Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для облака интегрируется изначально с Microsoft Defender для конечной точки для предоставления возможностей Defender для конечной точки и управления уязвимостями Defender в Defender для облака.
- Если включить план Defender для серверов в Defender для облака, интеграция Defender для конечной точки включена по умолчанию.
- Интеграция автоматически внедряет агент Defender для конечной точки на устройствах.
В этой статье объясняется, как при необходимости вручную включить интеграцию Microsoft Defender для конечных устройств.
Необходимые компоненты
| Требование | Сведения |
|---|---|
| Поддержка Windows | Убедитесь, что компьютеры Windows поддерживаются Defender для конечной точки. |
| Поддержка Linux | Для серверов Linux необходимо установить Python. Python 3 рекомендуется для всех дистрибутивов, но требуется для RHEL 8.x и Ubuntu 20.04 или более поздней версии. Автоматическое развертывание датчика Defender для конечной точки на компьютерах Linux может не работать должным образом, если компьютеры выполняют службы, использующие фанатику. Вручную установите датчик Defender для конечной точки на этих компьютерах. |
| Виртуальные машины Azure | Убедитесь, что виртуальные машины могут подключаться к службе Defender для конечной точки. Если компьютеры не имеют прямого доступа, параметры прокси-сервера или правила брандмауэра должны разрешить доступ к URL-адресам Defender для конечной точки. Просмотрите параметры прокси-сервера для компьютеров Windows и Linux . |
| Локальные виртуальные машины | Рекомендуется подключить локальные компьютеры как виртуальные машины с поддержкой Azure Arc. При подключении локальных виртуальных машин напрямую доступны функции плана 1 в Defender, но большинство функций Defender для серверов плана 2 не работают. |
| Клиент Azure | При перемещении подписки между клиентами Azure также требуются некоторые действия по подготовке вручную. Обратитесь в службу поддержки Майкрософт для получения сведений. |
| Windows Server 2016, 2012 R2 | В отличие от более поздних версий Windows Server, которые входят в предустановленный датчик Defender для конечной точки, Defender для облака устанавливает датчик на компьютерах под управлением Windows Server 2016/2012 R2 с помощью единого решения Defender для конечной точки. |
Включение подписки
Интеграция Defender для конечной точки включена по умолчанию при включении плана Defender для серверов. Если вы отключите интеграцию Defender для конечной точки в подписке, ее можно включить вручную при необходимости, используя эти инструкции.
В Defender для облака выберите параметры среды и выберите подписку, содержащую компьютеры, на которых требуется развернуть интеграцию Defender для конечной точки.
В разделе "Параметры" и "Защита>конечных точек" переключите параметры столбца "Состояние " на "Вкл.".
Нажмите кнопку "Продолжить" и "Сохранить", чтобы сохранить параметры.
Датчик Defender для конечной точки развертывается на всех компьютерах Windows и Linux в выбранной подписке.
Подключение может занять до часа. Defender для облака обнаруживает все предыдущие установки Defender для конечных точек и перенастраивает их для интеграции с Defender для облака.
Примечание.
Для виртуальных машин Azure, созданных из обобщенных образов ОС, MDE не будет автоматически подготовлен с помощью этого параметра; однако вы можете вручную включить агент MDE и расширение с помощью Azure CLI, REST API или политики Azure.
Проверка установки на компьютерах Linux
Проверьте установку датчика Defender для конечной точки на компьютере Linux, выполнив следующие действия.
Выполните следующую команду оболочки на каждом компьютере:
mdatp healthЕсли установлен Microsoft Defender для конечной точки, отображается состояние работоспособности:healthy : truelicensed: trueКроме того, в портал Azure можно проверить наличие нового расширения
MDE.LinuxAzure на компьютерах Linux.
Примечание.
В новых подписках интеграция Defender для конечной точки автоматически включена и охватывает компьютеры под управлением поддерживаемой операционной системы Windows Server или Linux. В следующих разделах описано однократное согласие, которое может потребоваться только в некоторых сценариях.
Включение единого решения Defender для конечной точки в Windows Server 2016/2012 R2
Если Защитник для серверов включен и интеграция Defender для конечной точки включена в подписке, которая существовала до весны 2022 года, может потребоваться вручную включить интеграцию единого решения для компьютеров под управлением Windows Server 2016 или Windows Server 2012 R2 в подписке.
В Defender для облака выберите параметры среды и выберите подписку с компьютерами Windows, которые требуется получить Defender для конечной точки.
В столбце покрытия мониторинга плана Defender для серверов выберите "Параметры".
Состояние компонента Endpoint Protections является частичным, что означает, что не все части компонента включены.
Выберите "Исправление", чтобы просмотреть компоненты, которые не включены.
В едином решении>Windows Server 2012 R2 и 2016, подключенных к Microsoft Defender для облака.
Чтобы сохранить изменения, нажмите кнопку "Сохранить " в верхней части страницы. На странице "Параметры" и "Мониторинг" нажмите кнопку "Продолжить".
Defender для облака подключение существующих и новых компьютеров к Defender для конечной точки.
Если вы настраиваете Defender для конечной точки в первой подписке в вашем арендаторе, внедрение может занять до 12 часов. Для новых компьютеров и подписок, созданных после включения интеграции в первый раз, подключение занимает до часа.
Примечание.
Включение интеграции Defender для конечной точки на компьютерах Windows Server 2012 R2 и Windows Server 2016 — это однократное действие. Если вы отключите план и повторно включите его, интеграция по-прежнему включена.
Включение на компьютерах Linux (включен план или интеграция)
Если Defender для серверов уже включен, а интеграция Defender для конечной точки включена в подписке, которая существовала до лета 2021 года, может потребоваться вручную включить интеграцию для компьютеров Linux.
