كيفية تفعيل وتكوين Microsoft Defender لنقطة النهاية من البداية

كيفية تفعيل وتكوين Microsoft Defender لنقطة النهاية من البداية

01/01/2024

تهدف هذه المقالة الفنية والتعليمية إلى توفير دليل عملي ومفصل حول كيفية تمكين وتكوين Microsoft Defender for Endpoint (MDE) من البداية. MDE عبارة عن منصة أمان موحدة لنقطة النهاية للحماية الوقائية واكتشاف ما بعد الانتهاك والتحقيق والاستجابة الآلية. إنها أداة أساسية لمحللي الأمن ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة الذين يتطلعون إلى تعزيز الوضع الأمني ​​لبيئات Microsoft الخاصة بهم.

مقدمة

يتطور مشهد التهديدات السيبرانية باستمرار، حيث أصبحت الهجمات أكثر تعقيدًا واستهدافًا. تعد حماية نقاط النهاية — أجهزة الكمبيوتر والخوادم والأجهزة المحمولة — أولوية قصوى لأي مؤسسة. يقدم Microsoft Defender for Endpoint (MDE) حلاً قويًا يتجاوز برامج مكافحة الفيروسات التقليدية من خلال توفير اكتشاف متقدم لنقطة النهاية والاستجابة لها (EDR)، وإدارة الثغرات الأمنية والتهديدات، وتقليل سطح الهجوم، وحماية الجيل التالي، وقدرات التحقيق والمعالجة الآلية [1].

سيغطي هذا الدليل الخطوات الأساسية لتنفيذ MDE، بدءًا من المتطلبات الأساسية الأولية وحتى تكوين الموارد الأساسية والتحقق وأفضل الممارسات. ينصب تركيزنا على العمل بنسبة 100%، مع تعليمات خطوة بخطوة وأمثلة الأوامر والأوصاف حتى يتمكن القارئ من تكرار العملية في بيئته الخاصة والتحقق من صحة النتائج.

لماذا Microsoft Defender لنقطة النهاية؟

يتكامل MDE أصلاً مع حلول أمان Microsoft الأخرى مثل Microsoft 365 Defender وAzure Active Directory (المعروف الآن باسم Microsoft Entra ID) وMicrosoft Intune وMicrosoft Sentinel، مما يؤدي إلى إنشاء نسيج أمان متماسك. وتشمل فوائده الرئيسية ما يلي:

  • الحماية الشاملة: اكتشاف البرامج الضارة وبرامج الفدية والهجمات التي لا تحتوي على ملفات وحظرها.
  • رؤية متعمقة: مراقبة مستمرة لنشاط نقطة النهاية لتحديد السلوك المشبوه.
  • الاستجابة السريعة: أدوات التحقيق والمعالجة الآلية لاحتواء التهديدات بسرعة.
  • إدارة الوضع: تقييم نقاط الضعف والتوصيات لتحسين النظافة الأمنية.

المتطلبات الأساسية

قبل البدء في تكوين Microsoft Defender لنقطة النهاية، تأكد من استيفاء المتطلبات الأساسية التالية:

  1. الترخيص: ترخيص صالح لبرنامج Microsoft Defender لنقطة النهاية. يمكن أن يكون هذا جزءًا من حزم مثل Microsoft 365 E5، أو Microsoft 365 E3 (مع الوظيفة الإضافية للأمان)، أو Windows E5، أو التراخيص المستقلة [2].
  2. الوصول الإداري: حسابات تتمتع بأذونات المسؤول العام أو مسؤول الأمان في مدخل Microsoft 365 Defender (security.microsoft.com).
  3. الاتصال بالشبكة: يجب أن تتمتع نقاط النهاية بإمكانية الوصول إلى الإنترنت للتواصل مع خدمات MDE السحابية. تأكد من السماح بعناوين URL والمنافذ المطلوبة على جدران الحماية والوكلاء [3].
  4. أنظمة التشغيل المدعومة: يدعم MDE مجموعة واسعة من أنظمة التشغيل، بما في ذلك:
    • ويندوز 10/11 إنتربرايز، برو، التعليم
    • خادم ويندوز (2008 R2 SP1، 2012 R2، 2016، 2019، 2022)
    • نظام التشغيل MacOS (الإصدارات الأخيرة)
    • لينكس (توزيعات مختلفة)
    • Android وiOS (عبر Microsoft Intune)
  5. Microsoft Intune (اختياري، لكن موصى به): بالنسبة للإدارة المركزية وتأهيل الأجهزة على نطاق واسع، يوصى بشدة بالتكامل مع Microsoft Intune.

