Пилотный и развертывание Microsoft Defender для конечной точки

Область применения:

  • Microsoft Defender XDR

В этой статье представлен рабочий процесс для пилотного развертывания и развертывания Microsoft Defender для конечной точки в организации. Эти рекомендации можно использовать для подключения Microsoft Defender для конечной точки в качестве отдельного средства кибербезопасности или в составе комплексного решения с Microsoft Defender XDR.

В этой статье предполагается, что у вас есть рабочий клиент Microsoft 365 и вы выполняете пилотное развертывание Microsoft Defender для конечной точки в этой среде. Эта практика будет поддерживать все параметры и настройки, настроенные во время пилотного проекта для полного развертывания.

Defender для конечной точки вносит свой вклад в архитектуру "Никому не доверяй", помогая предотвратить или уменьшить ущерб для бизнеса в результате нарушения безопасности. Дополнительные сведения см. в статье Предотвращение или уменьшение ущерба для бизнеса в результате нарушения бизнес-сценария платформы внедрения "Никому не доверяй" (Майкрософт).

Комплексное развертывание для Microsoft Defender XDR

Это статья 4 из 6 в серии, помогающая развернуть компоненты Microsoft Defender XDR, включая расследование инцидентов и реагирование на них.

Схема, показывающая Microsoft Defender для конечной точки в процессе пилотного и развертывания Microsoft Defender XDR.

Статьи этой серии соответствуют следующим этапам комплексного развертывания:

Этап Ссылка
О. Запуск пилотного проекта Запуск пилотного проекта
Б. Пилотное развертывание и развертывание компонентов Microsoft Defender XDR - Пилотное развертывание Defender для удостоверений

- Пилотный и развертывание Defender для Office 365

- Пилотный проект и развертывание Defender для конечной точки (эта статья)

- Пилотный и развертывание Microsoft Defender for Cloud Apps
C. Исследование угроз и реагирование на них Практическое исследование инцидентов и реагирование на инциденты

Пилотный и развертывание рабочего процесса для Defender для удостоверений

На следующей схеме показан общий процесс развертывания продукта или службы в ИТ-среде.

Схема этапов внедрения пилотного проекта, оценки и полного развертывания.

Вы начинаете с оценки продукта или службы и того, как они будут работать в вашей организации. Затем вы пилотируете продукт или службу с подходящим небольшим подмножеством производственной инфраструктуры для тестирования, обучения и настройки. Затем постепенно увеличивайте область развертывания, пока не будет охвачена вся инфраструктура или организация.

Ниже приведен рабочий процесс для пилотного развертывания и развертывания Defender для удостоверений в рабочей среде.

Схема, на которую показано, как пилотировать и развертывать Microsoft Defender для удостоверений.

Выполните следующие действия:

  1. Проверка состояния лицензии
  2. Подключение конечных точек с помощью любого из поддерживаемых средств управления
  3. Проверка пилотной группы
  4. Опробуйте возможности

Ниже приведены рекомендуемые действия для каждого этапа развертывания.

Этап развертывания Описание
Оценка Выполните оценку продукта для Defender для конечной точки.
Пилотный проект Выполните шаги 1–4 для пилотной группы.
Полное развертывание Настройте пилотную группу на шаге 3 или добавьте группы, чтобы выйти за рамки пилотного проекта и в конечном итоге включить все ваши устройства.

Защита организации от хакеров

Defender для удостоверений обеспечивает эффективную защиту самостоятельно. Однако в сочетании с другими возможностями Microsoft Defender XDR Defender для конечной точки предоставляет данные в общие сигналы, которые вместе помогают остановить атаки.

Ниже приведен пример кибератаки и того, как компоненты Microsoft Defender XDR помочь обнаружить и устранить ее.

Схема, показывающая, как Microsoft Defender XDR останавливает цепочку угроз.

Defender для конечной точки обнаруживает уязвимости устройств и сети, которые в противном случае могут быть использованы для устройств, управляемых вашей организацией.

Microsoft Defender XDR сопоставляет сигналы от всех компонентов Microsoft Defender, чтобы обеспечить полную историю атаки.

