratie.

Nadat u Inschakelen hebt geselecteerd in het deelvenster Inzicht, Defender voor Cloud:

  • Uw Linux-machines automatisch onboarden naar Defender voor Eindpunt in de geselecteerde abonnementen.
  • Detecteert eventuele eerdere installaties van Defender voor Eindpunt en configureert deze opnieuw om te integreren met Defender voor Cloud.

Gebruik de werkmap Defender voor Eindpuntstatus om de installatie- en implementatiestatus van Defender voor Eindpunt op een Linux-computer te controleren.

Inschakelen voor meerdere abonnementen met een PowerShell-script

Gebruik ons PowerShell-script uit de Defender voor Cloud GitHub-opslagplaats om eindpuntbeveiliging in te schakelen op Linux-machines die zich in meerdere abonnementen bevinden.

Automatische updates configureren voor Linux beheren

In Windows worden updates van defender voor eindpuntversies geleverd via continue knowledge base-updates; in Linux moet u het Defender for Endpoint-pakket bijwerken. Wanneer u Defender voor Servers met de MDE.Linux extensie gebruikt, worden automatische updates voor Microsoft Defender voor Eindpunt standaard ingeschakeld. Als u de updates van de Defender voor Eindpunt-versie handmatig wilt beheren, kunt u automatische updates op uw computers uitschakelen. Voeg hiervoor de volgende tag toe voor machines die zijn toegevoegd aan de MDE.Linux extensie.

  • Tagnaam: 'ExcludeMdeAutoUpdate'
  • Tagwaarde: 'true'

Deze configuratie wordt ondersteund voor Azure-VM's en Azure Arc-machines, waarbij de MDE.Linux extensie automatisch bijwerken start.

De Microsoft Defender voor Eindpunt geïntegreerde oplossing op schaal inschakelen

U kunt de geïntegreerde oplossing defender voor eindpunt ook op schaal inschakelen via de opgegeven REST API-versie 2022-05-01. Zie de API-documentatie voor meer informatie.

Hier volgt een voorbeeld van een aanvraagbody voor de PUT-aanvraag om de geïntegreerde Defender for Endpoint-oplossing in te schakelen:

URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

MDE-implementatiestatus bijhouden

U kunt de werkmap defender voor eindpuntimplementatie gebruiken om de implementatiestatus van Defender voor Eindpunt bij te houden op uw Azure-VM's en niet-Azure-machines die zijn verbonden via Azure Arc. De interactieve werkmap biedt een overzicht van machines in uw omgeving met de status van de implementatie van de Microsoft Defender voor Eindpunt extensie.

Toegang tot de Microsoft Defender voor Eindpunt-portal

  1. Zorg ervoor dat het gebruikersaccount over de benodigde machtigingen beschikt. Meer informatie vindt u in Gebruikerstoegang toewijzen aan Microsoft Defender-beveiligingscentrum.

  2. Controleer of u een proxy of firewall hebt die anoniem verkeer blokkeert. De Defender voor Eindpunt-sensor maakt verbinding vanuit de systeemcontext, dus anoniem verkeer moet zijn toegestaan. Volg de instructies in Toegang tot service-URL's inschakelen op de proxyserver om ongehinderde toegang tot de Defender for Endpoint-portal te garanderen.

  3. Open de Microsoft Defender-portal. Meer informatie over Microsoft Defender voor Eindpunt in Microsoft Defender XDR.

Een testwaarschuwing verzenden

Als u een goedaardige testwaarschuwing van Defender voor Eindpunt wilt genereren, selecteert u het tabblad voor het relevante besturingssysteem van uw eindpunt:

Testen in Windows

Voor eindpunten met Windows:

  1. Maak een map C:\test-MDATP-test.

  2. Gebruik Extern bureaublad om toegang te krijgen tot uw computer.

  3. Open een opdrachtregelvenster.

  4. Kopieer en voer de volgende opdracht uit bij de prompt. Het opdrachtpromptvenster wordt automatisch gesloten.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

    Een opdrachtpromptvenster met de opdracht om een testwaarschuwing te genereren.

    Als de opdracht is geslaagd, ziet u een nieuwe waarschuwing op het dashboard voor workloadbeveiliging en de Microsoft Defender voor Eindpunt-portal. Het kan enkele minuten duren voordat deze waarschuwing wordt weergegeven.

  5. Als u de waarschuwing in Defender voor Cloud wilt bekijken, gaat u naar Beveiligingswaarschuwingen>Suspicious PowerShell CommandLine.

  6. Selecteer in het onderzoeksvenster de koppeling om naar de Microsoft Defender voor Eindpunt portal te gaan.

    Tip

    De waarschuwing wordt geactiveerd met de ernst van informatie .

Testen op Linux

Voor eindpunten waarop Linux wordt uitgevoerd:

  1. Download het testwaarschuwingsprogramma van: https://aka.ms/LinuxDIY

  2. Pak de inhoud van het zip-bestand uit en voer dit shellscript uit:

    ./mde_linux_edr_diy

    Als de opdracht is geslaagd, ziet u een nieuwe waarschuwing op het dashboard voor workloadbeveiliging en de Microsoft Defender voor Eindpunt-portal. Het kan enkele minuten duren voordat deze waarschuwing wordt weergegeven.

  3. Als u de waarschuwing in Defender voor Cloud wilt bekijken, gaat u naar Opsomming van beveiligingswaarschuwingen>van bestanden met gevoelige gegevens.

  4. Selecteer in het onderzoeksvenster de koppeling om naar de Microsoft Defender voor Eindpunt portal te gaan.

    Tip

    De waarschuwing wordt geactiveerd met lage ernst.

Defender voor Eindpunt verwijderen van een computer

De Defender for Endpoint-oplossing verwijderen van uw computers:

  1. Schakel de integratie uit:

    1. Selecteer in het menu van Defender voor Cloud omgevingsinstellingen en selecteer het abonnement met de relevante computers.
    2. Selecteer Instellingen en bewaking op de pagina Defender-abonnementen.
    3. Selecteer uit in de status van het onderdeel Endpoint Protection om de integratie met Microsoft Defender voor Eindpunt uit te schakelen.
    4. Selecteer Doorgaan en Opslaan om uw instellingen op te slaan.
  2. Verwijder de MDE. Windows/MDE. Linux-extensie vanaf de computer.

  3. Volg de stappen in Offboard-apparaten vanuit de Microsoft Defender voor Eindpunt-service vanuit de documentatie van Defender voor Eindpunt.