Jak od začátku aktivovat a nakonfigurovat Microsoft Defender pro Endpoint

Jak od začátku aktivovat a nakonfigurovat Microsoft Defender pro Endpoint

01.01.2024

Tento technický a vzdělávací článek si klade za cíl poskytnout praktického a podrobného průvodce, jak povolit a nakonfigurovat Microsoft Defender for Endpoint (MDE) od začátku. MDE je jednotná platforma zabezpečení koncových bodů pro preventivní ochranu, detekci po narušení, automatizované vyšetřování a reakci. Je to nezbytný nástroj pro bezpečnostní analytiky, IT administrátory a systémové inženýry, kteří chtějí posílit bezpečnostní pozici svých prostředí Microsoft.

Úvod

Oblast kybernetických hrozeb se neustále vyvíjí a útoky jsou stále sofistikovanější a cílenější. Ochrana koncových bodů – počítačů, serverů, mobilních zařízení – je nejvyšší prioritou každé organizace. Microsoft Defender for Endpoint (MDE) nabízí robustní řešení, které přesahuje tradiční antivirus tím, že poskytuje pokročilé funkce detekce a odezvy koncových bodů (EDR), zranitelnosti a hrozby, redukce útočných ploch, ochrana nové generace a automatické vyšetřování a náprava [1].

Tato příručka pokryje základní kroky pro implementaci MDE, od počátečních předpokladů až po základní konfiguraci zdrojů, ověření a osvědčené postupy. Naše zaměření je 100% praktické, s pokyny krok za krokem, příklady příkazů a popisy, takže čtenář může replikovat proces ve svém vlastním prostředí a ověřit výsledky.

Proč Microsoft Defender pro Endpoint?

MDE se nativně integruje s dalšími bezpečnostními řešeními společnosti Microsoft, jako je Microsoft 365 Defender, Azure Active Directory (nyní Microsoft Entra ID), Microsoft Intune a Microsoft Sentinel, čímž vytváří soudržnou bezpečnostní strukturu. Mezi jeho hlavní výhody patří:

  • Komplexní ochrana: Detekujte a blokujte malware, ransomware a útoky bez souborů.
  • Hloubková viditelnost: Nepřetržité sledování aktivity koncového bodu k identifikaci podezřelého chování.
  • Rychlá odezva: Automatické nástroje pro vyšetřování a nápravu k rychlému potlačení hrozeb.
  • Správa držení těla: Posouzení zranitelnosti a doporučení pro zlepšení hygieny zabezpečení.

Předpoklady

Než začnete konfigurovat Microsoft Defender pro Endpoint, ujistěte se, že jsou splněny následující předpoklady:

  1. Licencování: Platná licence pro Microsoft Defender for Endpoint. To může být součástí balíčků, jako je Microsoft 365 E5, Microsoft 365 E3 (s bezpečnostním doplňkem), Windows E5 nebo samostatné licence [2].
  2. Přístup pro správce: Účty s oprávněními globálního správce nebo správce zabezpečení na portálu Microsoft 365 Defender (security.microsoft.com).
  3. Připojení k síti: Koncové body musí mít přístup k internetu, aby mohly komunikovat s cloudovými službami MDE. Ujistěte se, že jsou na firewallech a serverech proxy povoleny požadované adresy URL a porty [3].
  4. Podporované operační systémy: MDE podporuje širokou škálu operačních systémů, včetně:
    • Windows 10/11 Enterprise, Pro, Education
    • Windows Server (2008 R2 SP1, 2012 R2, 2016, 2019, 2022)
    • macOS (poslední verze)
    • Linux (různé distribuce)
    • Android a iOS (prostřednictvím Microsoft Intune)
  5. Microsoft Intune (volitelné, ale doporučené): Pro centralizovanou správu a integraci zařízení ve velkém měřítku se důrazně doporučuje integrace s Microsoft Intune.

Krok za krokem: Aktivace a počáteční konfigurace

1. Povolte Microsoft Defender pro Endpoint

Prvním krokem je aktivace služby ve vašem tenantovi. To se obvykle provádí automaticky při nákupu licence, ale je důležité zkontrolovat a zajistit, že služba je zřízena.

  1. Přejděte na portál Microsoft 365 Defender: https://security.microsoft.com.
  2. V levém navigačním panelu přejděte na Nastavení (ikona ozubeného kola) > Koncové body.
  3. Zkontrolujte stav služby. Pokud není aktivní, spusťte proces zřizování podle pokynů. Možná budete muset přijmout podmínky služby.

2. Obecná nastavení a pokročilé funkce

Po aktivaci je důležité zkontrolovat a nakonfigurovat pokročilé funkce, které zlepšují schopnosti detekce a odezvy MDE.

