Hoe u Microsoft Defender voor Endpoint helemaal opnieuw activeert en configureert

Hoe u Microsoft Defender voor Endpoint helemaal opnieuw activeert en configureert

01/01/2024

Dit technische en educatieve artikel is bedoeld om een praktische en gedetailleerde handleiding te bieden over hoe u Microsoft Defender for Endpoint (MDE) helemaal opnieuw kunt inschakelen en configureren. MDE is een uniform eindpuntbeveiligingsplatform voor preventieve bescherming, detectie na inbreuk, geautomatiseerd onderzoek en respons. Het is een essentieel hulpmiddel voor beveiligingsanalisten, IT-beheerders en systeemingenieurs die de beveiligingshouding van hun Microsoft-omgevingen willen versterken.

Introductie

Het landschap van cyberdreigingen evolueert voortdurend, waarbij aanvallen steeds geavanceerder en doelgerichter worden. Het beschermen van eindpunten (computers, servers, mobiele apparaten) is een topprioriteit voor elke organisatie. Microsoft Defender for Endpoint (MDE) biedt een robuuste oplossing die verder gaat dan traditionele antivirusprogramma's door geavanceerde Endpoint Detection and Response (EDR), Vulnerability and Threat Management, Attack Surface Reduction, Next Generation Protection en geautomatiseerde onderzoeks- en herstelmogelijkheden te bieden [1].

Deze handleiding behandelt de fundamentele stappen voor het implementeren van MDE, van de initiële vereisten tot de configuratie, validatie en best practices van essentiële bronnen. Onze focus is 100% praktisch, met stap-voor-stap instructies, commandovoorbeelden en beschrijvingen zodat de lezer het proces in zijn eigen omgeving kan repliceren en de resultaten kan valideren.

Waarom Microsoft Defender voor Endpoint?

MDE kan native worden geïntegreerd met andere Microsoft-beveiligingsoplossingen zoals Microsoft 365 Defender, Azure Active Directory (nu Microsoft Entra ID), Microsoft Intune en Microsoft Sentinel, waardoor een samenhangend beveiligingsweefsel ontstaat. De belangrijkste voordelen zijn onder meer:

  • Uitgebreide bescherming: Detecteer en blokkeer malware, ransomware en bestandsloze aanvallen.
  • Diepgaande zichtbaarheid: Continue monitoring van eindpuntactiviteit om verdacht gedrag te identificeren.
  • Snelle respons: geautomatiseerde onderzoeks- en hersteltools om bedreigingen snel onder controle te houden.
  • Posture Management: beoordeling van kwetsbaarheden en aanbevelingen om de beveiligingshygiëne te verbeteren.

Vereisten

Voordat u Microsoft Defender voor Endpoint gaat configureren, moet u ervoor zorgen dat aan de volgende vereisten wordt voldaan:

  1. Licenties: een geldige licentie voor Microsoft Defender voor Endpoint. Dit kan onderdeel zijn van pakketten zoals Microsoft 365 E5, Microsoft 365 E3 (met beveiligingsadd-on), Windows E5 of zelfstandige licenties [2].
  2. Beheerderstoegang: accounts met machtigingen voor een globale beheerder of beveiligingsbeheerder in de Microsoft 365 Defender-portal (security.microsoft.com).
  3. Netwerkconnectiviteit: eindpunten moeten internettoegang hebben om te kunnen communiceren met MDE-cloudservices. Zorg ervoor dat de vereiste URL's en poorten zijn toegestaan ​​op firewalls en proxy's [3].
  4. Ondersteunde besturingssystemen: MDE ondersteunt een breed scala aan besturingssystemen, waaronder:
    • Windows 10/11 Enterprise, Pro, Onderwijs
    • Windows Server (2008 R2 SP1, 2012 R2, 2016, 2019, 2022)
    • macOS (recente versies)
    • Linux (diverse distributies)
    • Android en iOS (via Microsoft Intune)
  5. Microsoft Intune (optioneel, maar aanbevolen): voor gecentraliseerd beheer en grootschalige onboarding van apparaten wordt integratie met Microsoft Intune ten zeerste aanbevolen.

Stap voor stap: activering en initiële configuratie

1. Schakel Microsoft Defender voor eindpunt in

De eerste stap is het activeren van de service in uw tenant. Dit gebeurt meestal automatisch bij het aanschaffen van de licentie, maar het is van cruciaal belang om te controleren en ervoor te zorgen dat de service wordt geleverd.

  1. Ga naar de Microsoft 365 Defender-portal: https://security.microsoft.com.
  2. Ga in het linkernavigatievenster naar Instellingen (het tandwielpictogram) > Eindpunten.
  3. Controleer de servicestatus. Als het niet actief is, volgt u de instructies om het inrichtingsproces te starten. Mogelijk moet u de servicevoorwaarden accepteren.

2. Algemene instellingen en geavanceerde functies

Na activering is het belangrijk om de geavanceerde functies die de detectie- en responsmogelijkheden van MDE verbeteren, te beoordelen en te configureren.

