Как активировать и настроить Microsoft Defender для конечной точки с нуля

Как активировать и настроить Microsoft Defender для конечной точки с нуля

01.01.2024

Целью этой технической и образовательной статьи является предоставление практического и подробного руководства по включению и настройке Microsoft Defender для конечной точки (MDE) с нуля. MDE — это унифицированная платформа безопасности конечных точек для превентивной защиты, обнаружения нарушений, автоматического расследования и реагирования. Это важный инструмент для аналитиков безопасности, ИТ-администраторов и системных инженеров, стремящихся повысить уровень безопасности своих сред Microsoft.

Введение

Ландшафт киберугроз постоянно меняется, атаки становятся все более изощренными и целенаправленными. Защита конечных точек — компьютеров, серверов, мобильных устройств — является главным приоритетом для любой организации. Microsoft Defender для конечных точек (MDE) предлагает надежное решение, которое выходит за рамки традиционного антивируса, предоставляя расширенные возможности обнаружения и реагирования на конечные точки (EDR), управления уязвимостями и угрозами, уменьшения поверхности атак, защиты следующего поколения, а также возможностей автоматического расследования и исправления [1].

В этом руководстве будут рассмотрены основные шаги по внедрению MDE: от начальных предварительных условий до необходимой конфигурации ресурсов, проверки и лучших практик. Наше внимание на 100% практично, с пошаговыми инструкциями, примерами команд и описаниями, чтобы читатель мог воспроизвести процесс в своей собственной среде и проверить результаты.

Почему Microsoft Defender для конечной точки?

MDE изначально интегрируется с другими решениями безопасности Microsoft, такими как Microsoft 365 Defender, Azure Active Directory (теперь Microsoft Entra ID), Microsoft Intune и Microsoft Sentinel, создавая целостную структуру безопасности. Его основные преимущества включают в себя:

  • Комплексная защита: обнаруживайте и блокируйте вредоносные программы, программы-вымогатели и бесфайловые атаки.
  • Углубленная визуализация: непрерывный мониторинг активности конечных точек для выявления подозрительного поведения.
  • Быстрое реагирование: автоматизированные инструменты расследования и устранения угроз для быстрого сдерживания угроз.
  • Управление позой: оценка уязвимостей и рекомендации по улучшению гигиены безопасности.

Предварительные условия

Прежде чем приступить к настройке Microsoft Defender для конечной точки, убедитесь, что выполнены следующие предварительные условия:

  1. Лицензирование: действующая лицензия на Microsoft Defender для конечной точки. Это может быть частью таких пакетов, как Microsoft 365 E5, Microsoft 365 E3 (с надстройкой безопасности), Windows E5 или отдельных лицензий [2].
  2. Административный доступ: учетные записи с разрешениями глобального администратора или администратора безопасности на портале Защитника Microsoft 365 (security.microsoft.com).
  3. Сетевое подключение. Конечные точки должны иметь доступ к Интернету для связи с облачными службами MDE. Убедитесь, что необходимые URL-адреса и порты разрешены на брандмауэрах и прокси-серверах [3].
  4. Поддерживаемые операционные системы: MDE поддерживает широкий спектр операционных систем, в том числе:
    • Windows 10/11 Корпоративная, Pro, Для образовательных учреждений
    • Windows Server (2008 R2 SP1, 2012 R2, 2016, 2019, 2022)
    • macOS (последние версии)
    • Linux (различные дистрибутивы)
    • Android и iOS (через Microsoft Intune)
  5. Microsoft Intune (необязательно, но рекомендуется). Для централизованного управления и крупномасштабного подключения устройств настоятельно рекомендуется интеграция с Microsoft Intune.

Шаг за шагом: активация и первоначальная настройка

1. Включите Microsoft Defender для конечной точки.

Первым шагом является активация службы в вашем клиенте. Обычно это делается автоматически при покупке лицензии, но крайне важно проверить и убедиться, что услуга предоставлена.

  1. Перейдите на портал Защитника Microsoft 365: https://security.microsoft.com.
  2. На левой панели навигации выберите Настройки (значок шестеренки) > Конечные точки.
  3. Проверьте статус услуги. Если он не активен, следуйте инструкциям, чтобы начать процесс подготовки. Возможно, вам придется принять условия обслуживания.

