Come attivare e configurare da zero Microsoft Defender per Endpoint

Come attivare e configurare da zero Microsoft Defender per Endpoint

01/01/2024

Questo articolo tecnico e didattico ha lo scopo di fornire una guida pratica e dettagliata su come abilitare e configurare da zero Microsoft Defender for Endpoint (MDE). MDE è una piattaforma unificata di sicurezza degli endpoint per protezione preventiva, rilevamento post-violazione, indagini e risposte automatizzate. È uno strumento essenziale per analisti della sicurezza, amministratori IT e ingegneri di sistema che desiderano rafforzare il livello di sicurezza dei propri ambienti Microsoft.

Introduzione

Il panorama delle minacce informatiche è in continua evoluzione, con attacchi sempre più sofisticati e mirati. La protezione degli endpoint (computer, server, dispositivi mobili) è una priorità assoluta per qualsiasi organizzazione. Microsoft Defender for Endpoint (MDE) offre una soluzione solida che va oltre l'antivirus tradizionale fornendo funzionalità avanzate di rilevamento e risposta degli endpoint (EDR), gestione delle vulnerabilità e delle minacce, riduzione della superficie di attacco, protezione di nuova generazione e funzionalità automatizzate di indagine e risoluzione [1].

Questa guida coprirà i passaggi fondamentali per l'implementazione di MDE, dai prerequisiti iniziali alla configurazione delle risorse essenziali, alla convalida e alle migliori pratiche. Il nostro focus è pratico al 100%, con istruzioni passo passo, esempi di comandi e descrizioni in modo che il lettore possa replicare il processo nel proprio ambiente e convalidare i risultati.

Perché Microsoft Defender per endpoint?

MDE si integra nativamente con altre soluzioni di sicurezza Microsoft come Microsoft 365 Defender, Azure Active Directory (ora Microsoft Entra ID), Microsoft Intune e Microsoft Sentinel, creando un tessuto di sicurezza coerente. I suoi principali vantaggi includono:

  • Protezione completa: rileva e blocca malware, ransomware e attacchi fileless.
  • Visibilità approfondita: monitoraggio continuo dell'attività degli endpoint per identificare comportamenti sospetti.
  • Risposta rapida: strumenti automatizzati di indagine e risoluzione per contenere rapidamente le minacce.
  • Gestione della postura: valutazione delle vulnerabilità e raccomandazioni per migliorare l'igiene della sicurezza.

Prerequisiti

Prima di iniziare a configurare Microsoft Defender per Endpoint, assicurati che siano soddisfatti i prerequisiti seguenti:

  1. Licenza: una licenza valida per Microsoft Defender per Endpoint. Può far parte di pacchetti come Microsoft 365 E5, Microsoft 365 E3 (con componente aggiuntivo di sicurezza), Windows E5 o licenze autonome [2].
  2. Accesso amministrativo: account con autorizzazioni di amministratore globale o amministratore della sicurezza nel portale Microsoft 365 Defender (security.microsoft.com).
  3. Connettività di rete: gli endpoint devono avere accesso a Internet per comunicare con i servizi cloud MDE. Assicurati che gli URL e le porte richiesti siano consentiti su firewall e proxy [3].
  4. Sistemi operativi supportati: MDE supporta un'ampia gamma di sistemi operativi, tra cui: *Windows 10/11 Enterprise, Pro, Education
    • Windows Server (2008 R2 SP1, 2012 R2, 2016, 2019, 2022)
    • macOS (versioni recenti)
    • Linux (varie distribuzioni)
    • Android e iOS (tramite Microsoft Intune)
  5. Microsoft Intune (facoltativo, ma consigliato): per la gestione centralizzata e l'onboarding di dispositivi su larga scala, l'integrazione con Microsoft Intune è altamente consigliata.

Passo dopo passo: attivazione e configurazione iniziale

1. Abilita Microsoft Defender per endpoint

Il primo passo è attivare il servizio nel tuo tenant. Di solito questo viene fatto automaticamente al momento dell'acquisto della licenza, ma è fondamentale controllare e garantire che il servizio venga fornito.

  1. Vai al portale Microsoft 365 Defender: "https://security.microsoft.com".
  2. Nel riquadro di navigazione a sinistra, vai su Impostazioni (l'icona a forma di ingranaggio) > Endpoint.
  3. Controlla lo stato del servizio. Se non è attivo, seguire le istruzioni per avviare il processo di provisioning. Potrebbe essere necessario accettare i termini di servizio.

2. Impostazioni generali e funzionalità avanzate

Dopo l'attivazione, è importante rivedere e configurare le funzionalità avanzate che migliorano le capacità di rilevamento e risposta di MDE.

