如何从头开始激活和配置 Microsoft Defender for Endpoint

如何从头开始激活和配置 Microsoft Defender for Endpoint

2024年1月1日

本技术和教育文章旨在提供有关如何从头开始启用和配置 Microsoft Defender for Endpoint (MDE) 的实用且详细的指南。 MDE 是一个统一的端点安全平台,用于预防性保护、违规后检测、自动调查和响应。对于希望加强 Microsoft 环境安全状况的安全分析师、IT 管理员和系统工程师来说,它是必不可少的工具。

简介

网络威胁形势不断发展,攻击变得更加复杂和有针对性。保护端点(计算机、服务器、移动设备)是任何组织的首要任务。 Microsoft Defender for Endpoint (MDE) 提供了超越传统防病毒功能的强大解决方案,提供先进的端点检测和响应 (EDR)、漏洞和威胁管理、攻击面减少、下一代保护以及自动调查和修复功能 [1]。

本指南将涵盖实施 MDE 的基本步骤,从最初的先决条件到基本的资源配置、验证和最佳实践。我们的重点是 100% 实用,提供分步说明、命令示例和说明,以便读者可以在自己的环境中复制该过程并验证结果。

为什么选择 Microsoft Defender for Endpoint?

MDE 本身与其他 Microsoft 安全解决方案集成,例如 Microsoft 365 Defender、Azure Active Directory(现为 Microsoft Entra ID)、Microsoft Intune 和 Microsoft Sentinel,从而创建一个具有凝聚力的安全结构。其主要优点包括:

  • 全面保护:检测并阻止恶意软件、勒索软件和无文件攻击。
  • 深入可见性:持续监控端点活动以识别可疑行为。
  • 快速响应:自动调查和修复工具可快速遏制威胁。
  • 安全态势管理:评估漏洞并提出改善安全卫生的建议。

先决条件

在开始配置 Microsoft Defender for Endpoint 之前,请确保满足以下先决条件:

  1. 许可:Microsoft Defender for Endpoint 的有效许可证。这可以是 Microsoft 365 E5、Microsoft 365 E3(带安全插件)、Windows E5 或独立许可证等软件包的一部分 [2]。
  2. 管理访问权限:在 Microsoft 365 Defender 门户 (security.microsoft.com) 中具有全局管理员或安全管理员权限的帐户。
  3. 网络连接:端点必须具有 Internet 访问权限才能与 MDE 云服务进行通信。确保防火墙和代理允许所需的 URL 和端口 [3]。
  4. 支持的操作系统:MDE 支持多种操作系统,包括:
    • Windows 10/11 企业版、专业版、教育版
    • Windows 服务器(2008 R2 SP1、2012 R2、2016、2019、2022)
    • macOS(最新版本)
    • Linux(各种发行版)
    • Android 和 iOS(通过 Microsoft Intune)
  5. Microsoft Intune(可选,但推荐):对于集中管理和大规模设备上线,强烈建议与 Microsoft Intune 集成。

分步:激活和初始配置

1. 启用 Microsoft Defender for Endpoint

第一步是在您的租户中激活该服务。这通常是在购买许可证时自动完成的,但检查并确保提供服务至关重要。

  1. 转到 Microsoft 365 Defender 门户:“https://security.microsoft.com”。
  2. 在左侧导航窗格中,转至 设置(齿轮图标)> 端点
  3. 检查服务状态。如果未激活,请按照说明启动配置过程。您可能需要接受服务条款。

2. 常规设置和高级功能

激活后,检查和配置增强 MDE 检测和响应能力的高级功能非常重要。

  1. 在 Microsoft 365 Defender 门户中的 设置 > 终结点 下,选择高级功能
  2. 启用以下功能(如果尚未启用)以最大限度地提供保护:
    • 允许样本分析:允许 MDE 收集可疑文件的样本进行分析。选择“自动”或“安全”。
    • 阻止模式下的 EDR 检测:即使下一代防病毒软件处于被动模式,也允许 MDE 阻止 EDR 检测到的恶意工件。
    • 预览资源:激活对仍处于预览阶段的资源的访问。推荐用于测试环境。
    • 与 Microsoft Intune 集成:对于管理设备和安全策略至关重要。
    • 与 Microsoft Cloud App Security 集成:将可见性和控制扩展到云应用程序。
    • 与 Azure 信息保护集成:允许保护敏感数据。
    • 用于自动分析的文件上下文访问:提高自动调查能力。

3. 设备登录

加入过程将设备连接到 MDE 服务,允许它们发送安全数据并接收策略。有多种方法可以进行入职培训,具体取决于组织的规模和基础设施。

选项 A:手动登录(适用于少数设备)

  1. 在 Microsoft 365 Defender 门户中,转到 设置 > 终结点 > 设备管理 > 加入
  2. 选择要集成的设备的操作系统(例如:Windows 10 和 11)。
  3. 选择部署方式。对于手动加入,请选择本地脚本
  4. 下载入门包(包含 PowerShell 脚本的 .zip 文件)。
  5. 将脚本复制到目标设备并以管理员权限运行。
# 执行入门脚本的示例
# 确保 WindowsDefenderATPLocalScript.cmd 文件位于当前目录中
.\WindowsDefenderATPLocalScript.cmd

