共用方式為

啟用適用於端點的Defender整合

  • 發行項

適用於雲端的 Microsoft Defender 原生整合與 適用於端點的 Microsoft Defender,以提供適用於端點的 Defender 和 Microsoft Defender 弱點管理 功能,適用於雲端的 Defender。

  • 當您在 適用於雲端的 Defender 中開啟適用於伺服器的 Defender 方案時,預設會開啟適用於端點的 Defender 整合。
  • 整合會自動在機器上部署適用於端點的Defender代理程式。

本文說明如何視需要手動啟用適用於端點的Defender整合。

必要條件

需求 詳細資料
Windows 支援 確認適用於端點的Defender支援 Windows 機器
Linux 支援 針對 Linux 伺服器,您必須安裝 Python。 針對所有散發版本建議使用 Python 3,但 RHEL 8.x 和 Ubuntu 20.04 或更高版本則是必須使用。

在Linux機器上自動部署適用於端點的Defender感測器,如果機器執行使用 fanotify的服務,可能無法如預期般運作。 在這些電腦上安裝適用於端點的Defender感測器。
Azure VM 檢查 VM 是否可以連線到適用於端點的 Defender 服務。

如果計算機沒有直接存取權,Proxy 設定或防火牆規則必須允許存取適用於端點的Defender URL。 檢閱 WindowsLinux 計算機的 Proxy 設定。
內部部署 VM 建議您將 內部部署機器上線為已啟用 Azure Arc 的 VM

如果您 直接將內部部署 VM 上線,則可以使用 Defender Server 方案 1 功能,但大部分適用於伺服器的 Defender 方案 2 功能都無法運作。
Azure 租用戶 如果您已在 Azure 租用戶之間移動訂用帳戶,則會需要一些手動準備步驟。 如需詳細資訊,請連絡Microsoft支持 人員。
Windows Server 2016、2012 R2 不同於預安裝適用於端點的Defender感測器隨附的較新版本 Windows Server,適用於雲端的 Defender 使用適用於端點的統一 Defender 解決方案在執行 Windows Server 2016/2012 R2 的機器上安裝感測器。 啟用適用於伺服器的 Defender 方案與整合之後,就無法復原。 即使您停用方案,然後重新啟用方案,整合仍會重新啟用。

在訂用帳戶上啟用

當您啟用適用於伺服器的 Defender 方案時,預設會啟用適用於端點的 Defender 整合。 如果您關閉訂用帳戶上的適用於端點的 Defender 整合,您可以使用這些指示,視需要再次開啟它。

  1. 在 適用於雲端的 Defender 中,選取 [環境設定],然後選取包含您要部署適用於端點的Defender整合之電腦的訂用帳戶。

  2. [設定和監視>端點保護] 中,將 [狀態] 數據行設定切換為 [開啟]。

    啟用適用於端點的 Microsoft Defender 的 [狀態] 切換的螢幕擷取畫面。

  3. 選取 [繼續] 和 [儲存] 以儲存您的設定。

  4. 適用於端點的Defender感測器會部署到所選訂用帳戶中的所有 Windows 和 Linux 機器。

    上線最多可能需要一小時的時間。 在 Linux 電腦上,適用於雲端的 Defender 會偵測任何先前的適用於端點的 Defender 安裝,並重新設定它們以與 適用於雲端的 Defender 整合。

確認Linux機器上的安裝

在 Linux 電腦上安裝適用於端點的 Defender 感測器,如下所示:

  1. 在每個電腦上執行下列殼層命令: mdatp health。 如果已安裝適用於端點的 Microsoft Defender,您會看到其健康狀態:

    healthy : true

    licensed: true

  2. 此外,在 Azure 入口網站 中,您可以檢查Linux機器是否有名為MDE.Linux的新 Azure 擴充功能。

在 Windows Server 2016/2012 R2 上啟用適用於端點的 Defender 整合解決方案

如果已啟用適用於伺服器的 Defender,且適用於端點的 Defender 整合已在訂用帳戶中,您可以手動開啟整合執行 Windows Server 2016 或 Windows Server 2012 R2 之電腦在訂用帳戶中的整合解決方案。

  1. 在 [適用於雲端的 Defender] 中,選取 [環境設定],然後選取您要接收適用於端點的Defender的 Windows 機器的訂用帳戶。

  2. 在適用於伺服器的 Defender 方案的 [監視涵蓋範圍] 資料行中,選取 [設定]

    Endpoint Protection 元件的狀態為 [部分],表示並非啟用元件的所有部分。

  3. 選取 [修正] 以查看未啟用的元件。

    啟用適用於端點的 Microsoft Defender 支援的 [修正] 按鈕的螢幕擷取畫面。

  4. [遺失元件>整合解決方案] 中,選取 [啟用] 以在聯機至 適用於雲端的 Microsoft Defender 的 Windows Server 2012 R2 和 2016 計算機上自動安裝適用於端點的 Defender 代理程式。

    為 Windows Server 2012 R2 和 2016 機器啟用適用於端點的 Defender 統一解決方案的螢幕擷取畫面。

  5. 若要儲存變更,請選取頁面頂端的 [ 儲存 ]。 在 [ 設定和監視] 頁面中,選取 [ 繼續]。

    適用於雲端的 Defender 將現有和新機器上線至適用於端點的Defender。

    上線最多可能需要 12 小時。 針對啟用整合之後建立的新機器,上線最多需要一小時的時間。

在 Linux 機器上啟用 (方案/整合已啟用)

如果已啟用適用於伺服器的 Defender,且適用於端點的 Defender 整合已在訂用帳戶中開啟,您可以手動開啟訂用帳戶中 Linux 機器的整合。

  1. 在 適用於雲端的 Defender 中,選取 [環境設定],然後選取您想要接收適用於端點的Defender的Linux機器的訂用帳戶。

  2. 在適用於伺服器之 Defender 方案的 [ 監視涵蓋範圍 ] 欄中,選取 [ 設定]。

    Endpoint Protections 元件的狀態Partial,這表示元件的所有部分都未啟用。

  3. 選取 [修正] 以查看未啟用的元件。

    啟用適用於端點的 Microsoft Defender 支援的 [修正] 按鈕的螢幕擷取畫面。

  4. [遺失元件>Linux 機器] 中,選取 [啟用]。

    啟用「適用於雲端的 Defender」與 Microsoft 的 EDR 解決方案 (「適用於端點的 Microsoft Defender (Linux 版)」) 之間的整合的螢幕擷取畫面。

  5. 若要儲存變更,請選取頁面頂端的 [ 儲存 ]。 在 [ 設定和監視] 頁面中,選取 [ 繼續]。

    • 適用於雲端的 Defender 將 Linux 機器上線至適用於端點的 Defender。
    • 適用於雲端的 Defender 偵測 Linux 機器上任何先前的適用於端點的 Defender 安裝,並重新設定它們以與 適用於雲端的 Defender 整合。
    • 上線最多可能需要 12 小時。 針對啟用整合之後建立的新機器,上線最多需要一小時的時間。

  6. 若要確認適用於端點的 Defender 感測器安裝在 Linux 機器上,請在每部電腦上執行下列殼層命令。

    mdatp health

    如果已安裝適用於端點的 Microsoft Defender,您會看到其健康狀態:

    healthy : true

    licensed: true

  7. 在 Azure 入口網站 中,您可以檢查 Linux 機器是否有名為 MDE.Linux的新 Azure 擴充功能。

注意

在 Linux 機器上啟用適用於端點的 Defender 整合是一次性動作。 如果您停用方案並重新啟用,整合仍會保持啟用。

在多個訂用帳戶中啟用 Linux 上的整合

  1. 在 適用於雲端的 Defender 中,開啟 [工作負載保護] 儀錶板。

  2. 在儀錶板中,檢閱深入解析面板,以查看哪些訂用帳戶和資源未針對 Linux 機器啟用適用於端點的 Defender。

    • 深入解析面板會顯示已針對 Windows 機器啟用整合但不適用於 Linux 機器之訂用帳戶的相關信息。
    • 沒有 Linux 機器的訂用帳戶不會顯示受影響的資源。

  3. 在深入解析面板中,選取要針對 Linux 機器啟用適用於端點的 Defender 整合的訂用帳戶。

  4. 選取 [ 啟用 ] 以開啟 Linux 計算機的端點保護。 適用於雲端的 Defender:

    • 自動將 Linux 機器上線至所選訂用帳戶中的適用於端點的 Defender。
    • 偵測任何先前的適用於端點的Defender安裝,並重新設定它們以與 適用於雲端的 Defender整合。

使用適用於伺服器的 Defender 部署狀態活頁簿。 在此活頁簿中,您可以確認 Linux 電腦上適用於端點的 Defender 安裝和部署狀態。

管理 Linux 的自動更新

在 Windows 中,適用於端點的 Defender 版本更新是透過持續 知識庫 更新來提供。 在 Linux 中,您需要更新適用於端點的 Defender 套件。

