Dela via


Aktivera Defender för Endpoint-integrering

Microsoft Defender för molnets integrering med Microsoft Defender za krajnju tačku tillhandahåller en molnbaserad slutpunktssäkerhetslösning som erbjuder en mängd olika funktioner. Integreringen ger riskbaserad upravljanje ranjivostima och utvärdering, vilket hjälper till att identifiera och prioritera sårbarheter som behöver åtgärdas. Lösningen omfattar även minskning av attackytan, vilket hjälper till att minimera attackytan för slutpunkter, samt beteendebaserat och molnbaserat skydd för att identifiera och svara på hot. Dessutom erbjuder Microsoft Defender za krajnju tačku otkrivanje i odgovor na krajnjim tačkama (EDR), automatisk undersökning och reparation samt hanterade jakttjänster som hjälper organisationer att snabbt identifiera, undersöka och reagera på säkerhetsincidenter.

Förutsättningar

Innan du kan aktivera Microsoft Defender za krajnju tačku integrering med Defender för molnet måste du bekräfta att datorn uppfyller de nödvändiga kraven för Defender för Endpoint:

  • Kontrollera att datorn är ansluten till Azure och Internet efter behov:

  • Aktivera Microsoft Defender för servrar. Se Snabbstart: Aktivera Defender för molnets förbättrade säkerhetsfunktioner.

    Viktigt!

    Defender for Cloud-integrering med Microsoft Defender za krajnju tačku är aktiverat som standard. Så när du aktiverar förbättrade säkerhetsfunktioner ger du medgivande till att Microsoft Defender för servrar får åtkomst till Microsoft Defender za krajnju tačku data som rör sårbarheter, installerad programvara och aviseringar för dina slutpunkter.

  • För Windows-servrar kontrollerar du att dina servrar uppfyller kraven för registrering Microsoft Defender za krajnju tačku.

  • För Linux-servrar måste du ha Python installerat. Python 3 rekommenderas för alla distributioner, men krävs för RHEL 8.x och Ubuntu 20.04 eller senare. Om det behövs kan du läsa Stegvisa instruktioner för att installera Python på Linux.

  • Om du har flyttat din prenumeration mellan Azure-klienter krävs även några manuella förberedande steg. Kontakta Microsofts support om du vill ha mer information.

Aktivera integreringen

Windows

Den enhetliga lösningen Defender för Endpoint använder inte eller kräver installation av Log Analytics-agenten. Den enhetliga lösningen distribueras automatiskt för Azure Windows 2012 R2- och 2016-servrar, Windows-servrar som är anslutna via Azure Arc och Windows multicloud-servrar som är anslutna via flera molnanslutningar.

Du distribuerar Defender för Endpoint till dina Windows-datorer på något av två sätt – beroende på om du redan har distribuerat den till dina Windows-datorer:

Användare med Defender för servrar aktiverade och Microsoft Defender za krajnju tačku distribuerade

Om du redan har aktiverat integreringen med Defender för Endpoint har du fullständig kontroll över när och om du vill distribuera den enhetliga lösningen Defender för Endpoint till dina Windows-datorer .

Om du vill distribuera den enhetliga lösningen Defender för Endpoint måste du använda REST API-anropet eller Azure-portalen:

  1. På Defender för molnets meny väljer du Miljöinställningar och väljer prenumerationen med de Windows-datorer som du vill ta emot Defender för Endpoint.

  2. I kolumnen Övervakningstäckning i Defender for Servers-planen väljer du Inställningar.

    Status för komponenten Endpoint Protections är Partiell, vilket innebär att inte alla delar av komponenten är aktiverade.

  3. Välj Åtgärda för att se de komponenter som inte är aktiverade.

    Skärmbild av knappen Åtgärda som aktiverar stöd för Microsoft Defender za krajnju tačku.

  4. Om du vill aktivera den enhetliga lösningen för Windows Server 2012 R2- och 2016-datorer väljer du Aktivera.

    Skärmbild av aktivering av den enhetliga lösningen Defender för Endpoint för Windows Server 2012 R2- och 2016-datorer.

  5. Spara ändringarna genom att välja Spara överst på sidan och sedan välja Fortsätt på sidan Inställningar och övervakning.

Microsoft Defender för molnet kommer att:

  • Stoppa den befintliga Defender för Endpoint-processen i Log Analytics-agenten som samlar in data för Defender för servrar.
  • Installera den enhetliga lösningen Defender för Endpoint för alla befintliga och nya Windows Server 2012 R2- och 2016-datorer.

