Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Microsoft Defender for Cloud integruje się natywnie z Microsoft Defender for Endpoint, aby udostępniać funkcje Defender for Endpoint i Defender Vulnerability Management w Microsoft Defender for Cloud.
- Po włączeniu planu usługi Defender for Servers w usłudze Defender for Cloud integracja z usługą Defender dla punktu końcowego jest domyślnie włączona.
- Integracja automatycznie wdraża agenta usługi Defender for Endpoint na maszynach.
W tym artykule wyjaśniono, jak ręcznie włączyć integrację usługi Defender dla punktu końcowego w razie potrzeby.
Wymagania wstępne
| Wymaganie | Szczegóły |
|---|---|
| Obsługa systemu Windows | Sprawdź, czy maszyny z systemem Windows są obsługiwane przez usługę Defender dla punktu końcowego. |
| Obsługa systemu Linux | W przypadku serwerów z systemem Linux musisz mieć zainstalowany język Python. Język Python 3 jest zalecany dla wszystkich dystrybucji, ale jest wymagany dla systemów RHEL 8.x i Ubuntu 20.04 lub nowszych. Automatyczne wdrażanie czujnika usługi Defender for Endpoint na maszynach z systemem Linux może nie działać zgodnie z oczekiwaniami, jeśli maszyny uruchamiają usługi korzystające z fanotify. Ręcznie zainstaluj czujnik usługi Defender for Endpoint na tych maszynach. |
| Maszyny wirtualne platformy Azure | Sprawdź, czy maszyny wirtualne mogą łączyć się z usługą Defender for Endpoint. Jeśli maszyny nie mają bezpośredniego dostępu, ustawienia serwera proxy lub reguły zapory muszą zezwalać na dostęp do adresów URL punktu końcowego usługi Defender for Endpoint. Przejrzyj ustawienia serwera proxy dla maszyn z systemami Windows i Linux . |
| Lokalne maszyny wirtualne | Zalecamy dołączanie maszyn lokalnych jako maszyn wirtualnych z obsługą usługi Azure Arc. Jeśli bezpośrednio dołączysz lokalne maszyny wirtualne, funkcje planu 1 programu Defender Server są dostępne, ale większość funkcji usługi Defender for Servers (plan 2) nie działa. |
| Dzierżawa platformy Azure | Jeśli subskrypcja została przeniesiona między dzierżawami platformy Azure, wymagane są również pewne czynności przygotowawcze. Aby uzyskać szczegółowe informacje, skontaktuj się z pomocą techniczną firmy Microsoft. |
| Windows Server 2016, 2012 R2 | W przeciwieństwie do nowszych wersji systemu Windows Server, które są dostarczane z wstępnie zainstalowanym czujnikiem usługi Defender for Endpoint, Defender dla Chmury instaluje czujnik na maszynach z systemem Windows Server 2016/2012 R2 przy użyciu ujednoliconego rozwiązania defender for Endpoint. |
Włączanie w ramach subskrypcji
Integracja z usługą Defender for Endpoint jest domyślnie włączona po włączeniu planu usługi Defender for Servers. Jeśli wyłączysz integrację usługi Defender for Endpoint z subskrypcją, możesz włączyć ją ponownie ręcznie, jeśli jest to konieczne, korzystając z tych instrukcji.
W Defender dla Chmury wybierz pozycję Ustawienia środowiska i wybierz subskrypcję zawierającą maszyny, na których chcesz wdrożyć integrację usługi Defender for Endpoint.
W > przełącz ustawienia kolumny Stan na Włączone.
Wybierz pozycję Kontynuuj i zapisz , aby zapisać ustawienia.
Czujnik Defender for Endpoint jest wdrażany na wszystkich maszynach z systemem Windows i Linux w ramach wybranej subskrypcji.
Dołączanie może potrwać do godziny. Usługa Defender for Cloud wykrywa wszystkie poprzednie instalacje usługi Defender for Endpoint i konfiguruje je ponownie w celu integracji z usługą Defender for Cloud.