  1. In de Microsoft 365 Defender-portal, onder Instellingen > Eindpunten,selecteer Geavanceerde functies.
  2. Schakel de volgende functies in (indien nog niet ingeschakeld) om de bescherming te maximaliseren:
    • Sta monsteranalyse toe: Hiermee kan MDE voorbeelden van verdachte bestanden verzamelen voor analyse. Kies tussen 'Automatisch' of 'Beveiligd'.
    • EDR-detectie in blokkeermodus: Hiermee kan MDE kwaadaardige artefacten blokkeren die door EDR worden gedetecteerd, zelfs als de volgende generatie antivirus zich in de passieve modus bevindt.
    • Preview-bronnen: Activeert toegang tot bronnen die zich nog in de preview-fase bevinden. Aanbevolen voor testomgevingen.
    • Integratie met Microsoft Intune: essentieel voor het beheren van apparaten en beveiligingsbeleid.
    • Integratie met Microsoft Cloud App Security: breidt de zichtbaarheid en controle uit naar cloudapplicaties.
    • Integratie met Azure Information Protection: Maakt de bescherming van gevoelige gegevens mogelijk.
    • Bestandscontexttoegang voor geautomatiseerde analyse: Verbetert de geautomatiseerde onderzoeksmogelijkheden.

3. Onboarding van apparaten

Het onboardingproces verbindt apparaten met de MDE-service, waardoor ze beveiligingsgegevens kunnen verzenden en beleid kunnen ontvangen. Er zijn verschillende manieren om aan onboarding te doen, afhankelijk van de omvang en infrastructuur van uw organisatie.

Optie A: Handmatige onboarding (voor enkele apparaten)

  1. Ga in de Microsoft 365 Defender-portal naar Instellingen > Eindpunten > Apparaatbeheer > Onboarding.
  2. Selecteer het besturingssysteem van het apparaat dat u wilt integreren (bijvoorbeeld: Windows 10 en 11).
  3. Kies de implementatiemethode. Voor handmatige onboarding selecteert u Lokaal script.
  4. Download het onboardingpakket (een .zip-bestand met een PowerShell-script).
  5. Kopieer het script naar het doelapparaat en voer het uit met beheerdersrechten.
# Voorbeeld van het uitvoeren van het onboarding-script
# Zorg ervoor dat het bestand WindowsDefenderATPLocalScript.cmd zich in de huidige map bevindt
.\WindowsDefenderATPLocalScript.cmd

Optie B: Onboarding via Microsoft Intune (voor grootschalige)

Dit is de meest aanbevolen manier voor bedrijfsomgevingen, omdat u hiermee de onboarding kunt automatiseren en het beveiligingsbeleid kunt beheren.

  1. Controleer de MDE-Intune-verbinding: Zorg ervoor dat Microsoft Intune-integratie is ingeschakeld in de Microsoft 365 Defender-portal onder Instellingen > Eindpunten > Geavanceerde functies.
  2. Ga naar de Microsoft Intune-portal (Microsoft Endpoint Manager-beheercentrum): https://endpoint.microsoft.com.
  3. Ga in het linkernavigatievenster naar Endpoint Security > Microsoft Defender voor Endpoint.
  4. Controleer de Verbindingsstatus. Het zou moeten verschijnen als 'Ingeschakeld'. Als dit niet het geval is, configureert u de verbinding zoals aangegeven op het scherm.
  5. Maak een apparaatconfiguratiebeleid voor onboarding: Ga in Intune naar Endpoint Security > Apparaat onboarding.
  6. Klik op Profiel maken.
  7. Selecteer Windows 10 en hoger voor Platform en Microsoft Defender voor Endpoint voor Profiel.
  8. Geef de polis een naam en beschrijving.
  9. In de instellingen moet het onboardingtype vanwege de integratie automatisch door Intune worden geconfigureerd.
  10. Wijs het beleid toe aan de gewenste apparaatgroepen.

4. Beveiligingsbeleid configureren (bijvoorbeeld: vermindering van aanvalsoppervlak)

Na de onboarding is het van cruciaal belang om beleid te configureren om eindpunten te beschermen. We zullen de Attack Surface Reduction (ASR)-regels als voorbeeld gebruiken.

  1. Ga in de Microsoft 365 Defender-portal naar Instellingen > Eindpunten > Verkleining van aanvalsoppervlak.
  2. Selecteer Regels voor vermindering van aanvalsoppervlak.
  3. U kunt specifieke regels configureren om kwaadaardig gedrag te blokkeren. Schakel bijvoorbeeld de regel Blokkeer Windows Local Security Authority Subsystem Credential Theft in om de referenties te beschermen.
  4. Stel de regelmodus in op Audit (om de impact te controleren voordat er wordt geblokkeerd) of Blokkeren (om onmiddellijk bescherming toe te passen).

