Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описана последовательность действий для пилотного внедрения и развертывания Microsoft Defender для конечной точки в вашей организации. Эти рекомендации можно использовать для подключения Microsoft Defender для конечной точки в качестве отдельного средства кибербезопасности или в составе комплексного решения с Microsoft Defender XDR.
В этой статье предполагается, что у вас есть рабочий клиент Microsoft 365 и вы выполняете пилотное развертывание Microsoft Defender для конечной точки в этой среде. Эта практика будет поддерживать все параметры и настройки, настроенные во время пилотного проекта для полного развертывания.
Defender для конечной точки вносит свой вклад в архитектуру "Никому не доверяй", помогая предотвратить или уменьшить ущерб для бизнеса в результате нарушения безопасности. Дополнительные сведения см. в статье Предотвращение или уменьшение ущерба для бизнеса в результате нарушения бизнес-сценария платформы внедрения "Никому не доверяй" (Майкрософт).
Важно!
Если вы хотите параллельно запустить несколько решений безопасности, см. раздел Рекомендации по производительности, конфигурации и поддержке.
Возможно, вы уже настроили взаимные исключения безопасности для устройств, подключенных к Microsoft Defender для конечной точки. Если вам по-прежнему нужно настроить взаимные исключения, чтобы избежать конфликтов, см. раздел Добавление Microsoft Defender для конечной точки в список исключений для существующего решения.
Комплексное развертывание для Microsoft Defender XDR
Это статья 4 из 6 в серии, помогающая развернуть компоненты Microsoft Defender XDR, включая расследование инцидентов и реагирование на них.
Статьи этой серии соответствуют следующим этапам комплексного развертывания:
| Этап | Ссылка |
|---|---|
| A. Запуск пилотного проекта | Запуск пилотного проекта |
| Б. Пилотное внедрение и развертывание компонентов Microsoft Defender XDR |
-
Опробуйте и разверните Defender for Identity - Пилотное развертывание Defender для Office 365 - Пилотное внедрение и развертывание Defender для конечных точек (эта статья) - Пилотное внедрение и развертывание Microsoft Defender for Cloud Apps |
| C. Исследование угроз и реагирование на них | Практическое исследование инцидентов и реагирование на инциденты |
Пилотное внедрение и развертывание процесса для Defender for Endpoint
На следующей схеме показан общий процесс развертывания продукта или службы в ИТ-среде.
Вы начинаете с оценки продукта или службы и того, как они будут работать в вашей организации. Затем вы пилотируете продукт или службу с подходящим небольшим подмножеством производственной инфраструктуры для тестирования, обучения и настройки. Затем постепенно увеличивайте область развертывания, пока не будет охвачена вся инфраструктура или организация.
Ниже приведена последовательность действий для пилотного внедрения и развертывания Defender for Endpoint в вашей производственной среде.
Выполните следующие действия:
- Проверка состояния лицензии
- Подключение конечных точек с помощью любого из поддерживаемых средств управления
- Проверка пилотной группы
- Опробуйте возможности
Ниже приведены рекомендуемые действия для каждого этапа развертывания.
| Этап развертывания | Описание |
|---|---|
| Оценка | Выполните оценку продукта Defender for Endpoint. |
| Пилотный проект | Выполните шаги 1–4 для пилотной группы. |
| Полное развертывание | Настройте пилотную группу на шаге 3 или добавьте группы, чтобы выйти за рамки пилотного проекта и в конечном итоге включить все ваши устройства. |
Защита организации от хакеров
Defender for Identity сам по себе обеспечивает мощную защиту. Однако в сочетании с другими возможностями Microsoft Defender XDR решение Defender for Endpoint передает данные в общий пул сигналов, которые в совокупности помогают предотвращать атаки.
Ниже приведен пример кибератаки и того, как компоненты Microsoft Defender XDR помочь обнаружить и устранить ее.
Defender для конечной точки обнаруживает уязвимости устройств и сети, которые в противном случае могут быть использованы для устройств, управляемых вашей организацией.
Microsoft Defender XDR сопоставляет сигналы от всех компонентов Microsoft Defender, чтобы обеспечить полную историю атаки.