Microsoft Defender för molnet registrerar automatiskt dina datorer för att Microsoft Defender za krajnju tačku. Registrering kan ta upp till 12 timmar. För nya datorer som har skapats efter att integreringen har aktiverats tar det upp till en timme att registrera sig.

Kommentar

Om du väljer att inte distribuera den enhetliga lösningen Defender för Endpoint till dina Windows 2012 R2- och 2016-servrar i Defender för servrar, plan 2 och sedan nedgradera Defender för servrar till plan 1, distribueras inte den enhetliga lösningen Defender för Endpoint till dessa servrar så att din befintliga distribution inte ändras utan ditt uttryckliga medgivande.

Användare som aldrig har aktiverat integreringen med Microsoft Defender za krajnju tačku för Windows

Om du aldrig har aktiverat integreringen för Windows gör Endpoint Protection det möjligt för Defender för molnet att distribuera Defender för Endpoint till både Dina Windows- och Linux-datorer.

Om du vill distribuera den enhetliga lösningen Defender för Endpoint måste du använda REST API-anropet eller Azure-portalen:

  1. På Defender för molnets meny väljer du Miljöinställningar och väljer prenumerationen med de datorer som du vill ta emot Defender för Endpoint.

  2. I status för endpoint protection-komponenten väljer du för att aktivera integreringen med Microsoft Defender za krajnju tačku.

    Skärmbild av växlingsknappen Status som aktiverar Microsoft Defender za krajnju tačku.

Defender för Endpoint-agentens enhetliga lösning distribueras till alla datorer i den valda prenumerationen.

Linux

Du distribuerar Defender för Endpoint till dina Linux-datorer på något av följande sätt, beroende på om du redan har distribuerat det till dina Windows-datorer:

Kommentar

När du aktiverar automatisk distribution avbryts Installationen av Defender för Endpoint för Linux på datorer med befintliga tjänster som körs med fanotify och andra tjänster som också kan orsaka att Defender för Endpoint fungerar dåligt eller påverkas av Defender för Endpoint, till exempel säkerhetstjänster. När du har verifierat potentiella kompatibilitetsproblem rekommenderar vi att du installerar Defender för Endpoint manuellt på dessa servrar.

Befintliga användare med Defender för molnets förbättrade säkerhetsfunktioner aktiverade och Microsoft Defender za krajnju tačku för Windows

Om du redan har aktiverat integreringen med Defender för Endpoint för Windows har du fullständig kontroll över när och om du vill distribuera Defender för Endpoint till dina Linux-datorer .

  1. På Defender för molnets meny väljer du Miljöinställningar och väljer prenumerationen med de Linux-datorer som du vill ta emot Defender för Endpoint.

  2. I kolumnen Övervakningstäckning i Defender for Server-planen väljer du Inställningar.

    Status för komponenten Endpoint Protections är Partiell, vilket innebär att inte alla delar av komponenten är aktiverade.

    Kommentar

    Om statusen är Av är inte markerad använder du anvisningarna i Användare som aldrig har aktiverat integreringen med Microsoft Defender za krajnju tačku för Windows.

  3. Välj Åtgärda för att se de komponenter som inte är aktiverade.

    Skärmbild av knappen Åtgärda som aktiverar stöd för Microsoft Defender za krajnju tačku.

  4. Om du vill aktivera distribution till Linux-datorer väljer du Aktivera.

    Skärmbild av hur du aktiverar integreringen mellan Defender för molnet och Microsofts EDR-lösning, Microsoft Defender za krajnju tačku för Linux.

  5. Spara ändringarna genom att välja Spara överst på sidan och sedan välja Fortsätt på sidan Inställningar och övervakning.

    Microsoft Defender för molnet kommer att:

    • Registrera dina Linux-datorer automatiskt till Defender för Endpoint
    • Identifiera eventuella tidigare installationer av Defender för Endpoint och konfigurera om dem för att integrera med Defender för molnet

    Microsoft Defender för molnet registrerar automatiskt dina datorer för att Microsoft Defender za krajnju tačku. Registrering kan ta upp till 12 timmar. För nya datorer som har skapats efter att integreringen har aktiverats tar det upp till en timme att registrera sig.