  1. Nel portale Microsoft 365 Defender, in Impostazioni > Endpoint, sseleziona Funzionalità avanzate.
  2. Abilita le seguenti funzionalità (se non già abilitate) per massimizzare la protezione:
    • Consenti analisi campione: consente a MDE di raccogliere campioni di file sospetti per l'analisi. Scegli tra 'Automatico' o 'Sicuro'.
    • Rilevamento EDR in modalità blocco: consente a MDE di bloccare gli artefatti dannosi rilevati da EDR, anche se l'antivirus di nuova generazione è in modalità passiva.
    • Anteprima risorse: attiva l'accesso alle risorse che sono ancora in fase di anteprima. Consigliato per ambienti di test.
    • Integrazione con Microsoft Intune: essenziale per la gestione dei dispositivi e dei criteri di sicurezza.
    • Integrazione con Microsoft Cloud App Security: estende la visibilità e il controllo alle applicazioni cloud.
    • Integrazione con Azure Information Protection: consente la protezione dei dati sensibili.
    • Accesso al contesto dei file per analisi automatizzate: migliora la capacità di indagine automatizzata.

3. Integrazione del dispositivo

Il processo di onboarding connette i dispositivi al servizio MDE, consentendo loro di inviare dati di sicurezza e ricevere policy. Esistono diversi modi per eseguire l'onboarding, a seconda delle dimensioni e dell'infrastruttura della tua organizzazione.

Opzione A: onboarding manuale (per pochi dispositivi)

  1. Nel portale Microsoft 365 Defender, vai a Impostazioni > Endpoint > Gestione dispositivi > Onboarding.
  2. Seleziona il sistema operativo del dispositivo che desideri integrare (es: Windows 10 e 11).
  3. Scegli il metodo di distribuzione. Per l'onboarding manuale, seleziona Script locale.
  4. Scarica il pacchetto di onboarding (un file .zip contenente uno script PowerShell).
  5. Copia lo script sul dispositivo di destinazione ed eseguilo con privilegi di amministratore.

"PowerShell".

Esempio di esecuzione dello script di onboarding

Assicurati che il file WindowsDefenderATPLocalScript.cmd sia nella directory corrente

.\WindowsDefenderATPLocalScript.cmd





#### Opzione B: onboarding tramite Microsoft Intune (per larga scala)

Questo è il modo più consigliato per gli ambienti aziendali, poiché consente di automatizzare l'onboarding e gestire le policy di sicurezza.

1. **Verificare la connessione MDE-Intune**: nel portale Microsoft 365 Defender, in **Impostazioni** > **Endpoint** > **Funzionalità avanzate**, assicurarsi che **Integrazione di Microsoft Intune** sia abilitata.
2. Accedere al portale Microsoft Intune (interfaccia di amministrazione di Microsoft Endpoint Manager): `https://endpoint.microsoft.com`.
3. Nel riquadro di navigazione sinistro, vai a **Endpoint Security** > **Microsoft Defender for Endpoint**.
4. Controlla lo **Stato della connessione**. Dovrebbe apparire come "Abilitato". In caso contrario, configurare la connessione come indicato sullo schermo.
5. **Creare un criterio di configurazione del dispositivo per l'onboarding**: in Intune, vai a **Endpoint Security** > **Onboarding del dispositivo**.
6. Fai clic su **Crea profilo**.
7. Seleziona **Windows 10 e versioni successive** per Piattaforma e **Microsoft Defender per Endpoint** per Profilo.
8. Assegnare alla policy un nome e una descrizione.
9. Nelle impostazioni, il tipo di onboarding dovrebbe essere configurato automaticamente da Intune a causa dell'integrazione.
10. Assegnare la policy ai gruppi di dispositivi desiderati.




### 4. Configurazione delle policy di sicurezza (esempio: riduzione della superficie di attacco)

Dopo l'onboarding, è fondamentale configurare le policy per proteggere gli endpoint. Utilizzeremo come esempio le regole di Attack Surface Reduction (ASR).

1. Nel portale Microsoft 365 Defender, vai a **Impostazioni** > **Endpoint** > **Riduzione della superficie di attacco**.
2. Seleziona **Regole di riduzione della superficie di attacco**.
3. È possibile configurare regole specifiche per bloccare comportamenti dannosi. Ad esempio, abilita la regola **Blocca furto di credenziali del sottosistema dell'autorità di sicurezza locale di Windows** per proteggere le credenziali.
4. Imposta la modalità regola su **Verifica** (per monitorare l'impatto prima del blocco) o **Blocca** (per applicare immediatamente la protezione).



## Convalida e test

La convalida della configurazione è un passaggio fondamentale per garantire che MDE funzioni correttamente e protegga gli endpoint.

