Open in app

Sign in

Write

Sign in

佈署MS Defender for Endpoint的環境

部署 Microsoft Defender for Endpoint 環境涉及設定tenant、加入裝置以及設定資安團隊存取權限。本文將介紹:

  • 建立 Microsoft Defender for Endpoint 環境
  • 加入的裝置在Microsoft Defender for Endpoint的監控下
  • 配置 Microsoft Defender for Endpoint 環境設定

建立環境

首次存取端點的 Microsoft Defender 網站設定時,可以設定許多屬性。但必須是tenant的Global admin或security admin。在 Set-up preferences頁面上,我們可以設定:

資料儲存位置 — 確定我們希望主要託管的位置:美國、歐盟或英國。設定完成後,將無法變更位置,且 Microsoft 不會從我們指定的地理位置往外傳輸資料。

資料保留 — 預設為六個月。

啟用預覽功能 — 預設開啟,之後可以變更。

若要存取終結點的 Microsoft Defender 網站設置,執行下列操作:

  1. 連結https://security.microsoft.com
  2. 選擇Settings
  3. 選擇Endpoints

網路配置

如果組織不要求端點使用Proxy存取 Internet,則不需要以下設定。

Microsoft Defender for Endpoint 感測器需要 Microsoft Windows HTTP (WinHTTP) 來報告感測器資料並與 Microsoft Defender for Endpoint service進行通訊。嵌入式 Microsoft Defender for Endpoint 感測器使用 LocalSystem 帳戶在系統上下文中運作。此感測器使用 Microsoft Windows HTTP 服務 (WinHTTP) 來實現與 Microsoft Defender for Endpoint 雲端服務的通訊。 WinHTTP 設定設定獨立於 Windows Internet (WinINet) 網際網路瀏覽代理設定,且只能使用下列發現方法來探索proxy server:

自動探索的方法:

  • Transparent proxy
  • Web Proxy Autodiscovery Protocol (WPAD)

假如組織的環境中已經有了Proxy的設定在運作,哪就不需要上面的配置。

OS的相容與功能

Microsoft Defender for Endpoint可以支援的OS有:

  • Windows
  • macOS
  • Linux
  • Android
  • iOS

可支援的Windows版本有:

  • Windows 7 SP1 Enterprise (Requires ESU for support.)
  • Windows 7 SP1 Pro (Requires ESU for support.)
  • Windows 8.1 Enterprise
  • Windows 8.1 Pro
  • Windows 11 Enterprise
  • Windows 11 Education
  • Windows 11 Pro
  • Windows 11 Pro Education
  • Windows 10 Enterprise
  • Windows 10 Enterprise LTSC 2016 (or later)
  • Windows 10 Enterprise IoT
  • Windows 10 Education
  • Windows 10 Pro
  • Windows 10 Pro Education
  • Windows server
  • Windows Server 2008 R2 SP1 (Requires ESU for support)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server, version 1803 or later
  • Windows Server 2019
  • Windows Server 2022
  • Windows Virtual Desktop

macOS 上的 Microsoft Defender for Endpoint 為三個最新發布的 macOS 版本提供 EDR(防毒、端點偵測和回應) 以及漏洞管理功能。客戶可以透過 Microsoft Endpoint Manager 和 Jamf 部署和管理解決方案。就像 macOS 上的 Microsoft Office 應用程式一樣,Microsoft AutoUpdate 用來管理 Mac 上的 Microsoft Defender for Endpoint 更新。

Microsoft Defender for Endpoint on Linux 為 Linux 伺服器提供預防性防毒 (AV)、EDR 以及漏洞管理功能。這包括配置和管理agent、啟動掃描和管理威脅的完整命令列。支援六種最常見的 Linux 伺服器發行版的最新版本:RHEL 7.2+、CentOS Linux 7.2+、Ubuntu 16 LTS 或更高版本的 LTS、SLES 12+、Debian 9+ 和 Oracle Linux 7.2。 Linux 上的 Microsoft Defender for Endpoint 可以使用 Puppet、Ansible與CHEF 或現有的 Linux 設定管理工具進行部署和設定。

Android 上的 Microsoft Defender for Endpoint 適用於運行 Android 6.0 及更高版本的裝置。支援 Android Enterprise(Work Profile)和裝置管理員模式。在 Android 上,提供網路保護,包括反網路釣魚、阻止不安全連線以及設定自訂指示器。此解決方案可掃描惡意軟體和 PUA(potentially unwanted applications),並透過與 Microsoft Endpoint Manager 和Conditional Access整合提供更多違規防護功能。