Uwaga
W przypadku maszyn wirtualnych platformy Azure utworzonych na podstawie uogólnionych obrazów systemu operacyjnego rozwiązanie MDE nie zostanie automatycznie aprowizowane za pomocą tego ustawienia; można jednak ręcznie włączyć agenta MDE i rozszerzenie przy użyciu interfejsu wiersza polecenia platformy Azure, interfejsu API REST lub usługi Azure Policy.
Weryfikowanie instalacji na maszynach z systemem Linux
Zweryfikuj instalację czujnika usługi Defender for Endpoint na maszynie z systemem Linux, wykonując następujące kroki:
Uruchom następujące polecenie powłoki na każdej maszynie:
mdatp health. Jeśli usługa Microsoft Defender dla punktu końcowego jest zainstalowana, zobaczysz jego stan kondycji:healthy : truelicensed: truePonadto w witrynie Azure Portal możesz sprawdzić, czy maszyny z systemem Linux mają nowe rozszerzenie platformy Azure o nazwie
MDE.Linux.
Uwaga
W nowych subskrypcjach integracja usługi Defender for Endpoint jest automatycznie włączona i obejmuje maszyny z obsługiwanym systemem operacyjnym Windows Server lub Linux. W poniższych sekcjach omówiono jednorazową zgodę, która może być wymagana tylko w niektórych scenariuszach.
Włączanie ujednoliconego rozwiązania defender for Endpoint w systemie Windows Server 2016/2012 R2
Jeśli usługa Defender for Servers jest włączona, a integracja usługi Defender dla punktu końcowego znajduje się w subskrypcji, która istniała przed wiosną 2022 r., może być konieczne ręczne włączenie integracji ujednoliconego rozwiązania dla maszyn z systemem Windows Server 2016 lub Windows Server 2012 R2 w subskrypcji.
W Defender dla Chmury wybierz pozycję Ustawienia środowiska i wybierz subskrypcję z maszynami z systemem Windows, które mają otrzymać usługę Defender dla punktu końcowego.
W kolumnie Pokrycie monitorowania planu usługi Defender for Servers wybierz pozycję Ustawienia.
Stan składnika Endpoint Protections jest częściowy, co oznacza, że nie wszystkie części składnika są włączone.
Wybierz pozycję Poprawka , aby wyświetlić składniki, które nie są włączone.
W obszarze Brakujące składniki>Ujednolicone rozwiązanie wybierz pozycję Włącz, aby automatycznie zainstalować agenta usługi Defender for Endpoint na maszynach z systemem Windows Server 2012 R2 i 2016 połączonych z Microsoft Defender dla Chmury.
Aby zapisać zmiany, wybierz pozycję Zapisz w górnej części strony. Na stronie Ustawienia i monitorowanie wybierz pozycję Kontynuuj.
Defender dla Chmury dołącza istniejące i nowe maszyny do usługi Defender for Endpoint.
W przypadku konfigurowania Defender for Endpoint w pierwszej subskrypcji w dzierżawie, integracja może potrwać do 12 godzin. W przypadku nowych maszyn i subskrypcji utworzonych po włączeniu integracji po raz pierwszy dołączanie trwa do godziny.
Uwaga
Włączenie integracji usługi Defender dla punktu końcowego na maszynach z systemami Windows Server 2012 R2 i Windows Server 2016 jest jednorazową akcją. Jeśli wyłączysz plan i ponownie włączysz go, integracja pozostanie włączona.
Włączanie na maszynach z systemem Linux (włączono planowanie/integrację)
Jeśli usługa Defender for Servers jest już włączona, a integracja usługi Defender dla punktu końcowego znajduje się w subskrypcji, która istniała przed latem 2021 r., może być konieczne ręczne włączenie integracji dla maszyn z systemem Linux.
W Defender dla Chmury wybierz pozycję Ustawienia środowiska i wybierz subskrypcję z maszynami z systemem Linux, które mają otrzymać usługę Defender for Endpoint.