خطوة بخطوة: التنشيط والتكوين الأولي

1. قم بتمكين Microsoft Defender لنقطة النهاية

الخطوة الأولى هي تفعيل الخدمة في المستأجر الخاص بك. يتم ذلك عادةً تلقائيًا عند شراء الترخيص، ولكن من المهم التحقق والتأكد من توفير الخدمة.

  1. انتقل إلى مدخل Microsoft 365 Defender: https://security.microsoft.com.
  2. في جزء التنقل الأيمن، انتقل إلى الإعدادات (رمز الترس) > نقاط النهاية.
  3. التحقق من حالة الخدمة. إذا لم يكن نشطًا، فاتبع الإرشادات لبدء عملية التزويد. قد تحتاج إلى قبول شروط الخدمة.

2. الإعدادات العامة والميزات المتقدمة

بعد التنشيط، من المهم مراجعة وتكوين الميزات المتقدمة التي تعمل على تحسين قدرات الكشف والاستجابة الخاصة بـ MDE.

  1. في مدخل Microsoft 365 Defender، ضمن الإعدادات > نقاط النهاية،حدد الميزات المتقدمة.
  2. قم بتمكين الميزات التالية (إذا لم تكن ممكّنة بالفعل) لتحقيق أقصى قدر من الحماية:
    • السماح بتحليل العينات: يسمح لـ MDE بجمع عينات من الملفات المشبوهة لتحليلها. اختر بين "تلقائي" أو "آمن".
    • اكتشاف EDR في وضع الحظر: يسمح لـ MDE بحظر العناصر الضارة التي اكتشفها EDR، حتى لو كان برنامج مكافحة الفيروسات من الجيل التالي في الوضع السلبي.
    • معاينة الموارد: لتنشيط الوصول إلى الموارد التي لا تزال في مرحلة المعاينة. يوصى به لبيئات الاختبار.
    • التكامل مع Microsoft Intune: ضروري لإدارة الأجهزة وسياسات الأمان.
    • التكامل مع Microsoft Cloud App Security: يوسع نطاق الرؤية والتحكم ليشمل التطبيقات السحابية.
    • التكامل مع حماية معلومات Azure: يسمح بحماية البيانات الحساسة.
    • الوصول إلى سياق الملف للتحليل الآلي: يعمل على تحسين إمكانية التحقيق الآلي.

3. إعداد الجهاز

تقوم عملية الإعداد بتوصيل الأجهزة بخدمة MDE، مما يسمح لها بإرسال بيانات الأمان وتلقي السياسات. هناك عدة طرق للقيام بعملية الإعداد، اعتمادًا على حجم مؤسستك وبنيتها التحتية.

الخيار أ: الإعداد اليدوي (لعدد قليل من الأجهزة)

  1. في مدخل Microsoft 365 Defender، انتقل إلى الإعدادات > نقاط النهاية > إدارة الأجهزة > التأهيل.
  2. حدد نظام تشغيل الجهاز الذي تريد دمجه (على سبيل المثال: Windows 10 و11).
  3. اختر طريقة النشر. للإعداد اليدوي، حدد البرنامج النصي المحلي.
  4. قم بتنزيل حزمة الإعداد (ملف بتنسيق .zip يحتوي على برنامج PowerShell النصي).
  5. انسخ البرنامج النصي إلى الجهاز المستهدف وقم بتشغيله بامتيازات المسؤول.
# مثال على تنفيذ البرنامج النصي للتأهيل
# تأكد من وجود ملف WindowsDefenderATPLocalScript.cmd في الدليل الحالي
.\WindowsDefenderATPLocalScript.cmd

الخيار ب: الإعداد عبر Microsoft Intune (على نطاق واسع)

هذه هي الطريقة الأكثر الموصى بها لبيئات الشركات، لأنها تسمح لك بأتمتة عملية الإعداد وإدارة سياسات الأمان.