Microsoft Defender for Endpoint on iOS 適用於執行 iOS 11.0 及更高版本的裝置。支援在客戶的tenant內註冊(已註冊或未註冊)的設備。支援受監督和不受監督的註冊設備。在 iOS 上,提供網路保護,包括反網路釣魚、阻止不安全連線和設定自訂指示器以及越獄偵測。

加入的裝置

首次存取端點的 Microsoft Defender 網站設定時,第一步是設定Device discovery。必須是tenant的Global admin或security admin。

  1. 在 Microsoft Defender XDR 網站上,從導覽功能表中選擇左側的「Setting」。
  2. 在「Setting」選單頁面中,選擇「Device discovery」。
  3. 在Discovery設定中,確認"Standard discovery (recommended)"有勾選到

需要前往 Microsoft Defender 網站的"onboarding"部分才能加入任何受支援的裝置。根據設備的不同,系統會引導我們執行適當的步驟,並提供適合該設備的管理和部署工具選項。

一般來說,將設備加入服務:

  • 驗證設備是否符合最低要求
  • 根據設備,按照 Microsoft Defender網站的入門部分中提供的設定步驟進行操作
  • 使用適合組織裝置的管理工具和部署方法
  • 執行偵測測試以驗證設備是否已正確登入並向服務報告

手動步驟

Settings →Endpoints →Device management →Onboarding →下拉式選單選擇OS →下載onboarding package →將下載的檔案用Local admin執行。

選擇適當的作業系統選項後,將概述支援的部署選項。我們以 Win10為例,Win10 支援的部署選項的清單:

  • Group Policy
  • Microsoft Endpoint Configuration Manager current branch and later
  • Mobile Device Management (including Microsoft Intune)
  • Local script (for up to 10 devices)
  • VDI onboarding script for non-persistent devices
  • System Center Configuration Manager 2012 / 2012 R2 / 1511 /1602

存取管理

使用RBAC,可以在安全維運團隊中建立角色和群組,以授予對網站的適當存取權限。根據建立的角色和群組,可以對有權存取網站的使用者進行檢視和執行的操作進行細緻控制。

Defender for Endpoint RBAC 旨在支援我們選擇的基於組織層級或基於角色的模型。它使我們可以細緻控制角色可以看到的內容、他們可以存取的設備以及他們可以採取的操作。 RBAC 框架以以下控制項為中心:

  • 控制誰可以採取特定行動
    建立自訂角色並控制他們可以存取的 Defender for Endpoint 功能的細緻度。
  • 控制誰可以查看特定設備群組的資訊
    依特定條件(例如名稱、標籤、網域等)建立裝置群組,然後使用特定的 Microsoft Entra 使用者群組授予它們的角色存取權限。

要實現 role-based access,需要定義管理員角色,分配相應的權限,並指派分配給角色的 Microsoft Entra 使用者群組。

在使用RBAC之前,我們應該了解可以授予權限的角色以及開啟RBAC的後果。首次登入 Microsoft Defender XDR 時,我們將被授予完全存取權限或唯讀存取權限。完全存取權限授予在 Microsoft Entra ID 中具有security admin或Global admin角色的使用者。唯讀存取權限授予在 Microsoft Entra ID 中具有security reader角色的使用者。具有 Defender for Endpoint Global admin角色的人員可以不受限制地存取所有設備,無論其設備群組關聯和 Microsoft Entra 使用者群組分配如何。

RBAC的建立與管理

以下步驟指導我們如何在 Microsoft Defender 網站中建立角色。它假定我們已經建立了 Microsoft Entra 使用者群組。

  1. Access the Microsoft Defender portal using an account with a Security administrator or Global administrator role assigned.
  2. In the navigation pane, select Settings then select Endpoints. Under the Permissions category, select Roles.
  3. Select the Turn on roles button.
  4. Select + Add item.
  5. Enter the role name, description, and permissions you’d like to assign to the role.
  6. Select Next to assign the role to a Microsoft Entra Security group.
  7. Use the filter to select the Microsoft Entra group that you would like to add this role to.
  8. Select Save.

