Habilitar a integração do Defender para Ponto de Extremidade

A integração do Microsoft Defender para Nuvem com o Microsoft Defender para Ponto de Extremidade fornece uma solução de segurança de ponto de extremidade baseada em nuvem que oferece uma ampla gama de recursos. A integração fornece gerenciamento e avaliação de vulnerabilidades baseadas em risco, o que ajuda a identificar e priorizar vulnerabilidades que precisam ser resolvidas. A solução também inclui a redução da superfície de ataque, o que ajuda a minimizar a superfície de ataque dos pontos de extremidade, bem como a proteção baseada em comportamento e na nuvem para detectar e responder a ameaças. Além disso, o Microsoft Defender para Ponto de Extremidade oferece EDR (detecção e resposta de ponto de extremidade), investigação e correção automática e serviços de busca gerenciada para ajudar as organizações a detectar, investigar e responder rapidamente a incidentes de segurança.

Pré-requisitos

Para habilitar a integração do Microsoft Defender para Ponto de Extremidade ao Defender para Nuvem, você precisa confirmar se o computador atende aos requisitos necessários do Defender para Ponto de Extremidade:

  • Verifique se o computador está conectado ao Azure e à Internet, conforme necessário:

  • Habilite o Microsoft Defender para Servidores. Confira Início Rápido: habilitar os recursos de segurança aprimorada do Defender para Nuvem.

    Importante

    A integração do Defender para Nuvem ao Microsoft Defender para Ponto de Extremidade está habilitada por padrão. Portanto, ao habilitar os recursos de segurança aprimorada, você dá consentimento para que o Microsoft Defender para Servidores acesse os dados do Microsoft Defender para Ponto de Extremidade relacionados a vulnerabilidades, software instalado e alertas para seus pontos de extremidade.

  • Para servidores Windows, verifique se os servidores atendem aos requisitos de integração do Microsoft Defender para Ponto de Extremidade.

  • Para servidores Linux, é preciso ter o Python instalado. O Python 3 é recomendado para todas as distribuições, mas é necessário para o RHEL 8.x e o Ubuntu 20.04 ou superior. Se necessário, confira Instruções passo a passo para instalar o Python no Linux.

  • Se você tiver movido sua assinatura entre locatários do Azure, algumas etapas preparatórias manuais também serão necessárias. Para obter detalhes, entre em contato com o suporte da Microsoft.

Habilitar a integração

Windows

A solução unificada do Defender para Ponto de Extremidade não usa nem requer a instalação do agente do Log Analytics. A solução unificada é implantada automaticamente nos servidores Azure Windows 2012 R2 e 2016, nos servidores Windows conectados por meio do Azure Arc e nos servidores Windows multinuvem conectados por meio dos conectores multinuvem.

Você implantará o Defender para Ponto de Extremidade nos computadores Windows de uma das duas maneiras, dependendo se você já o implantou nos computadores Windows:

Usuários com o Defender para Servidores habilitados e Microsoft Defender para Ponto de Extremidade implantados

Se você já habilitou a integração com o Defender para Ponto de Extremidade, você terá controle total sobre quando e se deve implantar a solução unificada do Defender para Ponto de Extremidade para seus computadores Windows.

Para implantar a solução unificada do Defender para Ponto de Extremidade, você precisa usar a chamada à API REST ou o portal do Azure:

  1. No menu do Defender para Nuvem, selecione Configurações de ambiente e selecione a assinatura com os computadores Windows nos quais você quer receber o Defender para Ponto de Extremidade.

  2. Na coluna de Cobertura de monitoramento do plano Defender para Servidores, selecione Configurações.

    O status do componente Proteções de ponto de extremidade é Parcial, o que significa que nem todas as partes do componente estão habilitadas.

  3. Selecione Corrigir para ver os componentes que não estão habilitados.

    Captura de tela do botão Corrigir que habilita o suporte do Microsoft Defender para Ponto de Extremidade.

  4. Para habilitar a solução Unificada para computadores Windows Server 2012 R2 e 2016, selecione Habilitar.

    Captura de tela da habilitação do uso da solução unificada do Defender para Ponto de Extremidade nos computadores Windows Server 2012 R2 e 2016.

  5. Para salvar as alterações, selecione Salvar na parte superior da página e selecione Continuar na página Configurações e monitoramento.

O Microsoft Defender para Nuvem:

  • Pare o processo existente do Defender para Ponto de Extremidade no agente do Log Analytics que coleta dados para o Defender para Servidores.
  • Instale a solução unificada do Defender para Ponto de Extremidade para todos os computadores novos e existentes do Windows Server 2012 R2 e 2016.