В Defender для облака выберите параметры среды и выберите подписку с компьютерами Linux, которые вы хотите получить Defender для конечной точки.
В столбце покрытия мониторинга плана Defender для сервера выберите "Параметры".
Состояние компонента Endpoint Protections является частичным, что означает, что не все части компонента включены.
Выберите "Исправление", чтобы просмотреть компоненты, которые не включены.
В отсутствующих компонентах> Linux нажмите кнопку "Включить".
Чтобы сохранить изменения, нажмите кнопку "Сохранить " в верхней части страницы. На странице "Параметры" и "Мониторинг" нажмите кнопку "Продолжить".
- Defender для облака подключение компьютеров Linux к Defender для конечной точки.
- Defender для облака обнаруживает все предыдущие установки Defender для конечных точек на компьютерах Linux и перенастраивает их для интеграции с Defender для облака.
- Если вы настраиваете Defender для конечной точки в первой подписке в вашем арендаторе, внедрение может занять до 12 часов. Для новых компьютеров, созданных после включения интеграции, подключение занимает около часа.
Чтобы проверить установку датчика Defender для конечной точки на компьютере Linux, выполните следующую команду оболочки на каждом компьютере.
mdatp healthЕсли установлен Microsoft Defender для конечной точки, отображается состояние работоспособности:
healthy : truelicensed: trueВ портал Azure можно проверить, что на компьютерах Linux есть новое расширение
MDE.LinuxAzure.
Примечание.
Включение интеграции Defender для конечной точки на компьютерах Linux — это однократное действие. Если вы отключите план и повторно включите его, интеграция по-прежнему включена.
Включение интеграции с PowerShell в нескольких подписках
Чтобы включить интеграцию Defender для серверов на компьютерах Linux или Windows Server 2012 R2 и 2016 с единым решением MDE на нескольких подписках, можно использовать один из сценариев PowerShell в репозитории Defender для облака GitHub.
- Используйте этот скрипт для включения интеграции с современным унифицированным решением Defender для конечной точки в Windows Server 2012 R2 или Windows Server 2016
- Используйте этот сценарий для включения интеграции Defender для конечной точки на компьютерах Linux
Управление автоматическими обновлениями для Linux
В Windows обновления версий Defender для конечной точки предоставляются с помощью непрерывных база знаний обновлений. В Linux необходимо обновить пакет Defender для конечной точки.
При использовании Defender для серверов с
MDE.Linuxрасширением автоматические обновления для Microsoft Defender для конечной точки включены по умолчанию.Если вы хотите управлять обновлениями версий вручную, вы можете отключить автоматическое обновление на компьютерах. Для этого добавьте следующий тег для компьютеров, подключенных к расширению
MDE.Linux.- Имя тега:
ExcludeMdeAutoUpdate - Значение тега:
true
- Имя тега:
Эта конфигурация поддерживается для виртуальных машин Azure и компьютеров Azure Arc, где MDE.Linux расширение инициирует автоматическое обновление.
Включение интеграции в масштабе
Интеграцию Defender для конечной точки можно включить в масштабе с помощью предоставленного REST API версии 2022-05-01. Полные сведения см. в документации по API.
Ниже приведен пример текста запроса для запроса PUT, чтобы включить интеграцию Defender для конечной точки:
УРИ: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01
{
"name": "WDATP",
"type": "Microsoft.Security/settings",
"kind": "DataExportSettings",
"properties": {
"enabled": true
}
}
Примечание.
Единое решение Defender для конечной точки и Defender для конечной точки для Linux автоматически включаются в новые подписки при включении интеграции Defender для конечной точки с использованием microsoft.security/settings/WDATP.
Параметры WDATP_UNIFIED_SOLUTION и WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW релевантны для устаревших подписок. Эти параметры применяются к подпискам, в которых на момент появления этих функций в августе 2021 г. и весной 2022 г. уже была включена интеграция с Defender для конечной точки.
Отслеживание состояния развертывания Defender для конечной точки
Вы можете использовать книгу состояния развертывания Defender для конечной точки для отслеживания состояния развертывания Defender для конечной точки на виртуальных машинах Azure и виртуальных машинах с поддержкой Azure Arc. Интерактивная книга содержит обзор компьютеров в вашей среде с состоянием развертывания расширения Microsoft Defender для конечной точки.
Доступ к порталу Microsoft Defender
Убедитесь, что у вас есть правильные разрешения на доступ к порталу.
Проверьте наличие прокси-сервера или брандмауэра, блокирующего анонимный трафик.
- Датчик Defender для конечной точки подключается из системного контекста, поэтому необходимо разрешить анонимный трафик.
- Чтобы обеспечить неуправляемый доступ к порталу Microsoft Defender, включите доступ к URL-адресам службы на прокси-сервере.
Откройте портал Microsoft Defender. Сведения об инцидентах и оповещениях на портале Microsoft Defender.
Запустить проверку обнаружения
Следуйте инструкциям в тесте обнаружения EDR для проверки подключения устройств и служб отчетов.
Удаление Defender для конечной точки с компьютера
Чтобы удалить решение "Defender для конечной точки" с ваших компьютеров, выполните следующие действия.
- Чтобы отключить интеграцию, в параметрах среды Defender для облака >выберите подписку с соответствующими компьютерами.
- На странице планов Defender выберите "Параметры" и "Мониторинг".
- В состоянии компонента Endpoint Protection нажмите кнопку "Отключить", чтобы отключить интеграцию с Microsoft Defender для конечной точки для подписки.
- Нажмите кнопку "Продолжить" и "Сохранить", чтобы сохранить параметры.
- Удалите расширение
MDE.WindowsилиMDE.Linuxс машины. - Отключение устройства из службы Microsoft Defender для конечной точки.