PS:
建立角色後,需要建立一個device group,並透過將其指派給剛剛建立的角色來提供對該裝置群組的存取權限。

權限選項

  • View data
    1. Security operations— 查看網站中的所有安全操作資料
    2. Threat and vulnerability management— 在網站中查看威脅和漏洞管理資料
  • Active remediation actions
    1. Security operations-採取回應操作、批准或駁回待處理的補救操作、管理自動化和指示器的allowed/blocked清單
    2. Threat and vulnerability management-異常處理 — 建立新異常並管理活動異常
    3. Threat and vulnerability management-補救處理 — 提交新的補救請求、建立tickets並管理現有的補救活動
    4. Threat and vulnerability management-應用程式處理 — 透過阻止易受攻擊的應用程式來立即採取緩解措施,並在獲得批准後透過取消blocking來管理被block的應用程式
  • Threat and vulnerability management
    管理security baselines assessment profiles — 建立和管理設定檔以評估我們的裝置是否符合security industry baselines
  • Alerts investigation
    管理告警、啟動自動調查、運行掃描、收集investigation packages、管理設備標籤以及僅下載PE(portable executable)檔案
  • Manage security settings in Security Center
    配置告警抑制設置,管理自動化、上線跟離線的裝置,以及管理電子郵件通知、管理evaluation lab
  • Manage endpoint security settings in Microsoft Endpoint Manager
    對Microsoft Endpoint Manager 中「Endpoint Security」區域的完全存取權限、IntuneEndpoint Security」角色權限、設定端點安全性和合規功能(包括Microsoft Defender for Endpoint onboarding)以及查看security center中的「Configuration Management」頁面的能力
  • Live response capabilities:

Basic commands:

  • Start a live response session
  • Perform read-only live response commands on remote device (excluding file copy and execution)

Advanced commands:

  • Download a file from the remote device via live response
  • Download PE and non-PE files from the file page
  • Upload a file to the remote device
  • View a script from the files library
  • Execute a script on the remote device from the files library

配置Device Groups

在企業環境中,安全營維運團隊通常會把設備分群。這些被分群的設備根據一組屬性(例如它們的網域、電腦名稱或指定標籤)分組在一起。

在 Microsoft Defender for Endpoint 中,可以建立裝置群組(Device groups)並將其用於:

  • 將相關告警和資料的存取權限限制為具有指派的 RBAC 角色的特定 Microsoft Entra 使用者群組
  • 為不同的設備組配置不同的自動修復設置
  • 分配在自動調查期間應用的特定補救級別
  • 在調查中,使用群組過濾器將設備清單過濾到特定設備群組。

我們可以在RBAC 的背景脈絡下建立設備群組,透過將設備群組指派給使用者群組來控制誰可以執行特定操作或檢視資訊。

作為建立設備組過程的一部分,我們將:

  • 設定該群組的自動修復等級。
  • 指定符合規則,根據裝置名稱、網域、標籤和作業系統平台決定哪個裝置群組屬於該群組。如果設備也與其他組匹配,則它只添加到排名最高的設備組中。
  • 選擇應有權利存取設備群組的 Microsoft Entra 使用者群組。
  • 建立後,對設備組相對於其他組進行排名。

建立群組

  1. In the navigation pane, select Settings, select Endpoints and then under Permissions select Device groups.
  2. Select + Add device group.
  3. Enter the group name and automation settings and specify the matching rule that determines which devices belong to the group. See How the automated investigation starts.
  4. Preview several devices that will be matched by this rule. If you’re satisfied with the rule, select the User access tab.
  5. Assign the user groups that can access the device group you created. You can only grant access to Microsoft Entra user groups that have been assigned to RBAC roles.
  6. Select Close. The configuration changes are applied.

配置環境的進階功能

常規設定區域中的進階功能區域為產品內的功能提供了許多開關。我們將在後面的文章中介紹其中一些功能。

根據我們使用的 Microsoft 安全性產品,我們可能可以使用一些進階功能來整合 Defender for Endpoint。

在導覽窗格中,選擇Settings > Endpoints > Advanced功能。

選擇您要設定的進階功能,然後在「開」和「關」之間切換設定。

使用以下進階功能可以更好地保護免受潛在惡意文件的侵害,並在安全調查期間獲得更好的洞察力。

  • 開啟Automated investigation功能以利用該服務的自動調查和修復功能。
  • 開啟Live response功能,以便具有適當權限的使用者可以在裝置上啟動即時回應對話。
  • 開啟Live response for servers功能,以便具有適當權限的使用者可以在伺服器上啟動即時回應對話。
  • 啟用"Live response unsigned script execution"功能可讓我們在即時回應作業階段中執行未簽署的腳本。
  • PUA(Potentially unwanted applications) 是一種軟體,可能會導致我們的電腦運行緩慢、顯示意外廣告,或在最壞的情況下安裝其他可能是意外或不需要的軟體。
    開啟"Always remediate PUA"功能,以便在tenant中的所有裝置上修復可能不需要的應用程式 (PUA),即使裝置上未配置 PUA 保護也是如此。啟動該功能有助於防止使用者無意中在其裝置上安裝不需要的應用程式。關閉後,修復取決於device configuration。
  • 即使 Microsoft Defender 防毒軟體在被動模式下執行,block mode下的端點 EDR 也可以提供針對惡意工件的保護。開啟後,block mode下的 EDR 會阻止在裝置上偵測到的惡意工件或行為。block mode下的 EDR 在背景工作,以修復違規後偵測到的惡意工件。
  • 對於在 Windows 10 版本 1809 之後建立的tenant,Autoresolve remediated alerts功能預設配置為解決自動分析結果狀態為「No threats found」或「Remediated」的警報。如果不想自動解決告警報,則需要手動關閉該功能。

