Dela via

Aktivera Defender för Endpoint-integrering

  • Artikel

Microsoft Defender för molnet integreras internt med Microsoft Defender för Endpoint för att tillhandahålla funktioner för Defender för Endpoint och Microsoft Defender – hantering av säkerhetsrisker i Defender för molnet.

  • När du aktiverar Defender for Servers-planen i Defender för molnet aktiveras Defender för Endpoint-integrering som standard.
  • Integrering distribuerar automatiskt Defender för Endpoint-agenten på datorer.

I den här artikeln beskrivs hur du aktiverar Defender för Endpoint-integrering manuellt efter behov.

Förutsättningar

Krav Detaljer
Windows-stöd Kontrollera att Windows-datorer stöds av Defender för Endpoint.
Linux-stöd För Linux-servrar måste du ha Python installerat. Python 3 rekommenderas för alla distributioner, men krävs för RHEL 8.x och Ubuntu 20.04 eller senare.

Automatisk distribution av Defender för Endpoint-sensorn på Linux-datorer kanske inte fungerar som förväntat om datorer kör tjänster som använder fanotify. Installera Defender för Endpoint-sensorn manuellt på dessa datorer.
Virtuella Azure-datorer Kontrollera att virtuella datorer kan ansluta till Tjänsten Defender för Endpoint.

Om datorer inte har direkt åtkomst måste proxyinställningar eller brandväggsregler tillåta åtkomst till URL:er för Defender för Endpoint. Granska proxyinställningarna för Windows - och Linux-datorer .
Lokala virtuella datorer Vi rekommenderar att du registrerar lokala datorer som Azure Arc-aktiverade virtuella datorer.

Om du registrerar lokala virtuella datorer direkt är funktionerna i Defender Server Plan 1 tillgängliga, men de flesta funktioner i Defender för servrar plan 2 fungerar inte.
Azure-klientorganisation Om du har flyttat din prenumeration mellan Azure-klienter krävs även några manuella förberedande steg. Kontakta Microsofts support om du vill ha mer information.
Windows Server 2016, 2012 R2 Till skillnad från senare versioner av Windows Server, som levereras med Defender för endpoint-sensorn förinstallerad, installerar Defender för molnet sensorn på datorer som kör Windows Server 2016/2012 R2 med hjälp av den enhetliga lösningen Defender för Endpoint. När du har aktiverat en Defender for Servers-plan med integreringen kan du inte återställa den. Även om du inaktiverar planen och sedan kan återanvända den, kommer integreringen att kunna återanvändas.

Aktivera i en prenumeration

Defender för Endpoint-integrering är aktiverat som standard när du aktiverar en Defender for Servers-plan. Om du inaktiverar Defender för Endpoint-integrering för en prenumeration kan du aktivera den igen manuellt efter behov med hjälp av dessa instruktioner.

  1. I Defender för molnet väljer du Miljöinställningar och väljer den prenumeration som innehåller de datorer där du vill distribuera Defender för Endpoint-integrering.

  2. I Inställningar och övervakning>av slutpunktsskydd växlar du inställningarna för kolumnen Status till .

    Skärmbild av växlingsknappen Status som aktiverar Microsoft Defender för Endpoint.

  3. Välj Fortsätt och Spara för att spara inställningarna.

  4. Defender för Endpoint-sensorn distribueras till alla Windows- och Linux-datorer i den valda prenumerationen.

    Registrering kan ta upp till en timme. På Linux-datorer identifierar Defender för molnet alla tidigare Defender för Endpoint-installationer och konfigurerar om dem så att de integreras med Defender för molnet.

Verifiera installationen på Linux-datorer

Kontrollera installationen av Defender för Endpoint-sensorn på en Linux-dator på följande sätt:

  1. Kör följande gränssnittskommando på varje dator: mdatp health. Om Microsoft Defender för Endpoint har installerats visas dess hälsostatus:

    healthy : true

    licensed: true

  2. I Azure Portal kan du dessutom kontrollera att Linux-datorer har ett nytt Azure-tillägg med namnet MDE.Linux.

Aktivera en enhetlig Lösning för Defender för Endpoint på Windows Server 2016/2012 R2

Om Defender för servrar redan är aktiverat och Defender för Endpoint-integrering är aktiverat i en prenumeration kan du manuellt aktivera integrering av den enhetliga lösningen för datorer som kör Windows Server 2016 eller Windows Server 2012 R2 i prenumerationen.

  1. I Defender för molnet väljer du Miljöinställningar och väljer prenumerationen med de Windows-datorer som du vill ta emot Defender för Endpoint.

