Como ativar e configurar o Microsoft Defender for Endpoint do zero

Como ativar e configurar o Microsoft Defender for Endpoint do zero

01/01/2024

Este artigo técnico e educativo tem como objetivo fornecer um guia prático e detalhado sobre como ativar e configurar o Microsoft Defender for Endpoint (MDE) do zero. O MDE é uma plataforma de segurança de endpoint unificada para proteção preventiva, detecção pós-violação, investigação automatizada e resposta. É uma ferramenta essencial para analistas de segurança, administradores de TI e engenheiros de sistemas que buscam fortalecer a postura de segurança de seus ambientes Microsoft.

Introdução

O cenário de ameaças cibernéticas está em constante evolução, com ataques cada vez mais sofisticados e direcionados. Proteger os endpoints — computadores, servidores, dispositivos móveis — é uma prioridade máxima para qualquer organização. O Microsoft Defender for Endpoint (MDE) oferece uma solução robusta que vai além do antivírus tradicional, proporcionando recursos avançados de Detecção e Resposta de Endpoint (EDR), Gerenciamento de Vulnerabilidades e Ameaças, Redução de Superfície de Ataque, Proteção de Próxima Geração e Investigação e Remediação Automatizadas [1].

Este guia abordará as etapas fundamentais para a implementação do MDE, desde os pré-requisitos iniciais até a configuração de recursos essenciais, validação e melhores práticas. Nosso foco é 100% prático, com instruções passo a passo, exemplos de comandos e descrições para que o leitor possa replicar o processo em seu próprio ambiente e validar os resultados.

Por que o Microsoft Defender for Endpoint?

O MDE integra-se nativamente com outras soluções de segurança da Microsoft, como o Microsoft 365 Defender, Azure Active Directory (agora Microsoft Entra ID), Microsoft Intune e Microsoft Sentinel, criando uma malha de segurança coesa. Seus principais benefícios incluem:

  • Proteção Abrangente: Detecção e bloqueio de malware, ransomware e ataques sem arquivo.
  • Visibilidade Aprofundada: Monitoramento contínuo de atividades de endpoint para identificar comportamentos suspeitos.
  • Resposta Rápida: Ferramentas de investigação e remediação automatizadas para conter ameaças rapidamente.
  • Gerenciamento de Postura: Avaliação de vulnerabilidades e recomendações para melhorar a higiene de segurança.

Pré-requisitos

Antes de iniciar a configuração do Microsoft Defender for Endpoint, certifique-se de que os seguintes pré-requisitos sejam atendidos:

  1. Licenciamento: Uma licença válida para Microsoft Defender for Endpoint. Isso pode ser parte de pacotes como Microsoft 365 E5, Microsoft 365 E3 (com add-on de segurança), Windows E5, ou licenças autônomas [2].
  2. Acesso Administrativo: Contas com permissões de Administrador Global ou Administrador de Segurança no portal do Microsoft 365 Defender (security.microsoft.com).
  3. Conectividade de Rede: Os endpoints devem ter acesso à internet para se comunicar com os serviços de nuvem do MDE. Certifique-se de que as URLs e portas necessárias estejam permitidas em firewalls e proxies [3].
  4. Sistemas Operacionais Suportados: O MDE suporta uma ampla gama de sistemas operacionais, incluindo:
    • Windows 10/11 Enterprise, Pro, Education
    • Windows Server (2008 R2 SP1, 2012 R2, 2016, 2019, 2022)
    • macOS (versões recentes)
    • Linux (várias distribuições)
    • Android e iOS (via Microsoft Intune)
  5. Microsoft Intune (Opcional, mas Recomendado): Para gerenciamento centralizado e onboarding de dispositivos em larga escala, a integração com o Microsoft Intune é altamente recomendada.

Passo a Passo: Ativação e Configuração Inicial

1. Ativar o Microsoft Defender for Endpoint

O primeiro passo é ativar o serviço em seu tenant. Isso geralmente é feito automaticamente ao adquirir a licença, mas é crucial verificar e garantir que o serviço esteja provisionado.

  1. Acesse o portal do Microsoft 365 Defender: https://security.microsoft.com.
  2. No painel de navegação esquerdo, vá para Configurações (o ícone de engrenagem) > Endpoints.
  3. Verifique o status do serviço. Se não estiver ativo, siga as instruções para iniciar o processo de provisionamento. Pode ser necessário aceitar os termos de serviço.