2. Общие настройки и дополнительные функции

После активации важно просмотреть и настроить расширенные функции, расширяющие возможности обнаружения и реагирования MDE.

  1. На портале Защитника Microsoft 365 в разделе Настройки > Конечные точки выберитевыберите Дополнительные функции.
  2. Включите следующие функции (если они еще не включены) для максимальной защиты:
    • Разрешить анализ образцов: позволяет MDE собирать образцы подозрительных файлов для анализа. Выберите «Автоматический» или «Безопасный».
    • Обнаружение EDR в режиме блокировки: позволяет MDE блокировать вредоносные артефакты, обнаруженные EDR, даже если антивирус следующего поколения находится в пассивном режиме.
    • Предварительный просмотр ресурсов: активирует доступ к ресурсам, которые все еще находятся на этапе предварительного просмотра. Рекомендуется для тестовых сред.
    • Интеграция с Microsoft Intune: необходима для управления устройствами и политиками безопасности.
    • Интеграция с Microsoft Cloud App Security: расширяет видимость и контроль над облачными приложениями.
    • Интеграция с Azure Information Protection: обеспечивает защиту конфиденциальных данных.
    • Доступ к контексту файла для автоматического анализа: улучшает возможности автоматического расследования.

3. Адаптация устройства

Процесс регистрации подключает устройства к службе MDE, позволяя им отправлять данные безопасности и получать политики. Существует несколько способов проведения адаптации, в зависимости от размера и инфраструктуры вашей организации.

Вариант A. Регистрация вручную (для некоторых устройств)

  1. На портале Защитника Microsoft 365 перейдите в раздел Настройки > Конечные точки > Управление устройствами > Внедрение.
  2. Выберите операционную систему устройства, которое вы хотите интегрировать (например, Windows 10 и 11).
  3. Выберите метод развертывания. Для подключения вручную выберите Локальный сценарий.
  4. Загрузите пакет адаптации (zip-файл, содержащий сценарий PowerShell).
  5. Скопируйте скрипт на целевое устройство и запустите его с правами администратора.
# Пример выполнения скрипта онбординга
# Убедитесь, что файл WindowsDefenderATPLocalScript.cmd находится в текущем каталоге.
.\WindowsDefenderATPLocalScript.cmd

Вариант Б. Регистрация через Microsoft Intune (для крупных проектов)

Это наиболее рекомендуемый способ для корпоративных сред, поскольку он позволяет автоматизировать регистрацию и управлять политиками безопасности.

  1. Проверьте соединение MDE-Intune. На портале Защитника Microsoft 365 в разделе Настройки > Конечные точки > Дополнительные функции убедитесь, что Интеграция с Microsoft Intune включена.
  2. Откройте портал Microsoft Intune (центр администрирования Microsoft Endpoint Manager): https://endpoint.microsoft.com.
  3. На левой панели навигации выберите Endpoint Security > Microsoft Defender for Endpoint.
  4. Проверьте Состояние соединения. Он должен отображаться как «Включено». Если нет, настройте соединение, как указано на экране.
  5. Создайте политику конфигурации устройства для подключения. В Intune выберите Endpoint Security > Включение устройства.
  6. Нажмите Создать профиль.
  7. Выберите Windows 10 и более поздние версии для платформы и Защитник Microsoft для конечной точки для профиля.
  8. Дайте политике имя и описание.
  9. В настройках Intune должен автоматически настроить тип подключения благодаря интеграции.
  10. Назначьте политику нужным группам устройств.

4. Настройка политик безопасности (пример: уменьшение поверхности атаки)

После подключения крайне важно настроить политики для защиты конечных точек. В качестве примера мы будем использовать правила уменьшения поверхности атаки (ASR).

  1. На портале Защитника Microsoft 365 перейдите в раздел Настройки > Конечные точки > Уменьшение поверхности атаки.
  2. Выберите Правила уменьшения поверхности атаки.
  3. Вы можете настроить определенные правила для блокировки вредоносного поведения. Например, включите правило Блокировать кражу учетных данных подсистемы локального органа безопасности Windows, чтобы защитить учетные данные.
  4. Установите режим правила на Аудит (чтобы отслеживать влияние перед блокировкой) или Блокировать (чтобы немедленно применить защиту).

Проверка и тестирование

Проверка конфигурации — важнейший шаг, обеспечивающий правильную работу MDE и защиту ваших конечных точек.