O Microsoft Defender para Nuvem integrará automaticamente os computadores ao Microsoft Defender para Ponto de Extremidade. A integração pode levar até 12 horas. Para computadores criados após a integração ter sido habilitada, a integração leva até uma hora.

Observação

Se você optar por não implantar a solução unificada do Defender para Ponto de Extremidade em seus servidores Windows 2012 R2 e 2016 no Plano 2 do Defender para Servidores e, em seguida, fazer downgrade do Defender para Servidores para o Plano 1, a solução unificada do Defender para Ponto de Extremidade não será implantada nesses servidores para que sua implantação existente não seja alterada sem o seu consentimento explícito.

Usuários que nunca habilitaram a integração com o Microsoft Defender para Ponto de Extremidade para Windows

Se você nunca habilitou a integração para Windows, a Proteção de ponto de extremidade permite que o Defender para Nuvem implante o Defender para Ponto de Extremidade tanto nos computadores Windows quanto nos computadores Linux.

Para implantar a solução unificada do Defender para Ponto de Extremidade, você precisará usar a chamada à API REST ou o portal do Azure:

  1. No menu do Defender para Nuvem, selecione Configurações de ambiente e, em seguida, selecione a assinatura com os computadores nos quais você quer receber o Defender para Ponto de Extremidade.

  2. No status do componente Proteção de Ponto de Extremidade, selecione Ativado para habilitar a integração com o Microsoft Defender para Ponto de Extremidade.

    Captura de tela da opção Status que habilita o Microsoft Defender para Ponto de Extremidade.

A solução unificada do agente do Defender para Ponto de Extremidade é implantada em todos os computadores na assinatura selecionada.

Linux

Você implantará o Defender para Ponto de Extremidade nos computadores Linux de uma destas duas maneiras, dependendo se você já o implantou nos computadores Windows:

Observação

Quando você habilita a implantação automática, a instalação do Defender para Ponto de Extremidade para Linux será anulada em computadores com serviços em execução pré-existentes usando o fanotify e outros serviços que também podem causar mau funcionamento do Defender para Ponto de Extremidade ou podem ser afetados pelo Defender para Ponto de Extremidade, como serviços de segurança. Após validar possíveis problemas de compatibilidade, recomendamos que você instale manualmente o Defender para Ponto de Extremidade nestes servidores.

Usuários existentes com recursos de segurança aprimorada do Defender para Nuvem habilitados e o Microsoft Defender para Ponto de Extremidade para Windows

Se você já habilitou a integração com o Defender para Ponto de Extremidade para Windows, você terá controle total sobre quando e se deve implantar o Defender para Ponto de Extremidade nos computadores Linux.

  1. No menu do Defender para Nuvem, selecione Configurações de ambiente e, em seguida, selecione a assinatura com os computadores Linux nos quais você quer receber o Defender para Ponto de Extremidade.

  2. Na coluna de Cobertura de monitoramento do plano Defender para Servidor, selecione Configurações.

    O status do componente Proteções de ponto de extremidade é Parcial, o que significa que nem todas as partes do componente estão habilitadas.

    Observação

    Se o status Desativado não estiver selecionado, use as instruções em Usuários que nunca habilitaram a integração com o Microsoft Defender para Ponto de Extremidade para Windows.

  3. Selecione Corrigir para ver os componentes que não estão habilitados.

    Captura de tela do botão Corrigir que habilita o suporte do Microsoft Defender para Ponto de Extremidade.

  4. Para habilitar a implantação em computadores Linux, selecione Habilitar.

    Captura de tela da habilitação da integração entre o Defender para Nuvem e a solução de EDR da Microsoft, o Microsoft Defender para Ponto de Extremidade para Linux.

  5. Para salvar as alterações, selecione Salvar na parte superior da página e selecione Continuar na página Configurações e monitoramento.

    O Microsoft Defender para Nuvem:

    • Integrará automaticamente os computadores Linux ao Defender para Ponto de Extremidade
    • Detectará todas as instalações anteriores do Defender para Ponto de Extremidade e as reconfigurará para integrá-las ao Defender para Nuvem

    O Microsoft Defender para Nuvem integrará automaticamente os computadores ao Microsoft Defender para Ponto de Extremidade. A integração pode levar até 12 horas. Para computadores criados após a integração ter sido habilitada, a integração leva até uma hora.