Validatie en testen

Het valideren van de configuratie is een cruciale stap om ervoor te zorgen dat MDE correct werkt en uw eindpunten beschermt.

1. Controleer de sensorstatus op het eindpunt

Op het ingebouwde apparaat kunt u de MDE-servicestatus controleren.

  1. OpenenOpdrachtprompt of PowerShell als beheerder.
  2. Voer het volgende commando uit om de status van de Sense service (de MDE-sensor) te controleren:
sc-query Sense
  • Verwacht resultaat: de status moet 'RUNNING' zijn.

2. Controleer de onboardingstatus op de portal

  1. Ga in de Microsoft 365 Defender-portal naar Activiteiten > Apparaten.
  2. Zoek naar de naam van het apparaat dat u hebt geïnstalleerd. Het zou in de lijst moeten verschijnen met de status 'Actief' en een risico- en blootstellingsniveau.
  3. Klik op het apparaat om details te bekijken, waaronder waarschuwingen, tijdlijn en nalevingsstatus.

3. EDR-detectie testen (EICAR-testbestand)

Om de detectiecapaciteit te testen zonder echte schade aan te richten, kunt u het EICAR-testbestand gebruiken. De MDE zou het moeten detecteren en een waarschuwing moeten genereren.

  1. Open een browser op een geïnstalleerd apparaat en navigeer naar https://www.eicar.org/download/eicar.com.txt.
  2. Probeer de inhoud van het EICAR-bestand naar uw apparaat te downloaden of te kopiëren.
  3. De MDE moet de actie blokkeren en een waarschuwing genereren. Controleer de Microsoft 365 Defender-portal onder Incidenten en waarschuwingen > Waarschuwingen om de gegenereerde waarschuwing te zien.

Beveiligingstips en best practices

  • MDE up-to-date houden: Zorg ervoor dat MDE-beveiligingsagenten en -definities altijd up-to-date zijn. Microsoft brengt voortdurend updates uit om de bescherming te verbeteren.
  • Integreren met andere oplossingen: Maak gebruik van MDE-integratie met Microsoft Intune, Microsoft Sentinel, Azure AD Identity Protection en Microsoft Cloud App Security voor een uniforme weergave en gelaagde bescherming.
  • Actief monitoren: bekijk regelmatig waarschuwingen en incidenten in de Microsoft 365 Defender-portal. Configureer e-mailmeldingen voor kritieke waarschuwingen.
  • Gebruik de auditmodus voor ASR: wanneer u nieuwe regels voor aanvalsoppervlakreductie implementeert, start u in de auditmodus om de impact te begrijpen en uitval te voorkomen voordat u de blokkeermodus toepast.
  • Segmenteer het netwerk: Implementeer netwerksegmentatie om de laterale verspreiding van aanvallen te beperken, zelfs als een eindpunt wordt gecompromitteerd.
  • Gebruikers trainen: Gebruikersbewustzijn is een cruciale verdedigingslinie. Informeer medewerkers over best practices op het gebied van cyberbeveiliging.

Algemene probleemoplossing

  • Apparaat verschijnt niet in de portal: Controleer de netwerkconnectiviteit, de status van de Sense-service op het eindpunt en of het onboarding-script correct is uitgevoerd. Controleer in omgevingen met Intune de status van de Intune-MDE-verbinding.
  • Ontbrekende waarschuwingen: zorg ervoor dat geavanceerde detectiefuncties zijn ingeschakeld. Controleer op antivirusuitsluitingen die detectie mogelijk verhinderen.
  • Prestatieproblemen: MDE is geoptimaliseerd voor een lage impact op de prestaties, maar in zeldzame gevallen kunnen conflicten met andere beveiligingssoftware optreden. Bekijk de compatibiliteitsrichtlijnen van Microsoft.
  • Onboarding-script mislukt: controleer de systeemgebeurtenislogboeken op het eindpunt op foutmeldingen. Zorg ervoor dat het script is uitgevoerd met beheerdersrechten.

Conclusie

Microsoft Defender for Endpoint is een krachtig en essentieel hulpmiddel voor moderne verdediging tegen cyberdreigingen. Door deze handleiding te volgen, kunt u MDE in uw omgeving inschakelen, configureren en valideren, waardoor een solide basis wordt gelegd voor de beveiliging van uw eindpunten. Houd er rekening mee dat beveiliging een continu proces is dat constante monitoring, aanpassingen en updates vereist. Het effectief implementeren van MDE is een belangrijke stap in de richting van de bescherming van uw organisatie tegen het steeds evoluerende dreigingslandschap.

Referenties:

[1] Microsoft Leer. Microsoft Defender voor eindpunt. Beschikbaar op: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide [2] Microsoft Leer. Minimale vereisten voor Microsoft Defender voor Endpoint. Beschikbaar op: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements?view=o365-worldwide [3] Microsoft Leer. Configureer de netwerkomgeving voor Microsoft Defender voor EndpointT. Beschikbaar op: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/configure-network?view=o365-worldwide '''