W kolumnie Pokrycie monitorowania planu usługi Defender for Server wybierz pozycję Ustawienia.
Stan składnika Endpoint Protections jest częściowy, co oznacza, że nie wszystkie części składnika są włączone.
Wybierz pozycję Poprawka , aby wyświetlić składniki, które nie są włączone.
W obszarze Brakujące składniki>maszyn z systemem Linux wybierz pozycję Włącz.
Aby zapisać zmiany, wybierz pozycję Zapisz w górnej części strony. Na stronie Ustawienia i monitorowanie wybierz pozycję Kontynuuj.
- Defender dla Chmury dołącza maszyny z systemem Linux do usługi Defender for Endpoint.
- Usługa Defender for Cloud wykrywa wszystkie poprzednie instalacje usługi Defender for Endpoint na maszynach z systemem Linux i konfiguruje je ponownie w celu integracji z usługą Defender for Cloud.
- W przypadku konfigurowania Defender for Endpoint w pierwszej subskrypcji w dzierżawie, integracja może potrwać do 12 godzin. W przypadku nowych maszyn utworzonych po włączeniu integracji dołączanie trwa do godziny.
Aby sprawdzić instalację czujnika usługi Defender for Endpoint na maszynie z systemem Linux, uruchom następujące polecenie powłoki na każdej maszynie.
mdatp healthJeśli usługa Microsoft Defender dla punktu końcowego jest zainstalowana, zobaczysz jego stan kondycji:
healthy : truelicensed: trueW witrynie Azure Portal możesz sprawdzić, czy maszyny z systemem Linux mają nowe rozszerzenie platformy Azure o nazwie
MDE.Linux.
Uwaga
Włączanie integracji usługi Defender for Endpoint na maszynach z systemem Linux to jednorazowa akcja. Jeśli wyłączysz plan i ponownie włączysz go, integracja pozostanie włączona.
Włączanie integracji z programem PowerShell w wielu subskrypcjach
Aby włączyć integrację usługi Defender for Servers dla maszyn z systemem Linux lub Windows Server 2012 R2 i 2016 z rozwiązaniem MDE Unified w wielu subskrypcjach, możesz użyć jednego ze skryptów programu PowerShell w repozytorium GitHub usługi Defender for Cloud.
- Ten skrypt umożliwia integrację z nowoczesnym rozwiązaniem ujednoliconym usługi Defender for Endpoint w systemie Windows Server 2012 R2 lub Windows Server 2016
- Użyj tego skryptu , aby włączyć integrację usługi Defender for Endpoint na maszynach z systemem Linux
Zarządzanie aktualizacjami automatycznymi dla systemu Linux
W systemie Windows aktualizacje wersji usługi Defender dla punktu końcowego są udostępniane za pośrednictwem ciągłych aktualizacji baza wiedzy. W systemie Linux należy zaktualizować pakiet usługi Defender for Endpoint.
W przypadku korzystania z usługi Defender dla serwerów z
MDE.Linuxrozszerzeniem aktualizacje automatyczne dla Ochrona punktu końcowego w usłudze Microsoft Defender są domyślnie włączone.Jeśli chcesz ręcznie zarządzać aktualizacjami wersji, możesz wyłączyć automatyczne aktualizacje na maszynach. W tym celu dodaj następujący tag dla maszyn dołączonych do
MDE.Linuxrozszerzenia .- Nazwa tagu:
ExcludeMdeAutoUpdate - Wartość tagu:
true
- Nazwa tagu:
Ta konfiguracja jest obsługiwana w przypadku maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc, gdzie rozszerzenie MDE.Linux inicjuje automatyczne aktualizacje.
Włączanie integracji na dużą skalę
Integrację usługi Defender for Endpoint można włączyć na dużą skalę za pomocą dostarczonego interfejsu API REST w wersji 2022-05-01. Aby uzyskać szczegółowe informacje, zobacz dokumentację interfejsu API.