1. Проверьте состояние датчика на конечной точке

На встроенном устройстве вы можете проверить состояние службы MDE.

  1. ОткрытьКомандная строка или PowerShell от имени администратора.
  2. Запустите следующую команду, чтобы проверить состояние службы Sense (датчика MDE):
sc-запрос смысл
  • Ожидаемый результат: Статус должен быть «РАБОТАЕТ».

2. Проверьте статус регистрации на портале

  1. На портале Защитника Microsoft 365 перейдите в раздел Активы > Устройства.
  2. Найдите имя подключенного устройства. Он должен появиться в списке со статусом «Активный» и уровнем риска и подверженности.
  3. Щелкните устройство, чтобы просмотреть подробную информацию, включая оповещения, график и статус соответствия.

3. Тестирование обнаружения EDR (тестовый файл EICAR)

Чтобы проверить возможность обнаружения без причинения реального вреда, вы можете использовать тестовый файл EICAR. MDE должен обнаружить это и выдать предупреждение.

  1. На встроенном устройстве откройте браузер и перейдите по адресу https://www.eicar.org/download/eicar.com.txt.
  2. Попробуйте загрузить или скопировать содержимое файла EICAR на свое устройство.
  3. MDE должен заблокировать действие и выдать предупреждение. Посетите портал Защитника Microsoft 365 в разделе Инциденты и оповещения > Оповещения, чтобы увидеть созданное оповещение.

Советы и рекомендации по безопасности

  • Обновляйте MDE: убедитесь, что агенты и определения безопасности MDE всегда актуальны. Microsoft постоянно выпускает обновления для улучшения защиты.
  • Интеграция с другими решениями: используйте интеграцию MDE с Microsoft Intune, Microsoft Sentinel, Azure AD Identity Protection и Microsoft Cloud App Security для унифицированного представления и многоуровневой защиты.
  • Активный мониторинг: регулярно просматривайте оповещения и инциденты на портале Microsoft 365 Defender. Настройте уведомления по электронной почте для критических предупреждений.
  • Использовать режим аудита для ASR. При внедрении новых правил уменьшения поверхности атаки начните с режима аудита, чтобы понять влияние и избежать сбоев, прежде чем применять режим блокировки.
  • Сегментация сети. Внедрите сегментацию сети, чтобы ограничить горизонтальное распространение атак, даже если конечная точка скомпрометирована.
  • Обучение пользователей. Осведомленность пользователей — важнейшая линия защиты. Обучайте сотрудников лучшим практикам кибербезопасности.

Распространенное устранение неполадок

  • Устройство не отображается на портале: проверьте сетевое подключение, состояние службы Sense на конечной точке и правильность выполнения сценария подключения. В средах с Intune проверьте состояние соединения Intune-MDE.
  • Отсутствующие оповещения. Убедитесь, что расширенные функции обнаружения включены. Проверьте антивирусные исключения, которые могут препятствовать обнаружению.
  • Проблемы с производительностью: MDE оптимизирован для снижения производительности, но в редких случаях могут возникать конфликты с другим программным обеспечением безопасности. Ознакомьтесь с рекомендациями Microsoft по совместимости.
  • Ошибка сценария адаптации: проверьте журналы системных событий на конечной точке на наличие сообщений об ошибках. Убедитесь, что сценарий был запущен с правами администратора.

Заключение

Microsoft Defender для конечной точки — это мощный и важный инструмент современной защиты от киберугроз. Следуя этому руководству, вы сможете включить, настроить и проверить MDE в своей среде, создав прочную основу для безопасности ваших конечных точек. Помните, что безопасность — это непрерывный процесс, требующий постоянного мониторинга, корректировок и обновлений. Эффективное внедрение MDE — это важный шаг на пути к защите вашей организации от постоянно меняющегося ландшафта угроз.

Ссылки:

[1] Microsoft Learn. Защитник Microsoft для конечной точки. Доступно по адресу: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide. [2] Microsoft Learn. Минимальные требования для Microsoft Defender для конечной точки. Доступно по адресу: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements?view=o365-worldwide. [3] Microsoft Learn. Настройте сетевое окружение для Microsoft Defender для конечной точки.т. Доступно по адресу: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/configure-network?view=o365-worldwide '''