Архитектура Defender для конечной точки

На следующей схеме показано Microsoft Defender для конечной точки архитектуры и интеграции.

Схема, на которой показаны шаги по добавлению Microsoft Defender для конечной точки в среду оценки Microsoft Defender XDR.

В этой таблице описывается иллюстрация.

Выноска Описание
1 Подключение устройств осуществляется с помощью одного из поддерживаемых средств управления.
2 Подключенные устройства предоставляют Microsoft Defender для конечной точки сигнальные данные и реагируют на них.
3 Управляемые устройства присоединяются и (или) регистрируются в Microsoft Entra ID.
4 Присоединенные к домену устройства Windows синхронизируются с Microsoft Entra ID с помощью Microsoft Entra Connect.
5 Microsoft Defender для конечной точки оповещениями, исследованиями и ответами управляются в Microsoft Defender XDR.

Совет

Microsoft Defender для конечной точки также поставляется с лабораторией оценки продукта, в которой можно добавлять предварительно настроенные устройства и выполнять симуляции для оценки возможностей платформы. В лаборатории есть упрощенный интерфейс настройки, который поможет быстро продемонстрировать ценность Microsoft Defender для конечной точки включая рекомендации по многим функциям, таким как расширенная охота и аналитика угроз. Дополнительные сведения см. в разделе Оценка возможностей. Main разница между рекомендациями, приведенными в этой статье, и лабораторией оценки заключается в том, что среда оценки использует производственные устройства, в то время как в лаборатории оценки используются нерабочие устройства.

Шаг 1. Проверка состояния лицензии

Сначала необходимо проверка состояние лицензии, чтобы убедиться, что она подготовлена должным образом. Это можно сделать через Центр администрирования или microsoft портал Azure.

  1. Чтобы просмотреть лицензии, перейдите в портал Azure Майкрософт и перейдите в раздел Лицензия microsoft портал Azure.

    Снимок экрана: страница

  2. Кроме того, в Центре администрирования перейдите в раздел Выставление счетов>подписки.

    На экране отображаются все подготовленные лицензии и их текущее состояние.

    Снимок экрана: страница выставления счетов лицензий в microsoft портал Azure.

Шаг 2. Подключение конечных точек с помощью любого из поддерживаемых средств управления

Убедившись, что состояние лицензии подготовлено правильно, можно приступить к подключению устройств к службе.

Для оценки Microsoft Defender для конечной точки рекомендуется выбрать несколько устройств Windows для проведения оценки.

Вы можете использовать любое из поддерживаемых средств управления, но Intune обеспечивает оптимальную интеграцию. Дополнительные сведения см. в разделе Настройка Microsoft Defender для конечной точки в Microsoft Intune.

В разделе Планирование развертывания описаны общие действия, необходимые для развертывания Defender для конечной точки.

Просмотрите это видео, чтобы получить краткий обзор процесса подключения и узнать о доступных средствах и методах.

Параметры средства подключения

В следующей таблице перечислены доступные средства на основе конечной точки, которую необходимо подключить.

Конечная точка Параметры инструментов
Windows - Локальный сценарий (до 10 устройств)
- групповая политика
- Microsoft Intune и мобильные диспетчер устройств
- Microsoft Endpoint Configuration Manager
- Скрипты VDI
macOS - Локальные скрипты
- Microsoft Intune
- JAMF Pro
- Мобильные Управление устройствами
iOS На основе приложений
Android Microsoft Intune

При пилотном Microsoft Defender для конечной точки вы можете подключить несколько устройств к службе перед подключением всей организации.

Затем вы можете опробовать доступные возможности, такие как выполнение имитации атак и просмотр того, как Defender для конечной точки отображает вредоносные действия и позволяет эффективно реагировать.

Шаг 3. Проверка пилотной группы

После завершения действий по подключению, описанных в разделе Включить оценку, вы должны увидеть устройства в списке инвентаризации устройств примерно через час.

Когда вы увидите подключенные устройства, вы можете опробовать возможности.

Шаг 4. Опробуйте возможности

Теперь, когда вы завершили подключение некоторых устройств и убедились, что они сообщают службе, ознакомьтесь с продуктом, опробовав мощные возможности, доступные прямо в комплекте.

Во время пилотного проекта вы можете легко приступить к работе с некоторыми функциями, чтобы увидеть продукт в действии без выполнения сложных действий по настройке.

Начнем с проверки панелей мониторинга.

Просмотр инвентаризации устройств

В списке устройств вы увидите список конечных точек, сетевых устройств и устройств Интернета вещей в сети. Он не только предоставляет представление об устройствах в вашей сети, но и предоставляет подробные сведения о них, такие как домен, уровень риска, платформа ОС и другие сведения, чтобы легко идентифицировать устройства, наиболее подверженные риску.

Просмотр панели мониторинга Управление уязвимостями Microsoft Defender

Управление уязвимостями Defender помогает сосредоточиться на слабых сторонах, которые представляют собой самый срочный и самый высокий риск для организации. На панели мониторинга получите общее представление о оценке уязвимости организации, оценке безопасности Майкрософт для устройств, распределении уязвимостей устройств, основных рекомендациях по безопасности, наиболее уязвимом программном обеспечении, основных действиях по исправлению и основных предоставленных данных устройств.

Запуск имитации

Microsoft Defender для конечной точки поставляется со сценариями атаки "Сделай сам", которые можно запустить на пилотных устройствах. Каждый документ содержит требования к ОС и приложениям, а также подробные инструкции, относящиеся к сценарию атаки. Эти скрипты безопасны, задокументированы и просты в использовании. Эти сценарии отражают возможности Defender для конечной точки и помогут вам провести исследование.

Для выполнения любого из предоставленных симуляций требуется по крайней мере одно подключенное устройство.

  1. В разделе Справочные>& руководствах выберите, какие из доступных сценариев атак вы хотите имитировать:

    • Сценарий 1. Документ удаляет backdoor — имитирует доставку социально спроектированного документа приманки. Документ запускает специально созданный backdoor, который предоставляет злоумышленникам контроль.

    • Сценарий 2. Сценарий PowerShell в атаке без файлов имитирует атаку без файлов, основанную на PowerShell, показывающую сокращение направлений атаки и обнаружение вредоносных действий в памяти с помощью обучения устройств.

    • Сценарий 3. Автоматическое реагирование на инциденты активирует автоматическое исследование, которое автоматически ищет и устраняет артефакты нарушения для масштабирования емкости реагирования на инциденты.

  2. Скачайте и прочитайте соответствующий пошаговый документ, предоставленный для выбранного сценария.

  3. Скачайте файл имитации или скопируйте скрипт моделирования, перейдя в раздел Справочные>& руководства. Вы можете скачать файл или сценарий на тестовом устройстве, но это необязательно.

  4. Запустите файл моделирования или скрипт на тестовом устройстве, как описано в пошаговом руководстве.

Примечание.

Симуляция файлов или скриптов имитирует действия атаки, но на самом деле являются безвредными и не повреждают и не компрометируют тестовое устройство.

Интеграция SIEM

Вы можете интегрировать Defender для конечной точки с Microsoft Sentinel или универсальной службой управления информационной безопасностью и событиями безопасности (SIEM), чтобы обеспечить централизованный мониторинг оповещений и действий из подключенных приложений. С помощью Microsoft Sentinel вы можете более полно анализировать события безопасности в организации и создавать сборники схем для эффективного и немедленного реагирования.

Схема архитектуры для Microsoft Defender для конечной точки с интеграцией SIEM.

Microsoft Sentinel включает соединитель Defender для конечной точки. Дополнительные сведения см. в разделе соединитель Microsoft Defender для конечной точки для Microsoft Sentinel.

Сведения об интеграции с универсальными системами SIEM см. в статье Включение интеграции SIEM в Microsoft Defender для конечной точки.

Следующее действие

Включите сведения, приведенные в руководстве по операциям безопасности Defender для конечных точек , в процессы SecOps.

Следующий шаг для комплексного развертывания Microsoft Defender XDR

Продолжайте комплексное развертывание Microsoft Defender XDR с помощью пилотного проекта и разверните Microsoft Defender for Cloud Apps.

Схема, показывающая Microsoft Defender for Cloud Apps в процессе пилотного и развертывания Microsoft Defender XDR.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.