    Kommentar

    Nästa gång du återgår till den här sidan i Azure-portalen visas inte knappen Aktivera för Linux-datorer . Om du vill inaktivera integreringen för Linux måste du inaktivera den även för Windows genom att inaktivera växlingsknappen i Endpoint Protection och välja Fortsätt.

  6. Om du vill verifiera installationen av Defender för Endpoint på en Linux-dator kör du följande gränssnittskommando på dina datorer:

    mdatp health

    Om Microsoft Defender za krajnju tačku är installerat visas dess hälsostatus:

    healthy : true

    licensed: true

    I Azure-portalen visas också ett nytt Azure-tillägg på dina datorer med namnet MDE.Linux.

Nya användare som aldrig har aktiverat integreringen med Microsoft Defender za krajnju tačku för Windows

Om du aldrig har aktiverat integreringen för Windows gör slutpunktsskydd att Defender för molnet kan distribuera Defender för Endpoint till både Dina Windows- och Linux-datorer.

  1. På Defender för molnets meny väljer du Miljöinställningar och väljer prenumerationen med de Linux-datorer som du vill ta emot Defender för Endpoint.

  2. I kolumnen Övervakningstäckning i Defender for Server-planen väljer du Inställningar.

  3. I status för endpoint protection-komponenten väljer du för att aktivera integreringen med Microsoft Defender za krajnju tačku.

    Skärmbild av växlingsknappen Status som aktiverar Microsoft Defender za krajnju tačku.

    Microsoft Defender för molnet kommer att:

    • Registrera dina Windows- och Linux-datorer automatiskt till Defender för Endpoint
    • Identifiera eventuella tidigare installationer av Defender för Endpoint och konfigurera om dem för att integrera med Defender för molnet

    Registrering kan ta upp till 1 timme.

  4. Välj Fortsätt och Spara för att spara inställningarna.

  5. Om du vill verifiera installationen av Defender för Endpoint på en Linux-dator kör du följande gränssnittskommando på dina datorer:

    mdatp health

    Om Microsoft Defender za krajnju tačku är installerat visas dess hälsostatus:

    healthy : true

    licensed: true

    I Azure-portalen visas dessutom ett nytt Azure-tillägg på dina datorer med namnet MDE.Linux.

Aktivera på flera prenumerationer på Instrumentpanelen i Azure-portalen

Om en eller flera av dina prenumerationer inte har Slutpunktsskydd aktiverat för Linux-datorer visas en insiktspanel på instrumentpanelen för Defender för molnet. Insiktspanelen berättar om prenumerationer som har Defender för Endpoint-integrering aktiverat för Windows-datorer, men inte för Linux-datorer. Du kan använda insiktspanelen för att se de berörda prenumerationerna med antalet berörda resurser i varje prenumeration. Prenumerationer som inte har Linux-datorer visar inga resurser som påverkas. Du kan sedan välja prenumerationerna för att aktivera slutpunktsskydd för Linux-integrering.

När du har valt Aktivera i insiktspanelen, defender för molnet:

  • Registrerar automatiskt dina Linux-datorer till Defender för Endpoint i de valda prenumerationerna.
  • Identifierar alla tidigare installationer av Defender för Endpoint och konfigurerar om dem för att integrera med Defender för molnet.

Använd statusarbetsboken Defender för Endpoint för att verifiera installations- och distributionsstatus för Defender för Endpoint på en Linux-dator.

Aktivera på flera prenumerationer med ett PowerShell-skript

Använd vårt PowerShell-skript från GitHub-lagringsplatsen Defender för molnet för att aktivera slutpunktsskydd på Linux-datorer som finns i flera prenumerationer.

Hantera konfiguration av automatiska uppdateringar för Linux

I Windows tillhandahålls versionsuppdateringar för Defender för Endpoint via kontinuerliga baza znanja uppdateringar. I Linux måste du uppdatera Defender för Endpoint-paketet. När du använder Defender för servrar med MDE.Linux tillägget aktiveras automatiska uppdateringar för Microsoft Defender za krajnju tačku som standard. Om du vill hantera versionuppdateringarna för Defender för Endpoint manuellt kan du inaktivera automatiska uppdateringar på dina datorer. Det gör du genom att lägga till följande tagg för datorer som registrerats med MDE.Linux tillägget.

  • Taggnamn: "ExcludeMdeAutoUpdate"
  • Taggvärde: "true"

Den här konfigurationen stöds för virtuella Azure-datorer och Azure Arc-datorer, där MDE.Linux tillägget initierar automatisk uppdatering.