Oto przykładowa treść żądania dla żądania PUT w celu włączenia integracji z usługą Defender for Endpoint:
URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01
{
"name": "WDATP",
"type": "Microsoft.Security/settings",
"kind": "DataExportSettings",
"properties": {
"enabled": true
}
}
Uwaga
Zarówno rozwiązanie Defender for Endpoint Unified, jak i usługa Defender dla punktu końcowego dla systemu Linux są automatycznie dołączane do nowych subskrypcji po włączeniu integracji z usługą Defender for Endpoint przy użyciu polecenia microsoft.security/settings/WDATP.
Ustawienia WDATP_UNIFIED_SOLUTION i WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW są istotne dla starszych subskrypcji. Te ustawienia dotyczą subskrypcji, które mają już włączoną integrację usługi Defender for Endpoint po wprowadzeniu tych funkcji w sierpniu 2021 r. i wiosną 2022 r.
Śledzenie stanu wdrożenia usługi Defender dla punktu końcowego
Możesz użyć skoroszytu stanu wdrożenia usługi Defender for Endpoint, aby śledzić stan wdrożenia usługi Defender for Endpoint na maszynach wirtualnych platformy Azure i maszynach wirtualnych z obsługą usługi Azure Arc. W skoroszycie interaktywnym przedstawiono przegląd maszyn w danym środowisku z Ochrona punktu końcowego w usłudze Microsoft Defender stan wdrożenia rozszerzenia.
Uzyskiwanie dostępu do portalu usługi Microsoft Defender
Upewnij się, że masz odpowiednie uprawnienia dostępu do portalu.
Sprawdź, czy masz serwer proxy lub zaporę blokującą ruch anonimowy.
- Czujnik usługi Defender for Endpoint łączy się z kontekstu systemu, więc ruch anonimowy musi być dozwolony.
- Aby zapewnić niezakłócony dostęp do portalu usługi Microsoft Defender, włącz dostęp do adresów URL usług na serwerze proxy.
Otwórz portal Microsoft Defender. Dowiedz się więcej o zdarzeniach i alertach w portalu usługi Microsoft Defender.
Uruchamianie testu wykrywania
Postępuj zgodnie z instrukcjami w teście wykrywania EDR w celu zweryfikowania przyłączania urządzenia i usług raportowania.
Usuwanie usługi Defender dla punktu końcowego z maszyny
Aby usunąć rozwiązanie Defender for Endpoint z maszyn:
- Aby wyłączyć integrację, w obszarze Defender dla Chmury >Ustawienia środowiska wybierz subskrypcję z odpowiednimi maszynami.
- Na stronie Plany usługi Defender wybierz pozycję Ustawienia i monitorowanie.
- W stanie składnika Endpoint Protection wybierz pozycję Wyłączone, aby wyłączyć integrację z Ochrona punktu końcowego w usłudze Microsoft Defender dla subskrypcji.
- Wybierz pozycję Kontynuuj i zapisz , aby zapisać ustawienia.
- Usuń rozszerzenie
MDE.WindowslubMDE.Linuxz maszyny. - Odłącz urządzenie z usługi Ochrona punktu końcowego w usłudze Microsoft Defender.
Usuń tagi integracji usługi Defender for Endpoint
Po dołączeniu urządzenia z systemem Windows za pośrednictwem usługi Defender for Cloud usługa Defender for Endpoint tworzy wartości rejestru związane z usługą Defender for Cloud. Te tagi rejestru pozostają na urządzeniu po odłączeniu i nie mają wpływu na funkcjonalność.
Aby całkowicie usunąć te tagi, wykonaj następujące kroki. W systemie Linux system przechowuje te informacje wewnętrznie i nie wyświetla ich w rejestrze.
Wybierz pozycję Start, wpisz regedit i naciśnij Enter , aby otworzyć Edytor rejestru.
W okienku po lewej stronie przejdź do:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection\DeviceTagsUsuń te nazwy wartości, jeśli istnieją:
AzureResourceIdSecurityWorkspaceIdSecurityAgentId
Ważne
Niepoprawne edytowanie rejestru może powodować problemy na urządzeniu.