Compartilhar via

Habilitar a integração do Defender para Ponto de Extremidade

  • Artigo

O Microsoft Defender para Nuvem integra-se nativamente ao Microsoft Defender para Ponto de Extremidade para fornecer recursos do Defender para Ponto de Extremidade e do Gerenciamento de Vulnerabilidades do Microsoft Defender no Defender para Nuvem.

  • Quando você ativa o plano do Defender para Servidores no Defender para Nuvem, a integração do Defender para Ponto de Extremidade é ativada por padrão.
  • A integração implanta o agente do Defender para Ponto de Extremidade automaticamente nos computadores.

Este artigo descreve como habilitar a integração do Defender para Ponto de Extremidade manualmente, conforme necessário.

Pré-requisitos

Requisito Detalhes
Suporte do Windows Verifique se os computadores Windows têm suporte do Defender para Ponto de Extremidade.
Suporte a Linux Para servidores Linux, é preciso ter o Python instalado. O Python 3 é recomendado para todas as distribuições, mas é necessário para o RHEL 8.x e o Ubuntu 20.04 ou superior.

A implantação automática do sensor do Defender para Ponto de Extremidade em computadores Linux pode não funcionar conforme o esperado se os computadores executarem serviços que usam o fanotify. Instale o sensor do Defender para Ponto de Extremidade manualmente nesses computadores.
VMs do Azure Verifique se as VMs podem se conectar ao serviço do Defender para Ponto de Extremidade.

Se as máquinas não tiverem acesso direto, as configurações de proxy ou as regras de firewall precisarão permitir o acesso às URLs do Defender para Ponto de Extremidade. Reveja as configurações de proxy para computadores Windows e Linux.
VMs locais Recomendamos que você integre as máquinas locais como VMs habilitadas para o Azure Arc.

Se você integrar as VMs locais diretamente, os recursos do Plano 1 do Defender para Servidores estarão disponíveis, mas a maioria das funcionalidades do Plano 2 do Defender para Servidores não vai funcionar.
Locatário do Azure Se você tiver movido sua assinatura entre locatários do Azure, algumas etapas preparatórias manuais também serão necessárias. Entre em contato com o Suporte da Microsoft para obter os detalhes.
Windows Server 2016, 2012 R2 Ao contrário das versões posteriores do Windows Server, que vêm com o sensor do Defender para Ponto de Extremidade pré-instalado, o Defender para Nuvem instala o sensor nos computadores que executam o Windows Server 2016/2012 R2 usando a solução unificada do Defender para Ponto de Extremidade. Após habilitar um plano do Defender para Servidores com a integração, você não poderá reverter isso. Mesmo se você desabilitar o plano e habilitá-lo novamente, a integração será habilitada novamente.

Habilitar em uma assinatura

A integração do Defender para Ponto de Extremidade é habilitada por padrão quando você habilita um plano do Defender para Servidores. Se desativar a integração do Defender para Ponto de Extremidade em uma assinatura, você poderá ativá-la novamente manualmente, conforme necessário, usando essas instruções.

  1. No Defender para Nuvem, selecione Configurações de ambiente e selecione a assinatura que contém os computadores nos quais você quer implantar a integração do Defender para Ponto de Extremidade.

  2. Em Configurações e monitoramento>Proteção de pontos de extremidade, alterne as configurações da coluna Status para Ativado.

    Captura de tela da opção Status que habilita o Microsoft Defender para Ponto de Extremidade.

  3. Selecione Continuar e Salvar para salvar suas configurações.

  4. O sensor do Defender para Ponto de Extremidade é implantado em todos os computadores Windows e Linux na assinatura selecionada.

    A integração pode levar até uma hora. Nos computadores Linux, o Defender para Nuvem detecta qualquer instalação anterior do Defender para Ponto de Extremidade e as reconfigura para que se integrem com o Defender para Nuvem.

Verificar a instalação em computadores Linux

Verifique a instalação do sensor do Defender para Ponto de Extremidade em um computador Linux da seguinte maneira:

  1. Execute o seguinte comando do shell em cada computador: mdatp health. Se o Microsoft Defender para Ponto de Extremidade estiver instalado, você verá o status da integridade:

    healthy : true

    licensed: true

  2. Além disso, no portal do Azure, você pode verificar se os computadores Linux têm uma nova extensão do Azure chamada MDE.Linux.

Habilitar a solução unificada do Defender para Ponto de Extremidade no Windows Server 2016/2012 R2

Se o Defender para Servidores já estiver habilitado e a integração do Defender para Ponto de Extremidade estiver ativada em uma assinatura, você poderá ativar a integração da solução unificada manualmente para os computadores que executam o Windows Server 2016 ou o Windows Server 2012 R2 na assinatura.

  1. No Defender para Nuvem, selecione Configurações de ambiente e selecione a assinatura com os computadores Windows nos quais você quer receber o Defender para Ponto de Extremidade.

  2. Na coluna de Cobertura de monitoramento do plano Defender para Servidores, selecione Configurações.

    O status do componente Proteções de ponto de extremidade é Parcial, o que significa que nem todas as partes do componente estão habilitadas.

  3. Selecione Corrigir para ver os componentes que não estão habilitados.

    Captura de tela do botão Corrigir que habilita o suporte do Microsoft Defender para Ponto de Extremidade.

  4. Na Componentes ausentes>Solução unificada, selecione Habilitar para instalar o agente do Defender para Ponto de Extremidade automaticamente nos computadores com Windows Server 2012 R2 e 2016 conectados ao Microsoft Defender para Nuvem.

    Captura de tela da habilitação do uso da solução unificada do Defender para Ponto de Extremidade nos computadores Windows Server 2012 R2 e 2016.

  5. Para salvar as alterações, selecione Salvar na parte superior da página. Na página Configurações e monitoramento, selecione Continuar.

    O Defender para Nuvem integra computadores existentes e novos ao Defender para Ponto de Extremidade.

    A integração pode levar até 12 horas. Para computadores criados após a integração ter sido habilitada, a integração leva até uma hora.

Habilitar nos computadores Linux (plano/integração habilitados)

Se o Defender para Servidores já estiver habilitado e a integração do Defender para Ponto de Extremidade estiver ativada na assinatura, você poderá ativar a integração manualmente para os computadores Linux em uma assinatura.

  1. No Defender para Nuvem, selecione Configurações de ambiente e selecione a assinatura com os computadores Linux nos quais você quer receber o Defender para Ponto de Extremidade.

  2. Na coluna Cobertura de monitoramento do plano do Defender para Servidores, selecione Configurações.

    O status do componente Proteções de ponto de extremidade é Parcial, o que significa que nem todas as partes do componente estão habilitadas.

  3. Selecione Corrigir para ver os componentes que não estão habilitados.

    Captura de tela do botão Corrigir que habilita o suporte do Microsoft Defender para Ponto de Extremidade.

  4. Em Componentes ausentes>Computadores Linux, selecione Habilitar.

    Captura de tela da habilitação da integração entre o Defender para Nuvem e a solução de EDR da Microsoft, o Microsoft Defender para Ponto de Extremidade para Linux.

  5. Para salvar as alterações, selecione Salvar na parte superior da página. Na página Configurações e monitoramento, selecione Continuar.

    • O Defender para Nuvem integra os computadores Linux ao Defender para Ponto de Extremidade.
    • O Defender para Nuvem detecta quaisquer instalações anteriores do Defender para Ponto de Extremidade em computadores Linux e as reconfigura para que se integrem com o Defender para Nuvem.
    • A integração pode levar até 12 horas. Para computadores criados após a integração ter sido habilitada, a integração leva até uma hora.

  6. Para verificar a instalação do sensor do Defender para Ponto de Extremidade em um computador Linux, execute o seguinte comando do shell em cada computador.

    mdatp health

    Se o Microsoft Defender para Ponto de Extremidade estiver instalado, você verá o status da integridade:

    healthy : true

    licensed: true

  7. No portal do Azure, você pode verificar se os computadores Linux têm uma nova extensão do Azure chamada MDE.Linux.

Observação

Você só precisa habilitar a integração do Defender para Ponto de Extremidade em computadores Linux uma única vez. Se você desabilitar o plano e habilitá-lo novamente, a integração permanecerá habilitada.

Habilitar a integração no Linux em várias assinaturas

  1. No Defender para Nuvem, abra o painel de controle de Proteções da carga de trabalho.

  2. No painel de controle, confira o painel de insights para ver quais assinaturas e recursos não têm o Defender para Ponto de Extremidade habilitado para computadores Linux.

    • O painel de insights exibe informações sobre as assinaturas que têm a integração habilitada para computadores Windows, mas não para computadores Linux.
    • As assinaturas que não têm computadores Linux não mostram recursos afetados.

  3. No painel de insights, selecione as assinaturas nas quais a integração do Defender para Ponto de Extremidade para computadores Linux será habilitada.

  4. Selecione Habilitar para ativar a proteção de ponto de extremidade para computadores Linux. Defender para Nuvem:

    • Integra automaticamente seus computadores Linux ao Defender para Ponto de Extremidade nas assinaturas selecionadas.
    • Detecta todas as instalações anteriores do Defender para Ponto de Extremidade e as reconfigura para integrá-las com o Defender para Nuvem.

Use a pasta de trabalho do status de implantação do Defender para Servidores. Entre outras coisas, nessa pasta de trabalho você pode verificar o status de instalação e da implantação do Defender para Ponto de Extremidade em um computador Linux.

Gerenciar atualizações automáticas para Linux

No Windows, as atualizações de versão do Defender para Ponto de Extremidade são fornecidas por meio de atualizações contínuas da base de conhecimento. No Linux, você precisa atualizar o pacote do Defender para Ponto de Extremidade.

  • Quando você usa o Defender para Servidores com a extensão MDE.Linux, as atualizações automáticas do Microsoft Defender para Ponto de Extremidade são habilitadas por padrão.