### 1. Controllare lo stato del sensore sull'endpoint

Sul dispositivo integrato è possibile verificare lo stato del servizio MDE.

1. Apri**Prompt dei comandi** o **PowerShell** come amministratore.
2. Eseguire il comando seguente per verificare lo stato del servizio "Sense" (il sensore MDE):

```cmd
sc interroga il senso
  • Risultato previsto: lo stato deve essere "RUNNING".

2. Controlla lo stato di onboarding sul portale

  1. Nel portale Microsoft 365 Defender, vai a Risorse > Dispositivi.
  2. Cerca il nome del dispositivo di cui hai effettuato l'onboarding. Dovrebbe apparire nell'elenco con lo stato "Attivo" e un livello di rischio e di esposizione.
  3. Fare clic sul dispositivo per visualizzare i dettagli, inclusi avvisi, sequenza temporale e stato di conformità.

3. Testare il rilevamento EDR (file di prova EICAR)

Per testare la capacità di rilevamento senza causare danni reali, è possibile utilizzare il file di test EICAR. L'MDE dovrebbe rilevarlo e generare un avviso.

  1. Su un dispositivo integrato, aprire un browser e accedere a "https://www.eicar.org/download/eicar.com.txt".
  2. Prova a scaricare o copiare il contenuto del file EICAR sul tuo dispositivo.
  3. L'MDE deve bloccare l'azione e generare un avviso. Controllare il portale Microsoft 365 Defender in Incidenti e avvisi > Avvisi per visualizzare l'avviso generato.

Suggerimenti e best practice per la sicurezza

  • Mantieni MDE aggiornato: assicurati che gli agenti di sicurezza e le definizioni MDE siano sempre aggiornati. Microsoft rilascia continuamente aggiornamenti per migliorare la protezione.
  • Integrazione con altre soluzioni: sfrutta l'integrazione MDE con Microsoft Intune, Microsoft Sentinel, Azure AD Identity Protection e Microsoft Cloud App Security per una visualizzazione unificata e una protezione a più livelli.
  • Monitoraggio attivo: esamina regolarmente gli avvisi e gli incidenti nel portale Microsoft 365 Defender. Configura le notifiche e-mail per gli avvisi critici.
  • Utilizza la modalità di controllo per ASR: quando implementi nuove regole di riduzione della superficie di attacco, inizia in modalità di controllo per comprendere l'impatto ed evitare interruzioni prima di applicare la modalità di blocco.
  • Segmenta la rete: implementa la segmentazione della rete per limitare la propagazione laterale degli attacchi, anche se un endpoint è compromesso.
  • Formare gli utenti: la consapevolezza degli utenti è una linea di difesa cruciale. Formare i dipendenti sulle migliori pratiche di sicurezza informatica.

Risoluzione dei problemi comuni

  • Il dispositivo non viene visualizzato nel portale: controlla la connettività di rete, lo stato del servizio "Sense" sull'endpoint e se lo script di onboarding è stato eseguito correttamente. Negli ambienti con Intune, verificare lo stato della connessione Intune-MDE.
  • Avvisi mancanti: assicurati che le funzionalità di rilevamento avanzate siano abilitate. Verifica la presenza di esclusioni antivirus che potrebbero impedire il rilevamento.
  • Problemi di prestazioni: MDE è ottimizzato per un basso impatto sulle prestazioni, ma in rari casi potrebbero verificarsi conflitti con altri software di sicurezza. Consulta le linee guida sulla compatibilità di Microsoft.
  • Script di onboarding non riuscito: verificare la presenza di messaggi di errore nei registri eventi di sistema sull'endpoint. Assicurati che lo script sia stato eseguito con privilegi di amministratore.

Conclusione

Microsoft Defender for Endpoint è uno strumento potente ed essenziale per la difesa moderna contro le minacce informatiche. Seguendo questa guida sarai in grado di abilitare, configurare e convalidare MDE nel tuo ambiente, stabilendo una solida base per la sicurezza dei tuoi endpoint. Ricorda che la sicurezza è un processo continuo che richiede monitoraggio, aggiustamenti e aggiornamenti costanti. L'implementazione efficace di MDE rappresenta un passo significativo verso la protezione della tua organizzazione dal panorama delle minacce in continua evoluzione.

Riferimenti:

[1]Microsoft Learn. Microsoft Defender per endpoint. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide [2]Microsoft Learn. Requisiti minimi per Microsoft Defender per endpoint. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements?view=o365-worldwide [3]Microsoft Learn. Configurare l'ambiente di rete per Microsoft Defender per EndpointT. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/configure-network?view=o365-worldwide '''