  2. I kolumnen Övervakningstäckning i Defender for Servers-planen väljer du Inställningar.

    Status för komponenten Endpoint Protections är Partiell, vilket innebär att inte alla delar av komponenten är aktiverade.

  3. Välj Åtgärda för att se de komponenter som inte är aktiverade.

    Skärmbild av knappen Åtgärda som aktiverar stöd för Microsoft Defender för Endpoint.

  4. I Enhetlig lösning för saknade komponenter>väljer du Aktivera för att automatiskt installera Defender för Endpoint-agenten på Windows Server 2012 R2- och 2016-datorer som är anslutna till Microsoft Defender för molnet.

    Skärmbild av aktivering av den enhetliga lösningen Defender för Endpoint för Windows Server 2012 R2- och 2016-datorer.

  5. Spara ändringarna genom att välja Spara överst på sidan. På sidan Inställningar och övervakning väljer du Fortsätt.

    Defender för molnet registrerar befintliga och nya datorer till Defender för Endpoint.

    Registrering kan ta upp till 12 timmar. För nya datorer som har skapats efter att integreringen har aktiverats tar det upp till en timme att registrera sig.

Aktivera på Linux-datorer (plan/integrering aktiverat)

Om Defender för servrar redan är aktiverat och Defender för Endpoint-integrering är aktiverat i prenumerationen kan du manuellt aktivera integreringen för Linux-datorer i en prenumeration.

  1. I Defender för molnet väljer du Miljöinställningar och väljer prenumerationen med de Linux-datorer som du vill ta emot Defender för Endpoint.

  2. I kolumnen Övervakningstäckning i Defender for Server-planen väljer du Inställningar.

    Status för komponenten Endpoint Protections är Partiell, vilket innebär att inte alla delar av komponenten är aktiverade.

  3. Välj Åtgärda för att se de komponenter som inte är aktiverade.

    Skärmbild av knappen Åtgärda som aktiverar stöd för Microsoft Defender för Endpoint.

  4. I Saknade komponenter>för Linux-datorer väljer du Aktivera.

    Skärmbild av hur du aktiverar integreringen mellan Defender för molnet och Microsofts EDR-lösning, Microsoft Defender för Endpoint för Linux.

  5. Spara ändringarna genom att välja Spara överst på sidan. På sidan Inställningar och övervakning väljer du Fortsätt.

    • Defender för molnet registrerar Linux-datorer till Defender för Endpoint.
    • Defender för molnet identifierar alla tidigare Defender för Endpoint-installationer på Linux-datorer och konfigurerar om dem så att de integreras med Defender för molnet.
    • Registrering kan ta upp till 12 timmar. För nya datorer som har skapats efter att integreringen har aktiverats tar det upp till en timme att registrera sig.

  6. Kontrollera installationen av Defender för Endpoint-sensorn på en Linux-dator genom att köra följande gränssnittskommando på varje dator.

    mdatp health

    Om Microsoft Defender för Endpoint har installerats visas dess hälsostatus:

    healthy : true

    licensed: true

  7. I Azure Portal kan du kontrollera att Linux-datorer har ett nytt Azure-tillägg med namnet MDE.Linux.

Kommentar

Att aktivera Defender för Endpoint-integrering på Linux-datorer är en engångsåtgärd. Om du inaktiverar planen och återaktiverade den förblir integrering aktiverad.

Aktivera integrering i Linux i flera prenumerationer

  1. Öppna instrumentpanelen Arbetsbelastningsskydd i Defender för molnet.

  2. På instrumentpanelen läser du panelen insikter för att se vilka prenumerationer och resurser som inte har Defender för Endpoint aktiverat för Linux-datorer.

    • Insiktspanelen visar information om prenumerationer som har integrering aktiverat för Windows-datorer, men inte för Linux-datorer.
    • Prenumerationer som inte har Linux-datorer visar inga resurser som påverkas.

  3. I insiktspanelen väljer du de prenumerationer där Defender för Endpoint-integrering för Linux-datorer ska aktiveras.

  4. Välj Aktivera för att aktivera slutpunktsskydd för Linux-datorer. Defender för molnet:

    • Registrerar automatiskt Linux-datorer till Defender för Endpoint i de valda prenumerationerna.
    • Identifierar alla tidigare installationer av Defender för Endpoint och konfigurerar om dem för integrering med Defender för molnet.

Använd arbetsboken Defender för servrar för distributionsstatus. I den här arbetsboken kan du bland annat verifiera installations- och distributionsstatus för Defender för Endpoint på en Linux-dator.

Hantera automatiska uppdateringar för Linux

I Windows tillhandahålls uppdateringar av Version av Defender för Endpoint via kontinuerliga kunskapsbas uppdateringar. I Linux måste du uppdatera Defender för Endpoint-paketet.

