Hoe om Microsoft Defender vir Endpoint van nuuts af te aktiveer en op te stel

Hoe om Microsoft Defender vir Endpoint van nuuts af te aktiveer en op te stel

01/01/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om 'n praktiese en gedetailleerde gids te verskaf oor hoe om Microsoft Defender for Endpoint (MDE) van nuuts af te aktiveer en op te stel. MDE is 'n verenigde eindpunt-sekuriteitsplatform vir voorkomende beskerming, opsporing na oortreding, outomatiese ondersoek en reaksie. Dit is 'n noodsaaklike hulpmiddel vir sekuriteitsontleders, IT-administrateurs en stelselingenieurs wat die sekuriteitsposisie van hul Microsoft-omgewings wil versterk.

Inleiding

Die kuberbedreigingslandskap ontwikkel voortdurend, met aanvalle wat meer gesofistikeerd en geteiken word. Die beskerming van eindpunte - rekenaars, bedieners, mobiele toestelle - is 'n topprioriteit vir enige organisasie. Microsoft Defender for Endpoint (MDE) bied 'n robuuste oplossing wat verder gaan as tradisionele antivirus deur gevorderde eindpuntopsporing en -reaksie (EDR), kwesbaarheid en bedreigingsbestuur, aanvaloppervlakvermindering, volgende generasiebeskerming en outomatiese ondersoek- en remediëringsvermoëns te verskaf [1].

Hierdie gids sal die fundamentele stappe vir die implementering van MDE dek, van aanvanklike voorvereistes tot noodsaaklike hulpbronkonfigurasie, validering en beste praktyke. Ons fokus is 100% prakties, met stap-vir-stap instruksies, opdragvoorbeelde en beskrywings sodat die leser die proses in hul eie omgewing kan herhaal en die resultate kan valideer.

Hoekom Microsoft Defender vir eindpunt?

MDE integreer inheems met ander Microsoft-sekuriteitsoplossings soos Microsoft 365 Defender, Azure Active Directory (nou Microsoft Entra ID), Microsoft Intune en Microsoft Sentinel, wat 'n samehangende sekuriteitsmateriaal skep. Die belangrikste voordele daarvan sluit in:

  • Omvattende beskerming: Bespeur en blokkeer wanware, losprysware en lêerlose aanvalle.
  • In-diepte sigbaarheid: Deurlopende monitering van eindpuntaktiwiteit om verdagte gedrag te identifiseer.
  • Snelle reaksie: Outomatiese ondersoek- en herstelnutsmiddels om bedreigings vinnig te bevat.
  • Postuurbestuur: Assessering van kwesbaarhede en aanbevelings om sekuriteitshigiëne te verbeter.

Voorvereistes

Voordat u begin om Microsoft Defender vir Endpoint op te stel, maak seker dat aan die volgende voorvereistes voldoen word:

  1. Lisensiëring: 'n Geldige lisensie vir Microsoft Defender vir Eindpunt. Dit kan deel wees van pakkette soos Microsoft 365 E5, Microsoft 365 E3 (met sekuriteitbyvoeging), Windows E5, of selfstandige lisensies [2].
  2. Administratiewe toegang: Rekeninge met globale administrateur- of sekuriteitsadministrateurtoestemmings in die Microsoft 365 Defender-portaal (security.microsoft.com).
  3. Netwerkverbinding: Eindpunte moet internettoegang hê om met MDE-wolkdienste te kommunikeer. Maak seker dat die vereiste URL's en poorte op firewalls en gevolmagtigdes toegelaat word [3].
  4. Ondersteunde bedryfstelsels: MDE ondersteun 'n wye reeks bedryfstelsels, insluitend:
    • Windows 10/11 Enterprise, Pro, Education
    • Windows Server (2008 R2 SP1, 2012 R2, 2016, 2019, 2022)
    • macOS (onlangse weergawes)
    • Linux (verskeie verspreidings)
    • Android en iOS (via Microsoft Intune)
  5. Microsoft Intune (opsioneel, maar aanbeveel): Vir gesentraliseerde bestuur en grootskaalse toestelaanboord, word integrasie met Microsoft Intune sterk aanbeveel.

Stap vir stap: aktivering en aanvanklike konfigurasie

1. Aktiveer Microsoft Defender vir eindpunt

Die eerste stap is om die diens in jou huurder te aktiveer. Dit word gewoonlik outomaties gedoen wanneer die lisensie gekoop word, maar dit is van kardinale belang om na te gaan en te verseker dat die diens voorsien word.

  1. Gaan na die Microsoft 365 Defender-portaal: https://security.microsoft.com.
  2. Gaan in die linkernavigasiepaneel na Instellings (die rat-ikoon) > Eindpunte.
  3. Gaan die diensstatus na. As dit nie aktief is nie, volg die instruksies om die voorsieningsproses te begin. Jy sal dalk die diensbepalings moet aanvaar.