Архитектура Microsoft Defender для конечной точки
На следующей схеме показаны архитектура и интеграции Microsoft Defender для конечной точки.
В этой таблице описывается иллюстрация.
| Выноска | Описание |
|---|---|
| 1 | Подключение устройств осуществляется с помощью одного из поддерживаемых средств управления. |
| 2 | Подключенные устройства передают данные сигналов Microsoft Defender для конечной точки и реагируют на них. |
| 3 | Управляемые устройства присоединяются и (или) регистрируются в Microsoft Entra ID. |
| 4 | Присоединенные к домену устройства Windows синхронизируются с Microsoft Entra ID с помощью Microsoft Entra Connect. |
| 5 | Оповещения, расследования и меры реагирования Microsoft Defender для конечных точек управляются в Microsoft Defender XDR. |
Совет
Microsoft Defender для конечной точки также поставляется с лабораторией оценки продукта, в которой можно добавлять предварительно настроенные устройства и выполнять симуляции для оценки возможностей платформы. В лаборатории есть упрощенный интерфейс настройки, который поможет быстро продемонстрировать ценность Microsoft Defender для конечной точки включая рекомендации по многим функциям, таким как расширенная охота и аналитика угроз. Дополнительные сведения см. в разделе Оценка возможностей. Основное различие между рекомендациями, приведенными в этой статье, и лабораторией оценки заключается в том, что среда оценки использует производственные устройства, в то время как в лаборатории оценки используются нерабочие устройства.
Шаг 1. Проверка состояния лицензии
Сначала необходимо проверить состояние лицензии, чтобы убедиться, что она была правильно подготовлена. Это можно сделать через центр администрирования или через портал Microsoft Azure.
Чтобы просмотреть свои лицензии, перейдите в портал Microsoft Azure и откройте раздел лицензий портала Microsoft Azure.
Либо в центре администрирования перейдите в раздел Выставление счетов>Подписки.
На экране отображаются все подготовленные лицензии и их текущее состояние.
Шаг 2. Подключение конечных точек с помощью любого из поддерживаемых средств управления
Убедившись, что состояние лицензии настроено должным образом, вы можете приступить к подключению устройств к сервису.
Для оценки Microsoft Defender для конечной точки рекомендуется выбрать несколько устройств Windows для проведения оценки.
Вы можете использовать любое из поддерживаемых средств управления, но Intune обеспечивает оптимальную интеграцию. Дополнительные сведения см. в разделе Настройка Microsoft Defender для конечной точки в Microsoft Intune.
В разделе Планирование развертывания описаны общие действия, необходимые для развертывания Defender для конечной точки.
Просмотрите это видео, чтобы получить краткий обзор процесса подключения и узнать о доступных средствах и методах.
Параметры средства подключения
В следующей таблице перечислены доступные инструменты в зависимости от конечной точки, которую необходимо подключить.
| Конечная точка | Параметры инструментов |
|---|---|
| Windows |
-
Локальный сценарий (до 10 устройств) - групповая политика - Microsoft Intune / диспетчер мобильных устройств - Microsoft Endpoint Configuration Manager - Скрипты VDI |
| macOS |
-
Локальные скрипты - Microsoft Intune - JAMF Pro - Управление мобильными устройствами |
| iOS | На основе приложений |
| Android | Microsoft Intune |
При пилотном развертывании Microsoft Defender для конечных точек можно сначала подключить к службе несколько устройств, прежде чем подключать все устройства в организации.
Затем вы можете опробовать доступные возможности, такие как выполнение имитации атак и просмотр того, как Defender для конечной точки отображает вредоносные действия и позволяет эффективно реагировать.
Шаг 3. Проверка пилотной группы
После завершения действий по подключению, описанных в разделе Включить оценку, вы должны увидеть устройства в списке инвентаризации устройств примерно через час.
Когда вы увидите подключенные устройства, вы можете опробовать возможности.
Шаг 4. Опробуйте возможности
Теперь, когда вы подключили несколько устройств и убедились, что они отправляют данные в службу, ознакомьтесь с продуктом, опробовав его широкие возможности, доступные по умолчанию.