  • 當您使用適用於伺服器的 Defender 搭配 MDE.Linux 延伸模組時,預設會啟用適用於端點的 Microsoft Defender 的自動更新。

  • 如果您想要手動管理版本更新,您可以停用機器上的自動更新。 若要這樣做,請為使用 MDE.Linux 擴充功能上線的機器新增下列標籤。

    • 標籤名稱:'ExcludeMdeAutoUpdate'
    • 標籤值:'true'

= 延伸模組起始自動更新的 Azure VM 和 Azure Arc 機器 MDE.Linux 支援此設定。

在多個訂用帳戶上啟用與 PowerShell 的整合

若要在Linux機器和在多個訂用帳戶中執行 Windows Server 2016/2012 R2 的 Windows 機器上啟用端點保護,請使用來自 gitHub 存放庫 適用於雲端的 Defender PowerShell 腳本

大規模啟用整合

您可以透過提供的 REST API 2022-05-01 版大規模啟用適用於端點的 Defender 整合。 如需完整詳細資料,請參閱 API 文件

以下是 PUT 要求的範例要求本文,可啟用適用於端點的 Defender 整合:

URI:https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

追蹤適用於端點的 Defender 部署狀態

您可以使用適用於端點的 Defender部署狀態活頁簿 來追蹤 Azure VM 和已啟用 Azure Arc 的 VM 上的適用於端點的 Defender 部署狀態。 互動式活頁簿提供環境中計算機的概觀,其中顯示其 適用於端點的 Microsoft Defender 擴充功能部署狀態。

存取Defender入口網站

  1. 請確定您有 正確的入口網站存取許可權。

  2. 檢查您是否有封鎖匿名流量的 Proxy 或防火牆。

    • 適用於端點的 Defender 感應器會從系統內容連線,因此必須允許匿名流量。
    • 若要確保不受阻礙地存取適用於端點的 Defender 入口網站, 請啟用 Proxy 伺服器中服務 URL 的存取權。

  3. 開啟 Microsoft Defender 入口網站。 了解 Microsoft Defender XDR 中適用於端點的 Microsoft Defender

從適用於端點的Defender傳送測試警示

若要從適用於端點的 Defender 產生良性測試警示,請選取端點相關作業系統的索引標籤:

在 Windows 上測試

針對執行 Windows 的端點:

  1. 建立資料夾 'C:\test-MDATP-test'。

  2. 使用遠端桌面來存取您的機器。

  3. 開啟命令列視窗。

  4. 在提示中,複製並執行下列命令: 命令提示字元視窗將會自動關閉。

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'

    命令提示字元視窗,其中包含用於產生測試警示的命令。

    如果命令成功,您將會在工作負載保護儀表板和適用於端點的 Microsoft Defender 入口網站上看到新的警示。 此警示可能需要幾分鐘才會顯示。

  5. 若要在資訊安全中心檢閱警示,請前往 [安全性警示]>[可疑的 PowerShell CommandLine]

  6. 從調查視窗中,選取前往適用於端點的 Microsoft Defender 入口網站的連結。

    提示

    警示會以資訊嚴重性觸發。

在 Linux 上測試

針對執行 Linux 的端點:

  1. https://aka.ms/LinuxDIY 下載測試警示工具

  2. 擷取 ZIP 檔案的內容,並執行此 Shell 指令碼:

    ./mde_linux_edr_diy

    如果命令成功,您將會在工作負載保護儀表板和適用於端點的 Microsoft Defender 入口網站上看到新的警示。 此警示可能需要幾分鐘才會顯示。

  3. 若要檢閱適用於雲端的 Defender 中的警示,請移至 [安全性警示]>[具有敏感資料的檔案列舉]

  4. 從調查視窗中,選取前往適用於端點的 Microsoft Defender 入口網站的連結。

    提示

    警示會以嚴重性觸發。

從機器移除適用於端點的 Defender

若要從您的機器中移除適用於端點的 Defender 解決方案:

  1. 若要停用整合,請在 [適用於雲端的 Defender >環境設定] 中,選取具有相關計算機的訂用帳戶。
  2. 在 [Defender 方案] 頁面上,選取 [設定與監視]
  3. 在 Endpoint protection 元件的狀態中,選取 [關閉] 以停用與訂用帳戶 適用於端點的 Microsoft Defender 的整合。
  4. 選取 [繼續] 和 [儲存] 以儲存您的設定。
  5. 從機器移除 MDE.Windows/MDE.Linux 延伸模組。
  6. 從 適用於端點的 Microsoft Defender 服務卸除裝置。