选项 B:通过 Microsoft Intune 入职(适用于大规模)

这是企业环境中最推荐的方式,因为它允许您自动加入并管理安全策略。

  1. 检查 MDE-Intune 连接:在 Microsoft 365 Defender 门户中的 设置 > 终结点 > 高级功能 下,确保启用 Microsoft Intune 集成
  2. 访问 Microsoft Intune 门户(Microsoft Endpoint Manager 管理中心):“https://endpoint.microsoft.com”。
  3. 在左侧导航窗格中,转到 端点安全 > Microsoft Defender for Endpoint
  4. 检查连接状态。它应该显示为“已启用”。如果没有,请按照屏幕上的说明配置连接。
  5. 为载入创建设备配置策略:在 Intune 中,转到 端点安全 > 设备载入
  6. 单击“创建配置文件”。
  7. 对于平台,选择 Windows 10 及更高版本,对于配置文件,选择 Microsoft Defender for Endpoint
  8. 为策略指定名称和描述。
  9. 在设置中,由于集成,入职类型应由 Intune 自动配置。
  10. 将策略分配给所需的设备组。

4. 配置安全策略(示例:减少攻击面)

加入后,配置策略来保护端点至关重要。我们将使用攻击面减少 (ASR) 规则作为示例。

  1. 在 Microsoft 365 Defender 门户中,转到 设置 > 端点 > 攻击面减少
  2. 选择攻击面减少规则
  3. 您可以配置特定规则来阻止恶意行为。例如,启用 阻止 Windows 本地安全机构子系统凭据盗窃 规则来保护凭据。
  4. 将规则模式设置为审核(在阻止之前监控影响)或阻止(立即应用保护)。

验证和测试

验证配置是确保 MDE 正常工作并保护您的端点的关键步骤。

1. 检查端点上的传感器状态

在已接入的设备上,可以查看MDE服务状态。

  1. 打开命令提示符PowerShell 作为管理员。
  2. 运行以下命令检查 Sense 服务(MDE 传感器)的状态:

``cmd sc查询意义 ````

  • 预期结果:状态必须为“RUNNING”。

2. 在门户上检查入职状态

  1. 在 Microsoft 365 Defender 门户中,转到 资产 > 设备
  2. 搜索您登录的设备的名称。它应该出现在列表中,状态为“活动”以及风险和暴露级别。
  3. 单击设备可查看详细信息,包括警报、时间线和合规状态。

3.测试EDR检测(EICAR测试文件)

要测试检测能力而不造成实际损害,您可以使用 EICAR 测试文件。 MDE 应检测到它并生成警报。

  1. 在已登录的设备上,打开浏览器并导航至“https://www.eicar.org/download/eicar.com.txt”。
  2. 尝试将 EICAR 文件的内容下载或复制到您的设备。
  3. MDE 必须阻止该操作并生成警报。检查 Microsoft 365 Defender 门户下的 事件和警报 > 警报 以查看生成的警报。

安全提示和最佳实践

  • 保持 MDE 更新:确保 MDE 安全代理和定义始终是最新的。 Microsoft 不断发布更新以改进保护。
  • 与其他解决方案集成:利用 MDE 与 Microsoft Intune、Microsoft Sentinel、Azure AD 身份保护和 Microsoft Cloud App Security 的集成来实现统一视图和分层保护。
  • 主动监控:定期查看 Microsoft 365 Defender 门户中的警报和事件。配置重要警报的电子邮件通知。
  • 使用 ASR 审核模式:实施新的攻击面减少规则时,请在应用阻止模式之前从审核模式开始以了解影响并避免中断。
  • 对网络进行分段:实施网络分段以限制攻击的横向传播,即使端点受到威胁也是如此。
  • 培训用户:用户意识是至关重要的防线。对员工进行网络安全最佳实践教育。

常见故障排除

  • 设备未出现在门户中:检查网络连接、端点上“Sense”服务的状态以及载入脚本是否正确运行。在具有 Intune 的环境中,检查 Intune-MDE 连接的状态。
  • 缺少警报:确保启用高级检测功能。检查可能阻止检测的防病毒排除项。
  • 性能问题:MDE 针对性能影响进行了优化,但在极少数情况下可能会与其他安全软件发生冲突。查看 Microsoft 的兼容性指南。
  • 载入脚本失败:检查端点上的系统事件日志中是否有错误消息。确保脚本以管理员权限运行。

结论

Microsoft Defender for Endpoint 是现代防御网络威胁的强大且必不可少的工具。通过遵循本指南,您将能够在您的环境中启用、配置和验证 MDE,为端点的安全性奠定坚实的基础。请记住,安全是一个持续的过程,需要不断监控、调整和更新。有效实施 MDE 是保护您的组织免受不断变化的威胁环境影响的重要一步。

参考资料:

[1] 微软学习。 Microsoft Defender for Endpoint。网址:https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide [2] 微软学习。 Microsoft Defender for Endpoint 的最低要求。网址:https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements?view=o365-worldwide [3] 微软学习。 配置 Microsoft Defender for Endpoint 的网络环境t。网址:https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/configure-network?view=o365-worldwide '''