2. Configurações Gerais e Recursos Avançados

Após a ativação, é importante revisar e configurar os recursos avançados que potencializam a capacidade de detecção e resposta do MDE.

  1. No portal do Microsoft 365 Defender, em Configurações > Endpoints, selecione Recursos avançados.
  2. Habilite os seguintes recursos (se ainda não estiverem ativados) para maximizar a proteção:
    • Permitir análise de amostra: Permite que o MDE colete amostras de arquivos suspeitos para análise. Escolha entre 'Automático' ou 'Seguro'.
    • Detecção de EDR em modo de bloco: Permite que o MDE bloqueie artefatos maliciosos detectados pelo EDR, mesmo que o antivírus de próxima geração esteja em modo passivo.
    • Recursos de visualização: Ativa o acesso a recursos que ainda estão em fase de visualização (preview). Recomendado para ambientes de teste.
    • Integração com Microsoft Intune: Essencial para o gerenciamento de dispositivos e políticas de segurança.
    • Integração com Microsoft Cloud App Security: Estende a visibilidade e controle para aplicativos em nuvem.
    • Integração com Azure Information Protection: Permite a proteção de dados sensíveis.
    • Acesso ao contexto de arquivo para análise automatizada: Melhora a capacidade de investigação automatizada.

3. Onboarding de Dispositivos

O processo de onboarding conecta os dispositivos ao serviço MDE, permitindo que eles enviem dados de segurança e recebam políticas. Existem várias maneiras de fazer o onboarding, dependendo do tamanho e da infraestrutura da sua organização.

Opção A: Onboarding Manual (para poucos dispositivos)

  1. No portal do Microsoft 365 Defender, vá para Configurações > Endpoints > Gerenciamento de dispositivos > Onboarding.
  2. Selecione o sistema operacional do dispositivo que você deseja integrar (ex: Windows 10 e 11).
  3. Escolha o método de implantação. Para onboarding manual, selecione Script local.
  4. Baixe o pacote de onboarding (um arquivo .zip contendo um script PowerShell).
  5. Copie o script para o dispositivo de destino e execute-o com privilégios de administrador.
# Exemplo de execução do script de onboarding
# Certifique-se de que o arquivo WindowsDefenderATPLocalScript.cmd esteja no diretório atual
.\WindowsDefenderATPLocalScript.cmd

Opção B: Onboarding via Microsoft Intune (para larga escala)

Esta é a forma mais recomendada para ambientes corporativos, pois permite automatizar o onboarding e gerenciar políticas de segurança.

  1. Verifique a Conexão MDE-Intune: No portal do Microsoft 365 Defender, em Configurações > Endpoints > Recursos avançados, certifique-se de que a Integração com Microsoft Intune esteja habilitada.
  2. Acesse o portal do Microsoft Intune (Microsoft Endpoint Manager admin center): https://endpoint.microsoft.com.
  3. No painel de navegação esquerdo, vá para Segurança de endpoint > Microsoft Defender for Endpoint.
  4. Verifique o Status da Conexão. Deve aparecer como 'Habilitado'. Se não, configure a conexão conforme as instruções na tela.
  5. Crie uma Política de Configuração de Dispositivo para Onboarding: No Intune, vá para Segurança de endpoint > Onboarding de dispositivos.
  6. Clique em Criar perfil.
  7. Selecione Windows 10 e posterior para Plataforma e Microsoft Defender for Endpoint para Perfil.
  8. Dê um nome e uma descrição para a política.
  9. Nas configurações, o tipo de onboarding deve ser configurado automaticamente pelo Intune devido à integração.
  10. Atribua a política aos grupos de dispositivos desejados.

4. Configuração de Políticas de Segurança (Exemplo: Redução da Superfície de Ataque)

Após o onboarding, é crucial configurar políticas para proteger os endpoints. Usaremos como exemplo as regras de Redução da Superfície de Ataque (ASR).

  1. No portal do Microsoft 365 Defender, vá para Configurações > Endpoints > Redução da superfície de ataque.
  2. Selecione Regras de redução da superfície de ataque.
  3. Você pode configurar regras específicas para bloquear comportamentos maliciosos. Por exemplo, habilite a regra Bloquear o roubo de credenciais do subsistema de autoridade de segurança local do Windows para proteger credenciais.
  4. Defina o modo da regra para Auditoria (para monitorar o impacto antes de bloquear) ou Bloquear (para aplicar a proteção imediatamente).