    Observação

    Na próxima vez que você retornar a esta página do portal do Azure, o botão Habilitar para computadores Linux não será mostrado. Para desabilitar a integração com o Linux, você também precisará desabilitá-la para o Windows desativando o botão de alternância no Endpoint Protection e selecionando Continuar.

  6. Para verificar a instalação do Defender para Ponto de Extremidade em um computador Linux, execute o seguinte comando shell nos computadores:

    mdatp health

    Se o Microsoft Defender para Ponto de Extremidade estiver instalado, você verá o status da integridade:

    healthy : true

    licensed: true

    Além disso, no portal do Azure, você verá uma nova extensão do Azure nos computadores chamada MDE.Linux.

Novos usuários que nunca habilitaram a integração com o Microsoft Defender para Ponto de Extremidade para Windows

Se você nunca habilitou a integração para Windows, a proteção de ponto de extremidade permite que o Defender para Nuvem implante o Defender para Ponto de Extremidade tanto nos computadores Windows quanto nos computadores Linux.

  1. No menu do Defender para Nuvem, selecione Configurações de ambiente e, em seguida, selecione a assinatura com os computadores Linux nos quais você quer receber o Defender para Ponto de Extremidade.

  2. Na coluna de Cobertura de monitoramento do plano Defender para Servidor, selecione Configurações.

  3. No status do componente Proteção de Ponto de Extremidade, selecione Ativado para habilitar a integração com o Microsoft Defender para Ponto de Extremidade.

    Captura de tela da opção Status que habilita o Microsoft Defender para Ponto de Extremidade.

    O Microsoft Defender para Nuvem:

    • Integrará automaticamente os computadores Windows e Linux para o Defender para Ponto de Extremidade
    • Detectará todas as instalações anteriores do Defender para Ponto de Extremidade e as reconfigurará para integrá-las ao Defender para Nuvem

    A integração pode levar até uma hora.

  4. Selecione Continuar e Salvar para salvar suas configurações.

  5. Para verificar a instalação do Defender para Ponto de Extremidade em um computador Linux, execute o seguinte comando shell nos computadores:

    mdatp health

    Se o Microsoft Defender para Ponto de Extremidade estiver instalado, você verá o status da integridade:

    healthy : true

    licensed: true

    Além disso, no portal do Azure, você verá uma nova extensão do Azure nos computadores chamada MDE.Linux.

Habilitar para várias assinaturas no painel do portal do Azure

Se uma ou mais de suas assinaturas não tiverem proteções de ponto de extremidade habilitadas para computadores Linux, você verá um painel de insights no painel do Defender para Nuvem. O painel de insights informa sobre assinaturas que têm a integração do Defender para Ponto de Extremidade habilitada para computadores Windows, mas não para computadores Linux. Você pode usar o painel de insights para ver as assinaturas afetadas e o número de recursos afetados em cada assinatura. As assinaturas que não têm computadores Linux não mostram recursos afetados. Em seguida, você pode selecionar as assinaturas a fim de habilitar a proteção de ponto de extremidade para integração do Linux.

Depois de selecionar Habilitar no painel de insights, o Defender para Nuvem:

  • Integrará automaticamente seus computadores Linux ao Defender para Ponto de Extremidade nas assinaturas selecionadas.
  • Detectará todas as instalações anteriores do Defender para Ponto de Extremidade e as reconfigurará para integrá-las ao Defender para Nuvem.

Use a pasta de trabalho de status do Defender para Ponto de Extremidade a fim de verificar o status de instalação e implantação do Defender para Ponto de Extremidade em um computador Linux.

Habilitar para várias assinaturas com um script do PowerShell

Use nosso script do PowerShell do repositório GitHub do Defender para Nuvem a fim de habilitar a proteção de ponto de extremidade em computadores Linux que estejam em várias assinaturas.

Gerenciar a configuração de atualizações automáticas para Linux

No Windows, as atualizações da versão do Defender para Ponto de Extremidade são fornecidas por meio de atualizações contínuas da base de conhecimento; no Linux, você precisa atualizar o pacote do Defender para Ponto de Extremidade. Quando você usa o Defender para Servidores com a extensão MDE.Linux, as atualizações automáticas do Microsoft Defender para Ponto de Extremidade são habilitadas por padrão. Se desejar gerenciar as atualizações da versão do Defender para Ponto de Extremidade manualmente, você poderá desabilitar as atualizações automáticas em seus computadores. Para fazer isso, adicione a seguinte marca aos computadores integrados com a extensão MDE.Linux.

  • Nome da marca: 'ExcludeMdeAutoUpdate'
  • Valor da Marca: 'true'

Essa configuração é compatível com as VMs do Azure e computadores do Azure Arc, em que a extensão MDE.Linux inicia a atualização automática.