2. Algemene instellings en gevorderde kenmerke

Na aktivering is dit belangrik om die gevorderde kenmerke te hersien en op te stel wat MDE se opsporing- en reaksievermoëns verbeter.

  1. In die Microsoft 365 Defender-portaal, onder Instellings > Eindpunte, skies Gevorderde kenmerke.
  2. Aktiveer die volgende kenmerke (indien nie reeds geaktiveer nie) om beskerming te maksimeer:
    • Laat monsterontleding toe: Laat MDE toe om monsters van verdagte lêers vir ontleding te versamel. Kies tussen 'Outomaties' of 'Veilig'.
    • EDR-opsporing in Blokmodus: Laat MDE toe om kwaadwillige artefakte wat deur EDR bespeur word, te blokkeer, selfs al is die volgende generasie antivirus in passiewe modus.
    • Voorskouhulpbronne: Aktiveer toegang tot hulpbronne wat nog in die voorskoufase is. Aanbeveel vir toetsomgewings.
    • Integrasie met Microsoft Intune: Noodsaaklik vir die bestuur van toestelle en sekuriteitsbeleide.
    • Integrasie met Microsoft Cloud App Security: Brei sigbaarheid en beheer uit na wolktoepassings.
    • Integrasie met Azure Information Protection: Laat die beskerming van sensitiewe data toe.
    • Lêerkontekstoegang vir outomatiese ontleding: Verbeter outomatiese ondersoekvermoë.

3. Toestel aan boord

Die aanboordproses koppel toestelle aan die MDE-diens, wat hulle in staat stel om sekuriteitsdata te stuur en beleide te ontvang. Daar is verskeie maniere om aanboord te doen, afhangende van die grootte en infrastruktuur van jou organisasie.

Opsie A: Handmatige aanboord (vir min toestelle)

  1. Gaan in die Microsoft 365 Defender-portaal na Instellings > Eindpunte > Toestelbestuur > Onboarding.
  2. Kies die bedryfstelsel van die toestel wat jy wil integreer (byvoorbeeld: Windows 10 en 11).
  3. Kies die ontplooiingsmetode. Kies Local Script vir handmatige aanboord.
  4. Laai die aanboordpakket af ('n .zip-lêer wat 'n PowerShell-skrif bevat).
  5. Kopieer die skrip na die teikentoestel en laat dit met administrateurregte loop.
# Voorbeeld van die uitvoering van die aanboordskrif
# Maak seker dat die WindowsDefenderATPLocalScript.cmd-lêer in die huidige gids is
.\WindowsDefenderATPLocalScript.cmd

Opsie B: Aan boord via Microsoft Intune (vir groot skaal)

Dit is die mees aanbevole manier vir korporatiewe omgewings, aangesien dit jou toelaat om aanboord te outomatiseer en sekuriteitsbeleide te bestuur.

  1. Gaan MDE-Intune-verbinding na: In die Microsoft 365 Defender-portaal, onder Instellings > Eindpunte > Gevorderde kenmerke, maak seker dat Microsoft Intune-integrasie geaktiveer is.
  2. Gaan na die Microsoft Intune-portaal (Microsoft Endpoint Manager-administrasiesentrum): https://endpoint.microsoft.com.
  3. In die linkernavigasievenster, gaan na Eindpuntsekuriteit > Microsoft Defender vir Eindpunt.
  4. Gaan die Verbindingstatus na. Dit moet as 'Aangeskakel' verskyn. Indien nie, stel die verbinding op soos op die skerm aangedui.
  5. Skep 'n toestelkonfigurasiebeleid vir aanboord: Gaan in Intune na Eindpuntsekuriteit > Toestelaanboord.
  6. Klik Skep profiel.
  7. Kies Windows 10 en later vir Platform en Microsoft Defender vir Eindpunt vir Profiel.
  8. Gee die polis 'n naam en beskrywing.
  9. In instellings moet die aanboordtipe outomaties deur Intune gekonfigureer word as gevolg van die integrasie.
  10. Ken die beleid toe aan die gewenste toestelgroepe.

4. Opstel van sekuriteitsbeleide (Byvoorbeeld: Aanvaloppervlakvermindering)

Na aan boord is dit van kardinale belang om beleide op te stel om eindpunte te beskerm. Ons sal die Attack Surface Reduction (ASR)-reëls as voorbeeld gebruik.

  1. In die Microsoft 365 Defender-portaal, gaan na Instellings > Eindpunte > Aanvaloppervlakvermindering.
  2. Kies Aanval oppervlakverminderingreëls.
  3. Jy kan spesifieke reëls instel om kwaadwillige gedrag te blokkeer. Aktiveer byvoorbeeld die Blokkeer Windows Local Security Authority Subsystem Credential Theft-reël om geloofsbriewe te beskerm.
  4. Stel die reëlmodus op Oudit (om impak te monitor voor blokkering) of Blokkeer (om onmiddellik beskerming toe te pas).

Bekragtiging en toetsing

Die validering van die konfigurasie is 'n kritieke stap om te verseker dat MDE korrek werk en jou eindpunte beskerm.