Validação e Teste

Validar a configuração é um passo crítico para garantir que o MDE esteja funcionando corretamente e protegendo seus endpoints.

1. Verificar o Status do Sensor no Endpoint

No dispositivo onboarded, você pode verificar o status do serviço do MDE.

  1. Abra o Prompt de Comando ou PowerShell como administrador.
  2. Execute o seguinte comando para verificar o status do serviço Sense (o sensor do MDE):
sc query Sense
  • Resultado Esperado: O status deve ser RUNNING.

2. Verificar o Status de Onboarding no Portal

  1. No portal do Microsoft 365 Defender, vá para Ativos > Dispositivos.
  2. Procure pelo nome do dispositivo que você onboarded. Ele deve aparecer na lista com um status de 'Ativo' e um nível de risco e exposição.
  3. Clique no dispositivo para ver detalhes, incluindo alertas, linha do tempo e status de conformidade.

3. Testar a Detecção de EDR (Arquivo de Teste EICAR)

Para testar a capacidade de detecção sem causar danos reais, você pode usar o arquivo de teste EICAR. O MDE deve detectá-lo e gerar um alerta.

  1. Em um dispositivo onboarded, abra um navegador e navegue até https://www.eicar.org/download/eicar.com.txt.
  2. Tente baixar ou copiar o conteúdo do arquivo EICAR para o dispositivo.
  3. O MDE deve bloquear a ação e gerar um alerta. Verifique o portal do Microsoft 365 Defender em Incidentes e alertas > Alertas para ver o alerta gerado.

Dicas de Segurança e Melhores Práticas

  • Mantenha o MDE Atualizado: Certifique-se de que os agentes e as definições de segurança do MDE estejam sempre atualizados. A Microsoft lança atualizações contínuas para aprimorar a proteção.
  • Integre com Outras Soluções: Aproveite a integração do MDE com o Microsoft Intune, Microsoft Sentinel, Azure AD Identity Protection e Microsoft Cloud App Security para uma visão unificada e proteção em camadas.
  • Monitore Ativamente: Revise regularmente os alertas e incidentes no portal do Microsoft 365 Defender. Configure notificações por e-mail para alertas críticos.
  • Use o Modo de Auditoria para ASR: Ao implementar novas regras de Redução da Superfície de Ataque, comece no modo de auditoria para entender o impacto e evitar interrupções antes de aplicar o modo de bloqueio.
  • Segmente a Rede: Implemente segmentação de rede para limitar a propagação lateral de ataques, mesmo que um endpoint seja comprometido.
  • Treine Usuários: A conscientização dos usuários é uma linha de defesa crucial. Eduque os funcionários sobre as melhores práticas de segurança cibernética.

Troubleshooting Comum

  • Dispositivo não aparece no portal: Verifique a conectividade de rede, o status do serviço Sense no endpoint e se o script de onboarding foi executado corretamente. Em ambientes com Intune, verifique o status da conexão Intune-MDE.
  • Alertas ausentes: Certifique-se de que os recursos avançados de detecção estejam habilitados. Verifique se há exclusões de antivírus que possam estar impedindo a detecção.
  • Problemas de desempenho: O MDE é otimizado para baixo impacto no desempenho, mas em casos raros, podem ocorrer conflitos com outros softwares de segurança. Revise as diretrizes de compatibilidade da Microsoft.
  • Falha no script de onboarding: Verifique os logs de eventos do sistema no endpoint para mensagens de erro. Certifique-se de que o script foi executado com privilégios de administrador.

Conclusão

O Microsoft Defender for Endpoint é uma ferramenta poderosa e essencial para a defesa moderna contra ameaças cibernéticas. Ao seguir este guia, você será capaz de ativar, configurar e validar o MDE em seu ambiente, estabelecendo uma base sólida para a segurança de seus endpoints. Lembre-se de que a segurança é um processo contínuo que exige monitoramento, ajustes e atualizações constantes. A implementação eficaz do MDE é um passo significativo para proteger sua organização contra o cenário de ameaças em constante evolução.

Referências:

[1] Microsoft Learn. Microsoft Defender for Endpoint. Disponível em: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide [2] Microsoft Learn. Requisitos mínimos para o Microsoft Defender for Endpoint. Disponível em: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements?view=o365-worldwide [3] Microsoft Learn. Configurar o ambiente de rede para o Microsoft Defender for Endpoint. Disponível em: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/configure-network?view=o365-worldwide '''