Aktivera Microsoft Defender za krajnju tačku enhetlig lösning i stor skala

Du kan också aktivera den enhetliga lösningen Defender för Endpoint i stor skala via den angivna REST API-versionen 2022-05-01. Fullständig information finns i API-dokumentationen.

Här är ett exempel på en begärandetext för PUT-begäran för att aktivera den enhetliga lösningen Defender för Endpoint:

URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Spåra MDE-distributionsstatus

Du kan använda arbetsboken Status för Distributionsstatus för Defender för Slutpunkt för att spåra Status för Defender för Endpoint-distribution på dina virtuella Azure-datorer och datorer som inte är Azure-datorer som är anslutna via Azure Arc. Den interaktiva arbetsboken ger en översikt över datorer i din miljö som visar deras distributionsstatus för Microsoft Defender za krajnju tačku tillägg.

Få åtkomst till Microsoft Defender za krajnju tačku-portalen

  1. Kontrollera att användarkontot har nödvändiga behörigheter. Läs mer i Tilldela användaråtkomst till Centar za bezbednost Microsoft Defender.

  2. Kontrollera om du har en proxy eller brandvägg som blockerar anonym trafik. Defender för Endpoint-sensorn ansluter från systemkontexten, så anonym trafik måste tillåtas. För att säkerställa obehindrat åtkomst till Defender för Endpoint-portalen följer du anvisningarna i Aktivera åtkomst till tjänst-URL:er på proxyservern.

  3. Öppna Microsoft Defender-portalen. Läs mer om Microsoft Defender za krajnju tačku i Microsoft Defender XDR.

Skicka en testavisering

Om du vill generera en godartad testavisering från Defender för Endpoint väljer du fliken för det relevanta operativsystemet för slutpunkten:

Testa i Windows

För slutpunkter som kör Windows:

  1. Skapa mappen C:\test-MDATP-test.

  2. Använd Fjärrskrivbord för att komma åt datorn.

  3. Öppna ett kommandotolksfönster.

  4. Kopiera och kör följande kommando i kommandotolken. Kommandotolken stängs automatiskt.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

    Ett kommandotolksfönster med kommandot för att generera en testavisering.

    Om kommandot lyckas visas en ny avisering på instrumentpanelen för arbetsbelastningsskydd och Microsoft Defender za krajnju tačku portalen. Det kan ta några minuter innan den här aviseringen visas.

  5. Om du vill granska aviseringen i Defender för molnet går du till Säkerhetsaviseringar>Misstänkt PowerShell-kommandorad.

  6. I undersökningsfönstret väljer du länken för att gå till Microsoft Defender za krajnju tačku-portalen.

    Dricks

    Aviseringen utlöses med informations allvarlighetsgrad.

Testa i Linux

För slutpunkter som kör Linux:

  1. Ladda ned testaviseringsverktyget från: https://aka.ms/LinuxDIY

  2. Extrahera innehållet i zip-filen och kör det här shell-skriptet:

    ./mde_linux_edr_diy

    Om kommandot lyckas visas en ny avisering på instrumentpanelen för arbetsbelastningsskydd och Microsoft Defender za krajnju tačku portalen. Det kan ta några minuter innan den här aviseringen visas.

  3. Om du vill granska aviseringen i Defender för molnet går du till Säkerhetsaviseringar>Uppräkning av filer med känsliga data.

  4. I undersökningsfönstret väljer du länken för att gå till Microsoft Defender za krajnju tačku-portalen.

    Dricks

    Aviseringen utlöses med låg allvarlighetsgrad.

Ta bort Defender för Endpoint från en dator

Så här tar du bort Defender för Endpoint-lösningen från dina datorer:

  1. Inaktivera integreringen:

    1. Från Defender för molnets meny väljer du Miljöinställningar och väljer prenumerationen med relevanta datorer.
    2. På sidan Defender-planer väljer du Inställningar och övervakning.
    3. I status för endpoint protection-komponenten väljer du Av för att inaktivera integreringen med Microsoft Defender za krajnju tačku.
    4. Välj Fortsätt och Spara för att spara inställningarna.
  2. Ta bort MDE. Windows/MDE. Linux-tillägget från datorn.

  3. Följ stegen i Offboard-enheter från Microsoft Defender za krajnju tačku-tjänsten från dokumentationen om Defender för Endpoint.