1. Gaan sensorstatus op eindpunt na

Op die aangeboorde toestel kan jy die MDE-diensstatus nagaan.

  1. Maak oopOpdragprompt of PowerShell as administrateur.
  2. Voer die volgende opdrag uit om die status van die Sense-diens (die MDE-sensor) na te gaan:
sc navraag Sense
  • Verwagte resultaat: Die status moet 'LOOP' wees.

2. Gaan aanboordstatus op die portaal na

  1. In die Microsoft 365 Defender-portaal, gaan na Bates > Toestelle.
  2. Soek vir die naam van die toestel wat jy aan boord het. Dit moet in die lys verskyn met 'n status van 'Aktief' en 'n risiko- en blootstellingsvlak.
  3. Klik op die toestel om besonderhede te sien, insluitend waarskuwings, tydlyn en voldoeningstatus.

3. Toets EDR-opsporing (EICAR-toetslêer)

Om opsporingsvermoë te toets sonder om werklike skade te veroorsaak, kan jy die EICAR-toetslêer gebruik. Die MDE behoort dit op te spoor en 'n waarskuwing te genereer.

  1. Op 'n aangeboorde toestel, maak 'n blaaier oop en navigeer na https://www.eicar.org/download/eicar.com.txt.
  2. Probeer om die inhoud van die EICAR-lêer af te laai of na jou toestel te kopieer.
  3. Die MDE moet die aksie blokkeer en 'n waarskuwing genereer. Gaan die Microsoft 365 Defender-portaal na onder Insidente en waarskuwings > Waarskuwings om die gegenereerde waarskuwing te sien.

Sekuriteitswenke en beste praktyke

  • Hou MDE opgedateer: Maak seker dat MDE-sekuriteitsagente en -definisies altyd op datum is. Microsoft stel voortdurend opdaterings vry om beskerming te verbeter.
  • Integreer met ander oplossings: Maak gebruik van MDE-integrasie met Microsoft Intune, Microsoft Sentinel, Azure AD Identity Protection, en Microsoft Cloud App Security vir 'n verenigde aansig en gelaagde beskerming.
  • Monitor aktief: Hersien gereeld waarskuwings en voorvalle in die Microsoft 365 Defender-portaal. Stel e-poskennisgewings op vir kritieke waarskuwings.
  • Gebruik Ouditmodus vir ASR: Wanneer jy nuwe Aanvaloppervlakvermindering-reëls implementeer, begin in ouditmodus om die impak te verstaan ​​en onderbrekings te vermy voordat blokkeermodus toegepas word.
  • Segmenteer die netwerk: Implementeer netwerksegmentering om laterale verspreiding van aanvalle te beperk, selfs al word 'n eindpunt in gevaar gestel.
  • Trein Gebruikers: Gebruikersbewustheid is 'n deurslaggewende verdedigingslinie. Leer werknemers op oor die beste praktyke vir kuberveiligheid.

Algemene probleemoplossing

  • Toestel verskyn nie in die portaal: Kontroleer netwerkverbinding, die status van die Sense-diens op die eindpunt en of die aanboordskrif korrek geloop het. Kontroleer die status van die Intune-MDE-verbinding in omgewings met Intune.
  • Ontbrekende waarskuwings: Maak seker dat gevorderde opsporingkenmerke geaktiveer is. Kyk vir antivirus-uitsluitings wat opsporing moontlik verhinder.
  • Verrigtingkwessies: MDE is geoptimaliseer vir lae werkverrigting-impak, maar in seldsame gevalle kan konflik met ander sekuriteitsagteware voorkom. Hersien Microsoft se versoenbaarheidsriglyne.
  • Onboarding script failed: Gaan die stelselgebeurtenislogboeke op die eindpunt na vir foutboodskappe. Maak seker dat die skrip met administrateurvoorregte uitgevoer is.

Gevolgtrekking

Microsoft Defender for Endpoint is 'n kragtige en noodsaaklike hulpmiddel vir moderne verdediging teen kuberbedreigings. Deur hierdie gids te volg, sal jy MDE in jou omgewing kan aktiveer, konfigureer en valideer, wat 'n stewige grondslag vir die sekuriteit van jou eindpunte daarstel. Onthou dat sekuriteit 'n deurlopende proses is wat konstante monitering, aanpassings en opdaterings vereis. Om MDE effektief te implementeer is 'n belangrike stap in die rigting van die beskerming van jou organisasie teen die voortdurend ontwikkelende bedreigingslandskap.

Verwysings:

[1] Microsoft Learn. Microsoft Defender vir eindpunt. Beskikbaar by: [https: [2] Microsoft Learn. Minimum vereistes vir Microsoft Defender vir eindpunt. Beskikbaar by: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements?view=o365-worldwide](https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/eminumumview=e365-worldwide/ [3] Microsoft Learn. Konfigureer die netwerkomgewing vir Microsoft Defender vir Endpointt. Beskikbaar by: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/configure-network?view=o365-worldwide '''