  1. Na portálu Microsoft 365 Defender v části Nastavení > Koncové body svyberte Pokročilé funkce.
  2. Chcete-li maximalizovat ochranu, povolte následující funkce (pokud již nejsou povoleny):
    • Povolit analýzu vzorků: Umožňuje MDE shromažďovat vzorky podezřelých souborů pro analýzu. Vyberte si mezi „Automaticky“ nebo „Zabezpečení“.
    • Detekce EDR v režimu blokování: Umožňuje MDE blokovat škodlivé artefakty detekované EDR, i když je antivirus nové generace v pasivním režimu.
    • Náhled zdrojů: Aktivuje přístup ke zdrojům, které jsou stále ve fázi náhledu. Doporučeno pro testovací prostředí.
    • Integrace s Microsoft Intune: Nezbytná pro správu zařízení a zásad zabezpečení.
    • Integrace s Microsoft Cloud App Security: Rozšiřuje viditelnost a kontrolu na cloudové aplikace.
    • Integrace s Azure Information Protection: Umožňuje ochranu citlivých dat.
    • Kontextový přístup k souborům pro automatizovanou analýzu: Zlepšuje možnosti automatického vyšetřování.

3. Přihlášení zařízení

Proces onboardingu připojuje zařízení ke službě MDE a umožňuje jim odesílat bezpečnostní data a přijímat zásady. Existuje několik způsobů, jak provést registraci, v závislosti na velikosti a infrastruktuře vaší organizace.

Možnost A: Manuální přihlášení (pro několik zařízení)

  1. Na portálu Microsoft 365 Defender přejděte na Nastavení > Koncové body > Správa zařízení > Přihlášení.
  2. Vyberte operační systém zařízení, které chcete integrovat (např. Windows 10 a 11).
  3. Vyberte způsob nasazení. Pro ruční registraci vyberte Local Script.
  4. Stáhněte si vstupní balíček (soubor .zip obsahující skript PowerShell).
  5. Zkopírujte skript do cílového zařízení a spusťte jej s právy správce.
# Příklad spuštění onboarding skriptu
# Ujistěte se, že soubor WindowsDefenderATPLocalScript.cmd je v aktuálním adresáři
.\WindowsDefenderATPLocalScript.cmd

Možnost B: Přihlášení přes Microsoft Intune (ve velkém měřítku)

Toto je nejvíce doporučovaný způsob pro podniková prostředí, protože vám umožňuje automatizovat onboarding a spravovat zásady zabezpečení.

  1. Zkontrolujte připojení MDE-Intune: Na portálu Microsoft 365 Defender v části Nastavení > Koncové body > Pokročilé funkce se ujistěte, že je povolena Microsoft Intune Integration.
  2. Přejděte na portál Microsoft Intune (centrum pro správu Microsoft Endpoint Manager): https://endpoint.microsoft.com.
  3. V levém navigačním panelu přejděte na Zabezpečení koncového bodu > Microsoft Defender for Endpoint.
  4. Zkontrolujte Stav připojení. Mělo by se zobrazit jako „Povoleno“. Pokud ne, nakonfigurujte připojení podle pokynů na obrazovce.
  5. Vytvořte zásady konfigurace zařízení pro onboarding: V Intune přejděte na Endpoint Security > Device Onboarding.
  6. Klikněte na Vytvořit profil.
  7. Vyberte Windows 10 a novější pro Platform a Microsoft Defender pro Endpoint pro Profil.
  8. Dejte zásadě název a popis.
  9. V nastavení by měl Intune kvůli integraci automaticky nakonfigurovat typ registrace.
  10. Přiřaďte zásadu požadovaným skupinám zařízení.

4. Konfigurace zásad zabezpečení (Příklad: Redukce útočné plochy)

Po zavedení je zásadní nakonfigurovat zásady pro ochranu koncových bodů. Jako příklad použijeme pravidla Attack Surface Reduction (ASR).

  1. Na portálu Microsoft 365 Defender přejděte na Nastavení > Koncové body > Snížení povrchu útoku.
  2. Vyberte Pravidla pro redukci útočné plochy.
  3. Můžete nakonfigurovat specifická pravidla pro blokování škodlivého chování. Chcete-li chránit přihlašovací údaje, povolte například pravidlo Blokovat krádež přihlašovacích údajů podsystému místního bezpečnostního úřadu systému Windows.
  4. Nastavte režim pravidla na Audit (pro sledování dopadu před zablokováním) nebo Blokovat (pro okamžité použití ochrany).

Validace a testování

Ověření konfigurace je kritickým krokem k zajištění správného fungování MDE a ochrany vašich koncových bodů.

1. Zkontrolujte stav senzoru na koncovém bodu

Na integrovaném zařízení můžete zkontrolovat stav služby MDE.

  1. OtevřetePříkazový řádek nebo PowerShell jako správce.
  2. Spusťte následující příkaz pro kontrolu stavu služby Sense (senzor MDE):
sc dotaz Smysl
  • Očekávaný výsledek: Stav musí být 'RUNNING'.

2. Zkontrolujte stav registrace na portálu

  1. Na portálu Microsoft 365 Defender přejděte na Assets > Devices.
  2. Vyhledejte název zařízení, které jste nainstalovali. Měl by se objevit v seznamu se stavem „Aktivní“ a úrovní rizika a expozice.
  3. Klepnutím na zařízení zobrazíte podrobnosti, včetně výstrah, časové osy a stavu souladu.

3. Test detekce EDR (Testovací soubor EICAR)

Chcete-li otestovat schopnost detekce, aniž byste způsobili skutečné poškození, můžete použít testovací soubor EICAR. MDE by to mělo detekovat a vygenerovat výstrahu.

  1. Na integrovaném zařízení otevřete prohlížeč a přejděte na https://www.eicar.org/download/eicar.com.txt.
  2. Zkuste si stáhnout nebo zkopírovat obsah souboru EICAR do svého zařízení.
  3. MDE musí akci zablokovat a vygenerovat výstrahu. Vygenerované upozornění najdete na portálu Microsoft 365 Defender v části Incidenty a výstrahy > Výstrahy.

Bezpečnostní tipy a doporučené postupy

  • Udržujte MDE aktualizované: Zajistěte, aby bezpečnostní agenti a definice MDE byly vždy aktuální. Společnost Microsoft neustále vydává aktualizace pro zlepšení ochrany.
  • Integrace s dalšími řešeními: Využijte integraci MDE s Microsoft Intune, Microsoft Sentinel, Azure AD Identity Protection a Microsoft Cloud App Security pro jednotné zobrazení a vrstvenou ochranu.
  • Aktivně sledovat: Pravidelně kontrolujte výstrahy a incidenty na portálu Microsoft 365 Defender. Nakonfigurujte e-mailová upozornění na kritická upozornění.
  • Použijte režim auditu pro ASR: Při implementaci nových pravidel Attack Surface Reduction začněte v režimu auditu, abyste pochopili dopad a předešli výpadkům před použitím režimu blokování.
  • Segmentovat síť: Implementujte segmentaci sítě, abyste omezili boční šíření útoků, a to i v případě, že dojde ke kompromitaci koncového bodu.
  • Školení uživatelů: Povědomí uživatelů je klíčovou linií obrany. Vzdělávejte zaměstnance o osvědčených postupech v oblasti kybernetické bezpečnosti.

Běžné odstraňování problémů

  • Zařízení se na portálu nezobrazuje: Zkontrolujte připojení k síti, stav služby Sense na koncovém bodu a zda skript pro přihlášení proběhl správně. V prostředích s Intune zkontrolujte stav připojení Intune-MDE.
  • Chybí upozornění: Ujistěte se, že jsou povoleny pokročilé funkce detekce. Zkontrolujte vyloučení antivirových programů, která mohou bránit detekci.
  • Problémy s výkonem: MDE je optimalizováno pro nízký dopad na výkon, ale ve vzácných případech může dojít ke konfliktům s jiným bezpečnostním softwarem. Přečtěte si pokyny společnosti Microsoft pro kompatibilitu.
  • Skript pro přihlášení se nezdařil: Zkontrolujte protokoly systémových událostí na koncovém bodu, zda neobsahují chybové zprávy. Ujistěte se, že byl skript spuštěn s oprávněními správce.

Závěr

Microsoft Defender for Endpoint je výkonný a nezbytný nástroj pro moderní obranu proti kybernetickým hrozbám. Podle této příručky budete moci povolit, konfigurovat a ověřovat MDE ve svém prostředí, čímž vytvoříte pevný základ pro zabezpečení vašich koncových bodů. Pamatujte, že zabezpečení je neustálý proces, který vyžaduje neustálé sledování, úpravy a aktualizace. Efektivní implementace MDE je významným krokem k ochraně vaší organizace před neustále se vyvíjejícím prostředím hrozeb.

Reference:

[1] Microsoft Learn. Microsoft Defender for Endpoint. Dostupné na: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide](https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?worldview=o365 [2] Microsoft Learn. Minimální požadavky pro Microsoft Defender for Endpoint. Dostupné na: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements?view=o365-worldwide](https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements-worldview=o365 [3] Microsoft Learn. Nakonfigurujte síťové prostředí pro Microsoft Defender pro Endpointt. Dostupné na: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/configure-network?view=o365-worldwide '''