Включение интеграции Defender для конечной точки

Microsoft Defender для облака изначально интегрируется с Microsoft Defender для конечной точки для предоставления возможностей Defender для конечной точки и Управление уязвимостями Microsoft Defender Defender для облака.

• Если включить план Defender для серверов в Defender для облака, интеграция Defender для конечной точки включена по умолчанию.
• Интеграция автоматически развертывает агент Defender для конечной точки на компьютерах.

В этой статье описывается, как включить интеграцию Defender для конечной точки вручную.

Необходимые компоненты

Требование	Сведения
Поддержка Windows	Убедитесь, что компьютеры Windows поддерживаются Defender для конечной точки.
Поддержка Linux	Для серверов Linux необходимо установить Python. Python 3 рекомендуется для всех дистрибутивов, но требуется для RHEL 8.x и Ubuntu 20.04 или более поздней версии. Автоматическое развертывание датчика Defender для конечной точки на компьютерах Linux может не работать должным образом, если компьютеры выполняют службы, использующие фанатику. Вручную установите датчик Defender для конечной точки на этих компьютерах.
Виртуальные машины Azure	Убедитесь, что виртуальные машины могут подключаться к службе Defender для конечной точки. Если компьютеры не имеют прямого доступа, параметры прокси-сервера или правила брандмауэра должны разрешить доступ к URL-адресам Defender для конечной точки. Просмотрите параметры прокси-сервера для компьютеров Windows и Linux .
Локальные виртуальные машины	Рекомендуется подключить локальные компьютеры как виртуальные машины с поддержкой Azure Arc. При подключении локальных виртуальных машин напрямую доступны функции плана 1 в Defender, но большинство функций Defender для серверов плана 2 не работают.
Клиент Azure	Если вы переместили подписку между клиентами Azure, также потребуется выполнить некоторые подготовительные действия вручную. Обратитесь в службу поддержки Майкрософт для получения сведений.
Windows Server 2016, 2012 R2	В отличие от более поздних версий Windows Server, которые входят в предустановленный датчик Defender для конечной точки, Defender для облака устанавливает датчик на компьютерах под управлением Windows Server 2016/2012 R2 с помощью единого решения Defender для конечной точки. После включения плана Defender для серверов с интеграцией вы не сможете откатить его. Даже если вы отключаете план, а затем повторно его задается, интеграция будет повторно активирована.

Включение подписки

Интеграция Defender для конечной точки включена по умолчанию при включении плана Defender для серверов. Если вы отключите интеграцию Defender для конечной точки в подписке, ее можно включить вручную по мере необходимости с помощью этих инструкций.

1. В Defender для облака выберите параметры среды и выберите подписку, содержащую компьютеры, на которых требуется развернуть интеграцию Defender для конечной точки.

2. В разделе "Параметры" и "Защита>конечных точек" переключите параметры столбца "Состояние " на "Вкл.".

   

3. Нажмите кнопку "Продолжить" и "Сохранить", чтобы сохранить параметры.

4. Датчик Defender для конечной точки развертывается на всех компьютерах Windows и Linux в выбранной подписке.

   Подключение может занять до часа. На компьютерах Linux Defender для облака обнаруживает все предыдущие установки Defender для конечных точек и перенастраивает их для интеграции с Defender для облака.

Проверка установки на компьютерах Linux

Проверьте установку датчика Defender для конечной точки на компьютере Linux следующим образом:

1. Выполните следующую команду оболочки на каждом компьютере: mdatp health Если решение Microsoft Defender для конечной точки установлено, вы увидите его состояние работоспособности:

   healthy : true

   licensed: true

2. Кроме того, в портал Azure можно проверить наличие нового расширения MDE.LinuxAzure на компьютерах Linux.

Включение единого решения Defender для конечной точки в Windows Server 2016/2012 R2

Если Защитник для серверов уже включен и интеграция Defender для конечной точки включена в подписке, вы можете вручную включить интеграцию единого решения для компьютеров под управлением Windows Server 2016 или Windows Server 2012 R2 в подписке.

1. В Defender для облака выберите параметры среды и выберите подписку с компьютерами Windows, которые требуется получить Defender для конечной точки.

2. В столбце покрытия мониторинга плана Defender для серверов выберите "Параметры".

   Состояние компонента Endpoint Protections является частичным, что означает, что не все части компонента включены.