  • När du använder Defender för servrar med MDE.Linux tillägget aktiveras automatiska uppdateringar för Microsoft Defender för Endpoint som standard.

  • Om du vill hantera versionsuppdateringar manuellt kan du inaktivera automatiska uppdateringar på dina datorer. Det gör du genom att lägga till följande tagg för datorer som registrerats med MDE.Linux tillägget.

    • Taggnamn: "ExcludeMdeAutoUpdate"
    • Taggvärde: "true"

= Den här konfigurationen stöds för virtuella Azure-datorer och Azure Arc-datorer, där MDE.Linux tillägget initierar automatisk uppdatering.

Aktivera integrering med PowerShell i flera prenumerationer

Om du vill aktivera slutpunktsskydd på Linux-datorer och Windows-datorer som kör Windows Server 2016/2012 R2 i flera prenumerationer använder du vårt PowerShell-skript från Defender för molnet GitHub-lagringsplats.

Aktivera integrering i stor skala

Du kan aktivera Defender för Endpoint-integrering i stor skala via den angivna REST API-versionen 2022-05-01. Fullständig information finns i API-dokumentationen.

Här är ett exempel på begärandetexten för PUT-begäran för att aktivera Defender för Endpoint-integrering:

URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Spåra status för Defender för Endpoint-distribution

Du kan använda statusarbetsboken för Defender för Endpoint-distribution för att spåra status för Defender för Endpoint-distribution på dina virtuella Azure-datorer och Azure Arc-aktiverade virtuella datorer. Den interaktiva arbetsboken ger en översikt över datorer i din miljö som visar deras distributionsstatus för Microsoft Defender för Endpoint tillägg.

Öppna Defender-portalen

  1. Kontrollera att du har rätt behörigheter för portalåtkomst.

  2. Kontrollera om du har en proxy eller brandvägg som blockerar anonym trafik.

  3. Öppna Microsoft Defender-portalen. Läs mer om Microsoft Defender för Endpoint i Microsoft Defender XDR.

Skicka en testavisering från Defender för Endpoint

Om du vill generera en godartad testavisering från Defender för Endpoint väljer du fliken för det relevanta operativsystemet för slutpunkten:

Testa i Windows

För slutpunkter som kör Windows:

  1. Skapa mappen C:\test-MDATP-test.

  2. Använd Fjärrskrivbord för att komma åt datorn.

  3. Öppna ett kommandotolksfönster.

  4. Kopiera och kör följande kommando i kommandotolken. Kommandotolken stängs automatiskt.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'

    Ett kommandotolksfönster med kommandot för att generera en testavisering.

    Om kommandot lyckas visas en ny avisering på instrumentpanelen för arbetsbelastningsskydd och Microsoft Defender för Endpoint portalen. Det kan ta några minuter innan den här aviseringen visas.

  5. Om du vill granska aviseringen i Defender för molnet går du till Säkerhetsaviseringar>Misstänkt PowerShell-kommandorad.

  6. I undersökningsfönstret väljer du länken för att gå till Microsoft Defender för Endpoint-portalen.

    Dricks

    Aviseringen utlöses med informations allvarlighetsgrad.

Testa i Linux

För slutpunkter som kör Linux:

  1. Ladda ned testaviseringsverktyget från: https://aka.ms/LinuxDIY

  2. Extrahera innehållet i zip-filen och kör det här shell-skriptet:

    ./mde_linux_edr_diy

    Om kommandot lyckas visas en ny avisering på instrumentpanelen för arbetsbelastningsskydd och Microsoft Defender för Endpoint portalen. Det kan ta några minuter innan den här aviseringen visas.

  3. Om du vill granska aviseringen i Defender för molnet går du till Säkerhetsaviseringar>Uppräkning av filer med känsliga data.

  4. I undersökningsfönstret väljer du länken för att gå till Microsoft Defender för Endpoint-portalen.

    Dricks

    Aviseringen utlöses med låg allvarlighetsgrad.

Ta bort Defender för Endpoint från en dator

Så här tar du bort Defender för Endpoint-lösningen från dina datorer:

  1. Om du vill inaktivera integreringen väljer du prenumerationen med relevanta datorer i inställningarna för Defender för molnet >Miljö.
  2. På sidan Defender-planer väljer du Inställningar och övervakning.
  3. I status för endpoint protection-komponenten väljer du Av för att inaktivera integreringen med Microsoft Defender för Endpoint för prenumerationen.
  4. Välj Fortsätt och Spara för att spara inställningarna.
  5. Ta bort MDE. Windows/MDE. Linux-tillägget från datorn.
  6. Avregistrera enheten från Microsoft Defender för Endpoint-tjänsten.