Habilitar a solução unificada do Microsoft Defender para Ponto de Extremidade em escala

Você também pode habilitar a solução unificada do Defender para Ponto de Extremidade em escala por meio da API REST versão 2022-05-01 fornecida. Para ver os detalhes completes, confira a documentação da API.

Este é um exemplo de corpo de solicitação para a solicitação PUT a fim de habilitar a solução unificada do Defender para Ponto de Extremidade:

URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Acompanhar o status da implantação do MDE

Você pode usar a pasta de trabalho de status de implantação do Defender para Ponto de Extremidade para acompanhar o status de implantação do Defender para Ponto de Extremidade em suas VMs do Azure e computadores que não são do Azure conectados por meio do Azure Arc. A pasta de trabalho interativa fornece uma visão geral dos computadores em seu ambiente mostrando o status de implantação de extensão Microsoft Defender para Ponto de Extremidade.

Acessar o portal do Microsoft Defender para Ponto de Extremidade

  1. Verifique se a conta de usuário tem as permissões necessárias. Saiba mais em Atribuir acesso de usuário à Central de Segurança do Microsoft Defender.

  2. Verifique se há um proxy ou firewall bloqueando o tráfego anônimo. O sensor do Defender para Ponto de Extremidade se conecta por meio do contexto do sistema; portanto, o tráfego anônimo deve ser permitido. Para garantir o acesso sem impedimento ao portal do Defender para Ponto de Extremidade, siga as instruções em Habilitar o acesso a URLs de serviço no servidor proxy.

  3. Abra o Portal do Microsoft Defender. Saiba mais sobre o Microsoft Defender para Ponto de Extremidade no Microsoft Defender XDR.

Enviar um alerta de teste

Para gerar um alerta de teste benigno do Defender para Ponto de Extremidade, selecione a guia do sistema operacional relevante do ponto de extremidade:

Teste no Windows

Para pontos de extremidade executando Windows:

  1. Crie a pasta "C:\test-MDATP-test".

  2. Use a Área de Trabalho Remota para acessar seu computador.

  3. Abra uma janela de linha de comando.

  4. No prompt, copie e execute o comando a seguir. A janela do prompt de comando fechará automaticamente.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

    Uma janela do prompt de comando com o comando para gerar um alerta de teste.

    Se o comando for bem-sucedido, você verá um novo alerta no dashboard de proteção de cargas de trabalho e no portal do Microsoft Defender para Ponto de Extremidade. Esse alerta pode levar alguns minutos para aparecer.

  5. Para revisar o alerta no Defender para Nuvem, acesse Alertas de segurança>Linha de Comando do PowerShell Suspeitas.

  6. Na janela de investigação, selecione o link para ir ao portal do Microsoft Defender para Ponto de Extremidade.

    Dica

    O alerta é disparado com severidade Informativa.

Teste no Linux

Para pontos de extremidade executando Linux:

  1. Baixe a ferramenta de alerta de teste em: https://aka.ms/LinuxDIY

  2. Extraia o conteúdo do arquivo zip e execute este script de shell:

    ./mde_linux_edr_diy

    Se o comando for bem-sucedido, você verá um novo alerta no dashboard de proteção de cargas de trabalho e no portal do Microsoft Defender para Ponto de Extremidade. Esse alerta pode levar alguns minutos para aparecer.

  3. Para revisar o alerta no Defender para Nuvem, acesse Alertas de segurança>Enumeração de arquivos com dados confidenciais.

  4. Na janela de investigação, selecione o link para ir ao portal do Microsoft Defender para Ponto de Extremidade.

    Dica

    O alerta é disparado com severidade Baixa.

Remover o Defender para Ponto de Extremidade de um computador

Para remover a solução Defender para Ponto de Extremidade de seus computadores:

  1. Desabilitar a integração :

    1. No menu do Defender para Nuvem, selecione Configurações de ambiente e a assinatura com os computadores relevantes.
    2. Na página de planos do Defender, selecione Configurações e Monitoramento.
    3. No status do componente de proteção do Ponto de Extremidade, selecione Desativado para desabilitar a integração com o Microsoft Defender para Ponto de Extremidade.
    4. Selecione Continuar e Salvar para salvar suas configurações.
  2. Remova a extensão MDE.Windows/MDE.Linux do computador.

  3. Siga as etapas em Remover dispositivos do serviço Microsoft Defender para Ponto de Extremidade da documentação do Defender para Ponto de Extremidade.