3. Выберите "Исправление", чтобы просмотреть компоненты, которые не включены.

   

4. В едином решении "Отсутствующие компоненты" выберите "Включить автоматическую установку агента Defender для конечной точки" на компьютерах>Windows Server 2012 R2 и 2016, подключенных к Microsoft Defender для облака.

   

5. Чтобы сохранить изменения, нажмите кнопку "Сохранить " в верхней части страницы. На странице "Параметры" и "Мониторинг" нажмите кнопку "Продолжить".

   Defender для облака подключение существующих и новых компьютеров к Defender для конечной точки.

   Подключение может занять до 12 часов. Для новых компьютеров, созданных после включения интеграции, подключение занимает около часа.

Включение на компьютерах Linux (включен план или интеграция)

Если Защитник для серверов уже включен и интеграция Defender для конечной точки включена в подписке, вы можете вручную включить интеграцию для компьютеров Linux в подписке.

1. В Defender для облака выберите параметры среды и выберите подписку с компьютерами Linux, которые вы хотите получить Defender для конечной точки.

2. В столбце покрытия мониторинга плана Defender для сервера выберите "Параметры".

   Состояние компонента Endpoint Protections является частичным, что означает, что не все части компонента включены.

3. Выберите "Исправление", чтобы просмотреть компоненты, которые не включены.

   

4. В отсутствующих компонентах> Linux нажмите кнопку "Включить".

   

5. Чтобы сохранить изменения, нажмите кнопку "Сохранить " в верхней части страницы. На странице "Параметры" и "Мониторинг" нажмите кнопку "Продолжить".

   • Defender для облака подключение компьютеров Linux к Defender для конечной точки.
   • Defender для облака обнаруживает все предыдущие установки Defender для конечной точки на компьютерах Linux и перенастраивает их для интеграции с Defender для облака.
   • Подключение может занять до 12 часов. Для новых компьютеров, созданных после включения интеграции, подключение занимает около часа.

6. Чтобы проверить установку датчика Defender для конечной точки на компьютере Linux, выполните следующую команду оболочки на каждом компьютере.

   mdatp health

   Если решение Microsoft Defender для конечной точки установлено, вы увидите его состояние работоспособности:

   healthy : true

   licensed: true

7. В портал Azure можно проверить, что на компьютерах Linux есть новое расширение MDE.LinuxAzure.

Примечание.

Включение интеграции Defender для конечной точки на компьютерах Linux — это однократное действие. Если вы отключите план и повторно включили его, интеграция по-прежнему включена.

Включение интеграции в Linux в нескольких подписках

1. В Defender для облака откройте панель мониторинга защиты рабочих нагрузок.

2. На панели мониторинга просмотрите панель аналитики, чтобы узнать, какие подписки и ресурсы не включены Defender для конечной точки для компьютеров Linux.

   • На панели аналитики отображаются сведения о подписках, которые поддерживают интеграцию для компьютеров Windows, но не для компьютеров Linux.
   • Подписки, у которых нет компьютеров Linux, не отображают затронутых ресурсов.

3. На панели аналитики выберите подписки, в которых можно включить интеграцию Defender для конечной точки для компьютеров Linux.

4. Выберите "Включить", чтобы включить защиту конечных точек для компьютеров Linux. Defender для облака:

   • Автоматически подключены компьютеры Linux к Defender для конечной точки в выбранных подписках.
   • Обнаруживает все предыдущие установки Defender для конечной точки и перенастраивает их для интеграции с Defender для облака.

Используйте книгу состояния развертывания Defender для серверов. Помимо прочего, в этой книге можно проверить состояние установки и развертывания Defender для конечной точки на компьютере Linux.

Управление автоматическими обновлениями для Linux

В Windows обновления версий Defender для конечной точки предоставляются с помощью непрерывных база знаний обновлений. В Linux необходимо обновить пакет Defender для конечной точки.

• При использовании Defender для серверов с MDE.Linux расширением автоматические обновления для Microsoft Defender для конечной точки включены по умолчанию.

• Если вы хотите управлять обновлениями версий вручную, вы можете отключить автоматическое обновление на компьютерах. Для этого добавьте следующий тег для компьютеров, подключенных к расширению MDE.Linux .

  • Имя тега: "ExcludeMdeAutoUpdate"
  • Значение тега: true

= эта конфигурация поддерживается для виртуальных машин Azure и компьютеров Azure Arc, где MDE.Linux расширение инициирует автоматическое обновление.

Включение интеграции с PowerShell в нескольких подписках

Чтобы включить защиту конечных точек на компьютерах Linux и компьютерах Windows под управлением Windows Server 2016/2012 R2 в нескольких подписках, используйте наш сценарий PowerShell из репозитория Defender для облака GitHub.

Включение интеграции в масштабе

Интеграцию Defender для конечной точки можно включить в масштабе с помощью предоставленного REST API версии 2022-05-01. Полные сведения см. в документации по API.

Ниже приведен пример текста запроса для запроса PUT, чтобы включить интеграцию Defender для конечной точки:

URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Отслеживание состояния развертывания Defender для конечной точки

Вы можете использовать книгу состояния развертывания Defender для конечной точки для отслеживания состояния развертывания Defender для конечной точки на виртуальных машинах Azure и виртуальных машинах с поддержкой Azure Arc. Интерактивная книга содержит обзор компьютеров в вашей среде с состоянием развертывания расширения Microsoft Defender для конечной точки.

Доступ к порталу Defender

1. Убедитесь, что у вас есть правильные разрешения на доступ к порталу.

2. Проверьте наличие прокси-сервера или брандмауэра, блокирующего анонимный трафик.

   • Датчик Defender для конечной точки подключается из системного контекста, поэтому необходимо разрешить анонимный трафик.
   • Чтобы обеспечить неуправляемый доступ к порталу Defender для конечной точки, включите доступ к URL-адресам службы на прокси-сервере.

3. Откройте портал Microsoft Defender. Сведения о Microsoft Defender для конечной точки в XDR в Microsoft Defender.

Отправка тестового оповещения из Defender для конечной точки

Чтобы настроить безопасное тестовое оповещение в Defender для конечной точки, выберите вкладку для используемой на конечной точке операционной системы:

Тестирование в Windows

Если на конечной точке используется Windows:

1. Создайте папку "C:\test-MDATP-test".

2. Используйте для доступа к компьютеру удаленный рабочий стол.

3. Откройте окно командной строки.

4. В командной строке скопируйте и выполните следующую команду: Окно командной строки закроется автоматически.

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

   

   Если команда выполнена успешно, на панели мониторинга защиты рабочих нагрузок и на портале Microsoft Defender для конечной точки появится новое оповещение. Это оповещение может отобразиться через несколько минут.

5. Чтобы просмотреть оповещение в Defender для облака, перейдите в раздел Оповещения системы безопасности>Suspicious PowerShell CommandLine (Подозрительная командная строка PowerShell).

6. В окне исследования выберите ссылку, чтобы перейти на портал Microsoft Defender для конечной точки.

   Совет

   Оповещение активируется с уровнем серьезности Информационный.

Тестирование в Linux

Если на конечной точке используется Linux:

1. Скачайте средство проверки оповещений из: https://aka.ms/LinuxDIY

2. Извлеките содержимое полученного ZIP-файла и выполните скрипт оболочки:

   ./mde_linux_edr_diy

   Если команда выполнена успешно, на панели мониторинга защиты рабочих нагрузок и на портале Microsoft Defender для конечной точки появится новое оповещение. Это оповещение может отобразиться через несколько минут.

3. Чтобы проверить это оповещение в Defender для облака, откройте раздел Оповещения системы безопасности>Enumeration of files with sensitive data (Перечисление файлов с конфиденциальными данными).

4. В окне исследования выберите ссылку, чтобы перейти на портал Microsoft Defender для конечной точки.

   Совет

   Для этого оповещения устанавливается уровень серьезности Низкий.

Удаление Defender для конечной точки с компьютера

Чтобы удалить решение "Defender для конечной точки" с ваших компьютеров, выполните следующие действия.

1. Чтобы отключить интеграцию, в параметрах среды Defender для облака >выберите подписку с соответствующими компьютерами.
2. На странице планов Defender выберите "Параметры" и "Мониторинг".
3. В состоянии компонента Endpoint Protection нажмите кнопку "Отключить", чтобы отключить интеграцию с Microsoft Defender для конечной точки для подписки.
4. Нажмите кнопку "Продолжить" и "Сохранить", чтобы сохранить параметры.
5. Удалите с компьютера расширение MDE.Windows/MDE.Linux.
6. Отключение устройства из службы Microsoft Defender для конечной точки.