Этап 6. Мониторинг рисков устройств и соответствия требованиям для базовых показателей безопасности
После развертывания Microsoft Defender для конечной точки вашей организации вы можете получить дополнительные аналитические сведения и повысить уровень защиты устройств, интегрируя Microsoft Intune с Defender для конечной точки. Для мобильных устройств это подразумевает в числе прочего возможность отслеживать риски для устройства в качестве условия доступа. Для устройств Windows можно отслеживать соответствие этих устройств базовой конфигурации безопасности.
Развертывание Microsoft Defender для конечных точек включает интеграцию с конечными точками. Если вы использовали Intune для подключения конечных точек (рекомендуется), то вы подключили Microsoft Intune к Defender для конечной точки. Если вы использовали другой метод для подключения конечных точек к Defender для конечной точки, см. раздел Настройка Microsoft Defender для конечной точки в Intune, чтобы убедиться, что вы настроили подключение между службой между Intune и Microsoft Defender для конечной точки.
На этой иллюстрации:
- Microsoft Defender для конечной точки значительно усиливает защиту устройств от угроз.
- Microsoft Intune позволяет настраивать политики защиты приложений и управлять устройствами (включая изменения конфигурации). Defender для конечной точки постоянно отслеживает ваши устройства на наличие угроз и может автоматически устранять атаки.
- Вы можете использовать Intune для подключения устройств к Defender для конечной точки, что позволяет этим устройствам работать с защитой от потери данных конечной точки Microsoft Purview (DLP).
В этой статье описаны следующие этапы действий:
- Отслеживание рисков для устройства
- Мониторинг соответствия базовым показателям безопасности
Если Defender для конечной точки еще не настроен, настройте среду оценки и пилотного анализа с помощью администратора защиты от угроз. Вы можете присоединиться к пилотной группе, чтобы попробовать на деле возможности, описанные в этой статье.
Отслеживание рисков для устройства как условие доступа
После развертывания Microsoft Defender для конечной точки вы сможете получать сигналы о возникновении угрозы. Получив такой сигнал, можно заблокировать доступ к устройству в зависимости от вычисленного показателя риска. Корпорация Майкрософт рекомендует разрешить доступ к устройствам со средней или более низкой оценкой риска.
Для Android и iOS/iPadOS сигналы о возникновении угрозы могут использоваться в политиках защиты приложений (APP). Дополнительные сведения см. в статье Создание и назначение политики защиты приложений для установки уровня риска устройства.
Можно установить уровень риска для всех платформ в существующих политиках соответствия требованиям для устройств. Дополнительные сведения см. в статье Создание политики условного доступа.
Развертывание базовых показателей безопасности и мониторинг соответствия для этих параметров
Распространяется на Windows 10 и Windows 11
Шаг 5. В статье о развертывании профилей конфигурации рекомендуется приступить к работе с профилями конфигурации с помощью базовых показателей безопасности, доступных для Windows 10 и Windows 11. Microsoft Defender для конечной точки также содержит базовую конфигурацию безопасности, которая предоставляет параметры, оптимизирующие все элементы управления безопасностью в стеке Defender для конечной точки, включая параметры для обнаружения и нейтрализации атак на конечные точки (EDR). Они также развертываются с помощью Microsoft Intune.
В идеале на устройствах, подключенных к Defender для конечной точки, должны быть развернуты обе базовых конфигурации: базовая конфигурация безопасности Windows Intune, обеспечивающая изначальную защиту Windows, а поверх нее – базовая конфигурация безопасности Defender для конечной точки, позволяющая оптимально настроить элементы управления безопасностью Defender для конечной точки.
Чтобы воспользоваться новейшими данными о рисках и угрозах и свести к минимуму конфликты по мере развития базовых показателей, всегда применяйте последние версии базовых показателей ко всем продуктам сразу после их выпуска.
С помощью Defender для конечной точки можно отслеживать соответствие этим базовым показателям.
Чтобы развернуть базовые показатели безопасности и отслеживать соответствие этим параметрам, выполните действия, описанные в этой таблице.
Шаг | Описание |
---|---|
1 | Просмотрите ключевые концепции и сравните базовые показатели безопасности Microsoft Defender для конечной точки и Windows Intune. Подробные рекомендации см. здесь: Повышение соответствия базовой оценке безопасности Microsoft Defender для конечной точки. См. статью Использование базовых показателей безопасности для настройки устройств Windows в Intune, чтобы просмотреть список доступных базовых показателей безопасности и избежать конфликтов. |
2 | Развертывание базовых параметров безопасности Windows для Intune. Если вы этого не сделали, ознакомьтесь с рекомендациями в шаге 5. Развертывание профилей конфигурации. |
3 | Развертывание базовых параметров Defender для конечной точки для Intune. См. управление профилями базовой конфигурации безопасности в Microsoft Intune для создания профиля и выбора базовой версии. Можно также выполнить инструкции, размещенные здесь: Просмотреть и назначить базовую конфигурацию безопасности Microsoft Defender для конечной точки. |
4 | В Defender для конечной точки просмотрите Карточку базовой конфигурации безопасности об управлении конфигурацией устройств. |