Во время пилотного проекта вы можете легко приступить к работе с некоторыми функциями, чтобы увидеть продукт в действии без выполнения сложных действий по настройке.
Начнем с проверки панелей мониторинга.
Просмотр инвентаризации устройств
В списке устройств вы увидите список конечных точек, сетевых устройств и устройств Интернета вещей в сети. Он не только предоставляет представление об устройствах в вашей сети, но и предоставляет подробные сведения о них, такие как домен, уровень риска, платформа ОС и другие сведения, чтобы легко идентифицировать устройства, наиболее подверженные риску.
Просмотреть панель мониторинга Управление уязвимостями Microsoft Defender
Управление уязвимостями Defender помогает сосредоточиться на слабых сторонах, которые представляют собой самый срочный и самый высокий риск для организации. На панели мониторинга получите общее представление о оценке уязвимости организации, оценке безопасности Майкрософт для устройств, распределении уязвимостей устройств, основных рекомендациях по безопасности, наиболее уязвимом программном обеспечении, основных действиях по исправлению и основных предоставленных данных устройств.
Запуск имитации
Microsoft Defender для конечной точки поставляется со сценариями атаки "Сделай сам", которые можно запустить на пилотных устройствах. Каждый документ содержит требования к ОС и приложениям, а также подробные инструкции, относящиеся к сценарию атаки. Эти скрипты безопасны, задокументированы и просты в использовании. Эти сценарии демонстрируют возможности Microsoft Defender для конечных точек и познакомят вас с процессом расследования.
Для выполнения любого из предоставленных симуляций требуется по крайней мере одно подключенное устройство.
В Справка>Моделирование и руководства выберите, какие из доступных сценариев атак вы хотите смоделировать:
Сценарий 1: Документ доставляет бэкдор — имитирует доставку документа-приманки, использующего методы социальной инженерии. Документ запускает специально созданный backdoor, который предоставляет злоумышленникам контроль.
Сценарий 2. Сценарий PowerShell в атаке без файлов имитирует атаку без файлов, основанную на PowerShell, показывающую сокращение направлений атаки и обнаружение вредоносных действий в памяти с помощью обучения устройств.
Сценарий 3: Автоматизированное реагирование на инциденты — запускает автоматизированное расследование, которое выполняет поиск и устранение артефактов компрометации, что позволяет масштабировать возможности реагирования на инциденты.
Скачайте и прочитайте соответствующий пошаговый документ, предоставленный для выбранного сценария.
Скачайте файл имитации или скопируйте скрипт моделирования, перейдя в раздел Справочные>& руководства. Вы можете скачать файл или сценарий на тестовом устройстве, но это необязательно.
Запустите файл моделирования или скрипт на тестовом устройстве, как описано в пошаговом руководстве.
Примечание.
Симуляция файлов или скриптов имитирует действия атаки, но на самом деле являются безвредными и не повреждают и не компрометируют тестовое устройство.
Интеграция SIEM
Вы можете интегрировать Defender для конечной точки с Microsoft Sentinel или универсальной службой управления информационной безопасностью и событиями безопасности (SIEM), чтобы обеспечить централизованный мониторинг оповещений и действий из подключенных приложений. С помощью Microsoft Sentinel вы можете более полно анализировать события безопасности в организации и создавать сборники схем для эффективного и немедленного реагирования.
Microsoft Sentinel включает коннектор Microsoft Defender for Endpoint. Дополнительные сведения см. в разделе соединитель Microsoft Defender для конечных точек для Microsoft Sentinel.
Сведения об интеграции с универсальными системами SIEM см. в статье Включение интеграции SIEM в Microsoft Defender для конечной точки.
Следующее действие
Интегрируйте информацию из руководства по операциям безопасности Defender for Endpoint в свои процессы SecOps.
Следующий шаг для комплексного развертывания Microsoft Defender XDR
Продолжайте комплексное развертывание Microsoft Defender XDR с помощью пилотного проекта и разверните Microsoft Defender for Cloud Apps.
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.