Restrict correlation to within scoped device groups

此配置可用於大型企業有分層的SOC團隊,本地 SOC 操作希望將告警關聯僅限於他們可以存取的設備群組的場景。透過啟用此設置,由跨裝置群組的告警組成的事將不再被視為單一事故。然後,本地 SOC 可以對事故採取行動,因為他們可以存取所涉及的設備組之一。然而,總部的 SOC 將按設備群組看到多個不同的事故,而不是一個事故。微軟不建議打開此設置,除非這樣做比整個組織中事件關聯的好處更重要。但是監控資料也被割成不同的部分。

允許或封鎖檔案

僅當組織滿足以下要求時才可以進行封鎖:

  • 使用 Microsoft Defender 防毒軟體作為主動反惡意軟體解決方案
  • 雲端防護功能已啟用

此功能使我們能夠阻止網路中潛在的惡意檔案。封鎖檔案將阻止該檔案在組織中的裝置上讀取、寫入或執行。

啟用此功能後,可以透過file’s profile頁面上的「Add Indicator」檔案來封鎖檔案。

客製網路指標

啟用此功能可讓我們為 IP 位址、網域或 URL 建立指示器,這些指示器根據我們的自訂指示器清單確定是否允許或封鎖它們。

要使用此功能,設備必須運行Windows 10 版本1709 或更高版本,或者Windows 11。 4052623。

網路保護利用信譽服務來處理可能位於為 Defender for Endpoint Data非預期位置(例如在國外)的請求。

防篡改保護(Tamper protection)

在某些類型的網路攻擊中,駭客會嘗試停用電腦上的安全功能,例如防毒保護。駭客通常會喜歡安全功能,以便存取資料、安裝惡意軟體或以其他方式利用我們的資料、身分和裝置。

篡改保護本質上是鎖定 Microsoft Defender 防毒軟體,並防止安全設定透過應用程式和方法被更改。

如果組織使用 Microsoft Defender 防毒且啟用了基於雲端的保護,則此功能可用。

保持防篡改功能處於開啟狀態,以防止對您的安全解決方案及其基本功能進行不必要的變更。

開啟"Show user details"以便可以查看 Microsoft Entra ID 中儲存的使用者詳細資訊。調查使用者帳戶實體時,詳細資訊包括使用者的圖片、姓名、職位和部門資訊。您可以在以下視圖中找到使用者帳戶資訊:

  • Security operations dashboard
  • Alert queue
  • Device details page

與Microsoft Defender for Identity的整合

與 Microsoft Defender for Identity 的整合可直接轉向另一個 Microsoft Identity 安全性產品。 Microsoft Defender for Identity 強化了調查,提供更多有關可疑帳戶和相關資源的見解。透過啟用此功能,可以從身分角度跨網路進行調查,從而豐富基於裝置的調查功能。

與Office 365 Threat Intelligence連接

只有當有買 Office 365 E5授權 或Threat Intelligence add-on時,此功能才可用。

啟用此功能後,您將能夠將 Microsoft Defender for Office 365 中的資料合併到 Microsoft Defender XDR 中,以跨 Office 365 郵箱和 Windows 裝置進行全面的安全調查。

要在 Office 365 TI中接收contextual device整合,需要在安全性與合規性儀表板中啟用 Defender for Endpoint 設定。

Web content filtering

封鎖存取(Block access)包含不需要的內容的網站並追蹤所有網域中的網路活動。若要指定要封鎖的 Web 內容類別,建立web content filtering policy。確保在部署 Microsoft Defender for Endpoint security baseline時以block mode進行網路保護。

Conditional Access policy

啟用 Intune 整合時,Intune 將自動建立典型條件存取 (CA) 策略。此典型CA 政策是設定 Intune 狀態報告的先決條件。它不應該被刪除。

資安
端點防護

--

--

運用"雲端服務"加速企業的數位轉型願景
運用"雲端服務"加速企業的數位轉型願景

Written by 運用"雲端服務"加速企業的數位轉型願景

405 Followers
1 Following

我們協助您駕馭名為"雲端運算"的怪獸,馴服它為您所用。諮詢請來信jason.kao@suros.com.tw. https://facebook.com/jason.kao.for.cloud

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams