Pilottesta och distribuera Microsoft Defender för Endpoint
Gäller för:
- Microsoft Defender XDR
Den här artikeln innehåller ett arbetsflöde för att testa och distribuera Microsoft Defender för Endpoint i din organisation. Du kan använda dessa rekommendationer för att registrera Microsoft Defender för Endpoint som ett enskilt cybersäkerhetsverktyg eller som en del av en heltäckande lösning med Microsoft Defender XDR.
Den här artikeln förutsätter att du har en Microsoft 365-produktionsklientorganisation och pilottestar och distribuerar Microsoft Defender för Endpoint i den här miljön. Den här metoden underhåller alla inställningar och anpassningar som du konfigurerar under pilottestet för din fullständiga distribution.
Defender för Endpoint bidrar till en Nolltillit arkitektur genom att hjälpa till att förhindra eller minska affärsskador från ett intrång. Mer information finns i Avsnittet om att förhindra eller minska affärsskador från ett scenario med intrång i Microsoft Nolltillit-implementeringsramverket.
Distribution från slutpunkt till slutpunkt för Microsoft Defender XDR
Det här är artikel 4 av 6 i en serie som hjälper dig att distribuera komponenterna i Microsoft Defender XDR, inklusive att undersöka och åtgärda incidenter.
Artiklarna i den här serien motsvarar följande faser i distributionen från slutpunkt till slutpunkt:
| Fas | Länk |
|---|---|
| A. Starta piloten | Starta piloten |
| B. Pilottesta och distribuera Microsoft Defender XDR komponenter |
-
Pilottesta och distribuera Defender for Identity - Pilottesta och distribuera Defender för Office 365 - Pilottesta och distribuera Defender för Endpoint (den här artikeln) - Pilottesta och distribuera Microsoft Defender for Cloud Apps |
| C. Undersöka och svara på hot | Öva incidentundersökning och svar |
Pilot- och distributionsarbetsflöde för Defender for Identity
Följande diagram illustrerar en gemensam process för att distribuera en produkt eller tjänst i en IT-miljö.
Du börjar med att utvärdera produkten eller tjänsten och hur den fungerar i din organisation. Sedan pilottestar du produkten eller tjänsten med en lämplig liten delmängd av produktionsinfrastrukturen för testning, inlärning och anpassning. Öka sedan distributionens omfattning gradvis tills hela infrastrukturen eller organisationen omfattas.
Här är arbetsflödet för att testa och distribuera Defender for Identity i produktionsmiljön.
Gör så här:
- Kontrollera licenstillstånd
- Registrera slutpunkter med något av de hanteringsverktyg som stöds
- Verifiera pilotgrupp
- Prova funktioner
Här är de rekommenderade stegen för varje distributionsfas.
| Distributionssteg | Beskrivning |
|---|---|
| Evaluera | Utför produktutvärdering för Defender för Endpoint. |
| Pilot | Utför steg 1–4 för en pilotgrupp. |
| Fullständig distribution | Konfigurera pilotgruppen i steg 3 eller lägg till grupper för att expandera bortom piloten och så småningom inkludera alla dina enheter. |
Skydda din organisation från hackare
Defender for Identity ger ett kraftfullt skydd på egen hand. Men i kombination med de andra funktionerna i Microsoft Defender XDR tillhandahåller Defender för Endpoint data till de delade signalerna som tillsammans hjälper till att stoppa attacker.
Här är ett exempel på en cyberattack och hur komponenterna i Microsoft Defender XDR hjälpa till att identifiera och minimera den.
Defender för Endpoint identifierar säkerhetsrisker för enheter och nätverk som annars kan utnyttjas för enheter som hanteras av din organisation.
Microsoft Defender XDR korrelerar signalerna från alla Microsoft Defender komponenter för att ge den fullständiga attackberättelsen.
Defender för Endpoint-arkitektur
Följande diagram illustrerar Microsoft Defender för Endpoint arkitektur och integreringar.
Den här tabellen beskriver bilden.
| Pratbubba | Beskrivning |
|---|---|
| 1 | Enheterna är registrerade via något av de hanteringsverktyg som stöds. |
| 2 | Ombordbaserade enheter tillhandahåller och svarar på Microsoft Defender för Endpoint signaldata. |
| 3 | Hanterade enheter är anslutna och/eller registrerade i Microsoft Entra ID. |
| 4 | Domänanslutna Windows-enheter synkroniseras för att Microsoft Entra ID med hjälp av Microsoft Entra Connect. |
| 5 | Microsoft Defender för Endpoint aviseringar, undersökningar och svar hanteras i Microsoft Defender XDR. |
Tips
Microsoft Defender för Endpoint levereras också med ett testlabb i produkten där du kan lägga till förkonfigurerade enheter och köra simuleringar för att utvärdera plattformens funktioner. Labbet har en förenklad konfigurationsupplevelse som snabbt kan demonstrera värdet av Microsoft Defender för Endpoint inklusive vägledning för många funktioner som avancerad jakt och hotanalys. Mer information finns i Utvärdera funktioner. Den största skillnaden mellan vägledningen i den här artikeln och utvärderingslabbet är att utvärderingsmiljön använder produktionsenheter medan utvärderingslabbet använder icke-produktionsenheter.
Steg 1: Kontrollera licenstillstånd
Du måste först kontrollera licenstillståndet för att kontrollera att det har etablerats korrekt. Du kan göra detta via administrationscentret eller via Microsoft Azure Portal.
Om du vill visa dina licenser går du till Microsoft Azure Portal och går till avsnittet Microsoft Azure Portal-licens.
Alternativt går du tillFaktureringsprenumerationer> i administrationscentret.
På skärmen visas alla etablerade licenser och deras aktuella status.
Steg 2: Registrera slutpunkter med något av de hanteringsverktyg som stöds
När du har kontrollerat att licenstillståndet har etablerats korrekt kan du börja registrera enheter till tjänsten.
I syfte att utvärdera Microsoft Defender för Endpoint rekommenderar vi att du väljer ett par Windows-enheter att utföra utvärderingen på.
Du kan välja att använda något av de hanteringsverktyg som stöds, men Intune ger optimal integrering. Mer information finns i Konfigurera Microsoft Defender för Endpoint i Microsoft Intune.
I avsnittet Planera distribution beskrivs de allmänna steg som du behöver vidta för att distribuera Defender för Endpoint.
Titta på den här videon för en snabb översikt över onboardingprocessen och lär dig mer om tillgängliga verktyg och metoder.
Registreringsverktygsalternativ
I följande tabell visas de tillgängliga verktygen baserat på den slutpunkt som du behöver registrera.
| Slutpunkt | Verktygsalternativ |
|---|---|
| Windows |
-
Lokalt skript (upp till 10 enheter) - grupprincip - Microsoft Intune/Mobil Enhetshanteraren - Microsoft Endpoint Configuration Manager - VDI-skript |
| macOS |
-
Lokala skript - Microsoft Intune - JAMF Pro - Mobila Enhetshantering |
| iOS | Appbaserad |
| Android | Microsoft Intune |
När du pilottestar Microsoft Defender för Endpoint kan du välja att registrera några enheter till tjänsten innan du registrerar hela organisationen.
Du kan sedan prova funktioner som är tillgängliga, till exempel att köra attacksimuleringar och se hur Defender för Endpoint visar skadliga aktiviteter och gör att du kan utföra ett effektivt svar.
Steg 3: Verifiera pilotgruppen
När du har slutfört registreringsstegen som beskrivs i avsnittet Aktivera utvärdering bör du se enheterna i listan Enhetsinventering ungefär efter en timme.
När du ser dina registrerade enheter kan du fortsätta med att testa funktionerna.
Steg 4: Prova funktioner
Nu när du har slutfört registreringen av vissa enheter och kontrollerat att de rapporterar till tjänsten kan du bekanta dig med produkten genom att testa de kraftfulla funktioner som är tillgängliga direkt.
Under piloten kan du enkelt komma igång med att testa några av funktionerna för att se produkten i praktiken utan att gå igenom komplexa konfigurationssteg.
Vi börjar med att checka ut instrumentpanelerna.
Visa enhetsinventeringen
I enhetsinventeringen visas en lista över slutpunkter, nätverksenheter och IoT-enheter i nätverket. Det ger dig inte bara en överblick över enheterna i nätverket, utan ger dig också detaljerad information om dem, till exempel domän, risknivå, OS-plattform och annan information för enkel identifiering av de enheter som är mest utsatta.
Visa instrumentpanelen för Microsoft Defender – hantering av säkerhetsrisker
Defender – hantering av säkerhetsrisker hjälper dig att fokusera på de svagheter som utgör den mest akuta och högsta risken för organisationen. Från instrumentpanelen får du en översikt över organisationens exponeringspoäng, Microsofts säkerhetspoäng för enheter, distribution av enhetsexponering, de främsta säkerhetsrekommendationerna, mest sårbara programvara, de främsta reparationsaktiviteterna och de vanligaste exponerade enhetsdata.
Köra en simulering
Microsoft Defender för Endpoint levereras med "Gör det själv"-attackscenarier som du kan köra på dina pilotenheter. Varje dokument innehåller krav för operativsystem och program samt detaljerade instruktioner som är specifika för ett angreppsscenario. Dessa skript är säkra, dokumenterade och enkla att använda. De här scenarierna återspeglar funktionerna i Defender för Endpoint och vägleder dig genom undersökningsupplevelsen.
Om du vill köra någon av de angivna simuleringarna behöver du minst en registrerad enhet.
I Hjälpsimuleringar>& självstudier väljer du vilka av de tillgängliga attackscenarier som du vill simulera:
Scenario 1: Dokumentet släpper bakdörr – simulerar leverans av ett socialt konstruerat lockdokument. Dokumentet startar en specialgjord bakdörr som ger angripare kontroll.
Scenario 2: PowerShell-skript i fillös attack – simulerar ett fillöst angrepp som förlitar sig på PowerShell, som visar minskning av attackytan och identifiering av skadlig minnesaktivitet.
Scenario 3: Automatiserad incidenthantering – utlöser automatiserad undersökning, som automatiskt söker efter och åtgärdar intrångsartefakter för att skala din kapacitet för incidenthantering.
Ladda ned och läs motsvarande genomgångsdokument som medföljer det valda scenariot.
Ladda ned simuleringsfilen eller kopiera simuleringsskriptet genom att gå tillHjälpsimuleringar> & självstudier. Du kan välja att ladda ned filen eller skriptet på testenheten, men det är inte obligatoriskt.
Kör simuleringsfilen eller skriptet på testenheten enligt instruktionerna i genomgångsdokumentet.
Obs!
Simuleringsfiler eller skript efterliknar attackaktivitet men är faktiskt ofarliga och skadar inte eller äventyrar testenheten.
SIEM-integrering
Du kan integrera Defender för Endpoint med Microsoft Sentinel eller en allmän SIEM-tjänst (säkerhetsinformation och händelsehantering) för att möjliggöra centraliserad övervakning av aviseringar och aktiviteter från anslutna appar. Med Microsoft Sentinel kan du mer omfattande analysera säkerhetshändelser i organisationen och skapa spelböcker för effektiv och omedelbar respons.
Microsoft Sentinel innehåller en Defender för Endpoint-anslutningsapp. Mer information finns i Microsoft Defender för Endpoint-anslutningsappen för Microsoft Sentinel.
Information om integrering med allmänna SIEM-system finns i Aktivera SIEM-integrering i Microsoft Defender för Endpoint.
Nästa steg
Införliva informationen i Defender för Endpoint Security Operations Guide i dina SecOps-processer.
Nästa steg för distribution från slutpunkt till slutpunkt av Microsoft Defender XDR
Fortsätt distributionen från slutpunkt till slutpunkt av Microsoft Defender XDR med Pilot och distribuera Microsoft Defender for Cloud Apps.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.