  1. التحقق من اتصال MDE-Intune: في مدخل Microsoft 365 Defender، ضمن الإعدادات > نقاط النهاية > الميزات المتقدمة، تأكد من تمكين Microsoft Intune Integration.
  2. قم بالوصول إلى بوابة Microsoft Intune (مركز إدارة Microsoft Endpoint Manager): https://endpoint.microsoft.com.
  3. في جزء التنقل الأيمن، انتقل إلى Endpoint Security > Microsoft Defender for Endpoint.
  4. تحقق من حالة الاتصال. يجب أن يظهر كـ "ممكّن". إذا لم يكن الأمر كذلك، فقم بتكوين الاتصال حسب التعليمات التي تظهر على الشاشة.
  5. إنشاء سياسة تكوين الجهاز من أجل الإعداد: في Intune، انتقل إلى Endpoint Security > Device Onboarding.
  6. انقر إنشاء ملف تعريف.
  7. حدد Windows 10 والإصدارات الأحدث للنظام الأساسي وMicrosoft Defender لنقطة النهاية لملف التعريف.
  8. أعط السياسة اسمًا ووصفًا.
  9. في الإعدادات، يجب تكوين نوع الإعداد تلقائيًا بواسطة Intune بسبب التكامل.
  10. قم بتعيين السياسة لمجموعات الأجهزة المطلوبة.

4. تكوين سياسات الأمان (مثال: تقليل مساحة الهجوم)

بعد الإعداد، من الضروري تكوين السياسات لحماية نقاط النهاية. سوف نستخدم قواعد تقليل سطح الهجوم (ASR) كمثال.

  1. في مدخل Microsoft 365 Defender، انتقل إلى الإعدادات > نقاط النهاية > تقليل سطح الهجوم.
  2. حدد قواعد تقليل سطح الهجوم.
  3. يمكنك تكوين قواعد محددة لمنع السلوك الضار. على سبيل المثال، قم بتمكين قاعدة حظر سرقة بيانات اعتماد النظام الفرعي لسلطة الأمان المحلية لـ Windows لحماية بيانات الاعتماد.
  4. اضبط وضع القاعدة على التدقيق (لمراقبة التأثير قبل الحظر) أو الحظر (لتطبيق الحماية على الفور).

التحقق والاختبار

يعد التحقق من صحة التكوين خطوة حاسمة لضمان عمل MDE بشكل صحيح وحماية نقاط النهاية الخاصة بك.

1. التحقق من حالة المستشعر على نقطة النهاية

على الجهاز المدمج، يمكنك التحقق من حالة خدمة MDE.

  1. افتحموجه الأوامر أو PowerShell كمسؤول.
  2. قم بتشغيل الأمر التالي للتحقق من حالة خدمة "Sense" (مستشعر MDE):
الشوري الاستعلام المعنى
  • النتيجة المتوقعة: يجب أن تكون الحالة "قيد التشغيل".

2. تحقق من حالة الإعداد على البوابة

  1. في مدخل Microsoft 365 Defender، انتقل إلى الأصول > الأجهزة.
  2. ابحث عن اسم الجهاز الذي قمت بتثبيته. يجب أن يظهر في القائمة بالحالة "نشط" ومستوى المخاطرة والتعرض.
  3. انقر فوق الجهاز لعرض التفاصيل، بما في ذلك التنبيهات والمخطط الزمني وحالة الامتثال.

3. اختبار اكتشاف EDR (ملف اختبار EICAR)

لاختبار القدرة على الكشف دون التسبب في ضرر حقيقي، يمكنك استخدام ملف اختبار EICAR. يجب على MDE اكتشافه وإصدار تنبيه.