  • Se quiser gerenciar as atualizações de versão manualmente, você poderá desabilitar atualizações automáticas nos seus computadores. Para fazê-lo, adicione a seguinte tag aos computadores integrados com a extensão MDE.Linux.

    • Nome da marca: 'ExcludeMdeAutoUpdate'
    • Valor da Marca: 'true'

Essa configuração é compatível com as VMs do Azure e máquinas do Azure Arc, sempre que a extensão MDE.Linux iniciar a atualização automática.

Habilitar a integração com o PowerShell em várias assinaturas

Para habilitar a proteção de ponto de extremidade em computadores Linux e computadores Windows que executam o Windows Server 2016/2012 R2 em várias assinaturas, use nosso script do PowerShell a partir do repositório do GitHub do Defender para Nuvem.

Habilitar a integração em grande escala

Você pode habilitar a integração do Defender para Ponto de Extremidade em grande escala por meio da versão 2022-05-01 da API REST fornecida. Para ver os detalhes completes, confira a documentação da API.

Aqui temos um exemplo de corpo de solicitação da solicitação PUT para habilitar a solução unificada do Defender para Ponto de Extremidade:

URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Acompanhar o status de implantação do Defender para Ponto de Extremidade

Você pode usar a pasta de trabalho do status de implantação do Defender para Ponto de Extremidade para acompanhar o status de implantação do Defender para Ponto de Extremidade em suas VMs do Azure e VMs habilitadas para o Azure Arc. A pasta de trabalho interativa fornece uma visão geral dos computadores no seu ambiente mostrando o status de implantação da extensão do Microsoft Defender para Ponto de Extremidade.

Acessar o portal do Defender

  1. Cerifique-se de que você tenha as permissões certas para o acesso ao portal.

  2. Verifique se há um proxy ou firewall bloqueando o tráfego anônimo.

    • O sensor do Defender para Ponto de Extremidade se conecta por meio do contexto do sistema; portanto, o tráfego anônimo deve ser permitido.
    • Para garantir um acesso desimpedido ao portal do Defender para Ponto de Extremidade, habilite o acesso às URLs de serviço no servidor proxy.

  3. Abra o Portal do Microsoft Defender. Saiba mais sobre o Microsoft Defender para Ponto de Extremidade no Microsoft Defender XDR.

Enviar um alerta de teste do Defender para Ponto de Extremidade

Para gerar um alerta de teste benigno do Defender para Ponto de Extremidade, selecione a guia do sistema operacional relevante do ponto de extremidade:

Teste no Windows

Para pontos de extremidade executando Windows:

  1. Crie a pasta "C:\test-MDATP-test".

  2. Use a Área de Trabalho Remota para acessar seu computador.

  3. Abra uma janela de linha de comando.

  4. No prompt, copie e execute o comando a seguir. A janela do prompt de comando fechará automaticamente.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'

    Uma janela do prompt de comando com o comando para gerar um alerta de teste.

    Se o comando for bem-sucedido, você verá um novo alerta no dashboard de proteção de cargas de trabalho e no portal do Microsoft Defender para Ponto de Extremidade. Esse alerta pode levar alguns minutos para aparecer.

  5. Para revisar o alerta no Defender para Nuvem, acesse Alertas de segurança>Linha de Comando do PowerShell Suspeitas.

  6. Na janela de investigação, selecione o link para ir ao portal do Microsoft Defender para Ponto de Extremidade.

    Dica

    O alerta é disparado com severidade Informativa.

Teste no Linux

Para pontos de extremidade executando Linux:

  1. Baixe a ferramenta de alerta de teste em: https://aka.ms/LinuxDIY

  2. Extraia o conteúdo do arquivo zip e execute este script de shell:

    ./mde_linux_edr_diy

    Se o comando for bem-sucedido, você verá um novo alerta no dashboard de proteção de cargas de trabalho e no portal do Microsoft Defender para Ponto de Extremidade. Esse alerta pode levar alguns minutos para aparecer.

  3. Para revisar o alerta no Defender para Nuvem, acesse Alertas de segurança>Enumeração de arquivos com dados confidenciais.

  4. Na janela de investigação, selecione o link para ir ao portal do Microsoft Defender para Ponto de Extremidade.

    Dica

    O alerta é disparado com severidade Baixa.

Remover o Defender para Ponto de Extremidade de um computador

Para remover a solução Defender para Ponto de Extremidade de seus computadores:

  1. Para desabilitar a integração, nas >Configurações de ambiente do Defender para Nuvem, selecione a assinatura com os computadores relevantes.
  2. Na página de planos do Defender, selecione Configurações e Monitoramento.
  3. No status do componente de proteção do Ponto de Extremidade, selecione Desativado para desabilitar a integração com o Microsoft Defender para Ponto de Extremidade.
  4. Selecione Continuar e Salvar para salvar suas configurações.
  5. Remova a extensão MDE.Windows/MDE.Linux do computador.
  6. Desative o dispositivo no serviço do Microsoft Defender para Ponto de Extremidade.