  1. على الجهاز المدمج، افتح المتصفح وانتقل إلى https://www.eicar.org/download/eicar.com.txt.
  2. حاول تنزيل أو نسخ محتويات ملف EICAR إلى جهازك.
  3. يجب على MDE منع الإجراء وإصدار تنبيه. تحقق من مدخل Microsoft 365 Defender ضمن الحوادث والتنبيهات > التنبيهات لرؤية التنبيه الذي تم إنشاؤه.

نصائح أمنية وأفضل الممارسات

  • حافظ على تحديث MDE: تأكد من أن عوامل أمان MDE وتعريفاتها محدثة دائمًا. تقوم Microsoft باستمرار بإصدار تحديثات لتحسين الحماية.
  • التكامل مع الحلول الأخرى: استفد من تكامل MDE مع Microsoft Intune وMicrosoft Sentinel وAzure AD Identity Protection وMicrosoft Cloud App Security للحصول على عرض موحد وحماية متعددة الطبقات.
  • المراقبة النشطة: قم بمراجعة التنبيهات والحوادث بشكل منتظم في مدخل Microsoft 365 Defender. تكوين إشعارات البريد الإلكتروني للتنبيهات الهامة.
  • استخدام وضع التدقيق لـ ASR: عند تنفيذ قواعد جديدة للحد من سطح الهجوم، ابدأ في وضع التدقيق لفهم التأثير وتجنب الانقطاعات قبل تطبيق وضع الحظر.
  • تقسيم الشبكة: قم بتنفيذ تجزئة الشبكة للحد من الانتشار الجانبي للهجمات، حتى لو تم اختراق نقطة النهاية.
  • تدريب المستخدمين: يعد وعي المستخدم خط دفاع حاسم. تثقيف الموظفين حول أفضل ممارسات الأمن السيبراني.

استكشاف الأخطاء وإصلاحها الشائعة

  • لا يظهر الجهاز في البوابة الإلكترونية: تحقق من اتصال الشبكة وحالة خدمة Sense على نقطة النهاية وما إذا كان البرنامج النصي للإعداد يعمل بشكل صحيح. في البيئات التي تستخدم Intune، تحقق من حالة اتصال Intune-MDE.
  • التنبيهات المفقودة: تأكد من تمكين ميزات الكشف المتقدمة. تحقق من وجود استثناءات برامج مكافحة الفيروسات التي قد تمنع الاكتشاف.
  • مشكلات الأداء: تم تحسين MDE للتعامل مع التأثير المنخفض على الأداء، ولكن في حالات نادرة قد يحدث تعارض مع برامج الأمان الأخرى. قم بمراجعة إرشادات التوافق الخاصة بشركة Microsoft.
  • فشل البرنامج النصي للتشغيل: تحقق من سجلات أحداث النظام على نقطة النهاية بحثًا عن رسائل الخطأ. تأكد من تشغيل البرنامج النصي بامتيازات المسؤول.

الخلاصة

يعد Microsoft Defender for Endpoint أداة قوية وأساسية للدفاع الحديث ضد التهديدات السيبرانية. باتباع هذا الدليل، ستتمكن من تمكين MDE وتكوينه والتحقق من صحته في بيئتك، مما يؤدي إلى إنشاء أساس متين لأمان نقاط النهاية الخاصة بك. تذكر أن الأمان عملية مستمرة تتطلب مراقبة وتعديلات وتحديثات مستمرة. يعد تنفيذ MDE بشكل فعال خطوة مهمة نحو حماية مؤسستك من مشهد التهديدات المتطور باستمرار.

المراجع:

[1] مايكروسوفت تعلم. Microsoft Defender لنقطة النهاية. متوفر على: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide [2] مايكروسوفت تعلم. الحد الأدنى من متطلبات برنامج Microsoft Defender لنقطة النهاية. متوفر على: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements?view=o365-worldwide [3] مايكروسوفت تعلم. قم بتكوين بيئة الشبكة لبرنامج Microsoft Defender لنقطة النهايةر. متوفر على: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/configure-network?view=o365-worldwide '''