Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Defender para Nuvem integra-se nativamente ao Microsoft Defender para Ponto de Extremidade para fornecer recursos do Defender para Ponto de Extremidade e do Gerenciamento de Vulnerabilidades do Microsoft Defender no Defender para Nuvem.
- Quando você habilita o plano do Defender para Servidores no Defender para Cloud, a integração com o Defender para Endpoint é ativada por padrão.
- A integração implanta automaticamente o agente do Defender para Endpoint nos dispositivos.
Este artigo explica como habilitar manualmente a integração do Microsoft Defender para Endpoint quando necessário.
Pré-requisitos
| Requisito | Detalhes |
|---|---|
| Suporte do Windows | Verifique se os computadores Windows têm suporte do Defender para Ponto de Extremidade. |
| Suporte para Linux | Para servidores Linux, é preciso ter o Python instalado. O Python 3 é recomendado para todas as distribuições, mas é necessário para o RHEL 8.x e o Ubuntu 20.04 ou superior. A implantação automática do sensor do Defender para Ponto de Extremidade em computadores Linux pode não funcionar conforme o esperado se os computadores executarem serviços que usam o fanotify. Instale o sensor do Defender para Ponto de Extremidade manualmente nesses computadores. |
| VMs do Azure | Verifique se as VMs podem se conectar ao serviço do Defender para Ponto de Extremidade. Se as máquinas não tiverem acesso direto, as configurações de proxy ou as regras de firewall precisarão permitir o acesso às URLs do Defender para Ponto de Extremidade. Reveja as configurações de proxy para computadores Windows e Linux. |
| VMs locais | Recomendamos que você integre as máquinas locais como VMs habilitadas para o Azure Arc. Se você integrar as VMs locais diretamente, os recursos do Plano 1 do Defender para Servidores estarão disponíveis, mas a maioria das funcionalidades do Plano 2 do Defender para Servidores não vai funcionar. |
| Locatário do Azure | Se você tiver movido sua assinatura entre locatários do Azure, algumas etapas preparatórias manuais também serão necessárias. Entre em contato com o Suporte da Microsoft para obter os detalhes. |
| Windows Server 2016, 2012 R2 | Ao contrário das versões posteriores do Windows Server, que vêm com o sensor do Defender para Ponto de Extremidade pré-instalado, o Defender para Nuvem instala o sensor nos computadores que executam o Windows Server 2016/2012 R2 usando a solução unificada do Defender para Ponto de Extremidade. |
Habilitar em uma assinatura
A integração do Defender para Ponto de Extremidade é habilitada por padrão quando você habilita um plano do Defender para Servidores. Se você desativar a integração do Defender para Endpoint em uma assinatura, poderá ativá-la novamente manualmente conforme necessário usando essas instruções.
No Defender para Nuvem, selecione Configurações de ambiente e selecione a assinatura que contém os computadores nos quais você quer implantar a integração do Defender para Ponto de Extremidade.
Em Configurações e monitoramento>Proteção de pontos de extremidade, alterne as configurações da coluna Status para Ativado.
Selecione Continuar e Salvar para salvar suas configurações.
O sensor do Defender para Endpoint é implantado em todas as máquinas Windows e Linux na assinatura selecionada.
A integração pode levar até uma hora. Nos computadores Linux, o Defender para Nuvem detecta qualquer instalação anterior do Defender para Ponto de Extremidade e as reconfigura para que se integrem com o Defender para Nuvem.
Observação
Para VMs do Azure criadas a partir de imagens generalizadas do sistema operacional, o MDE não será provisionado automaticamente por meio dessa configuração; no entanto, você pode habilitar manualmente o agente e a extensão do MDE usando a CLI do Azure, a API REST ou o Azure Policy.
Verificar a instalação em computadores Linux
Verifique a instalação do sensor do Defender para Ponto de Extremidade em um computador Linux da seguinte maneira:
Execute o seguinte comando do shell em cada computador:
mdatp health. Se o Microsoft Defender para Endpoint estiver instalado, você poderá ver seu status de integridade:healthy : truelicensed: trueAlém disso, no portal do Azure, você pode verificar se os computadores Linux têm uma nova extensão do Azure chamada
MDE.Linux.
Observação
Em novas assinaturas, a integração do Defender para Endpoint é habilitada automaticamente e abrange computadores que executam um sistema operacional Windows Server ou Linux compatível. As seções a seguir abrangem uma aceitação única que pode ser necessária apenas em alguns cenários.
Habilitar a solução unificada do Defender para Ponto de Extremidade no Windows Server 2016/2012 R2
Se o Defender para Servidores estiver habilitado e a integração do Defender para Endpoint estiver ativada em uma assinatura que existia antes da primavera de 2022, talvez seja necessário habilitar manualmente a integração da solução unificada para servidores que executam o Windows Server 2016 ou o Windows Server 2012 R2 na assinatura.
No Defender para Nuvem, selecione Configurações de ambiente e selecione a assinatura com os computadores Windows nos quais você quer receber o Defender para Ponto de Extremidade.
Na coluna de Cobertura de monitoramento do plano Defender para Servidores, selecione Configurações.
O status do componente Proteções de ponto de extremidade é Parcial, o que significa que nem todas as partes do componente estão habilitadas.
Selecione Corrigir para ver os componentes que não estão habilitados.
Na Componentes ausentes>Solução unificada, selecione Habilitar para instalar o agente do Defender para Ponto de Extremidade automaticamente nos computadores com Windows Server 2012 R2 e 2016 conectados ao Microsoft Defender para Nuvem.
Para salvar as alterações, selecione Salvar na parte superior da página. Na página Configurações e monitoramento, selecione Continuar.
O Defender para Nuvem integra computadores existentes e novos ao Defender para Ponto de Extremidade.
Caso você esteja configurando o Defender para Ponto de Extremidade na primeira assinatura em seu locatário, a integração pode levar até 12 horas. Para novos computadores e assinaturas criados após a integração ter sido habilitada pela primeira vez, a integração leva até uma hora.
Observação
Habilitar a integração do Defender para Endpoint nos computadores Windows Server 2012 R2 e Windows Server 2016 é uma ação única. Se você desabilitar o plano e habilitá-lo novamente, a integração permanecerá habilitada.
Habilitar nos computadores Linux (plano/integração habilitados)
Se o Defender para Servidores já estiver habilitado e a integração do Defender para Endpoint estiver ativada em uma assinatura existente antes do verão de 2021, talvez seja necessário habilitar manualmente a integração para máquinas Linux.
No Defender para Nuvem, selecione Configurações de ambiente e selecione a assinatura com os computadores Linux nos quais você quer receber o Defender para Ponto de Extremidade.
Na coluna Cobertura de monitoramento do plano do Defender para Servidores, selecione Configurações.
O status do componente Proteções de ponto de extremidade é Parcial, o que significa que nem todas as partes do componente estão habilitadas.
Selecione Corrigir para ver os componentes que não estão habilitados.
Em Componentes ausentes>Computadores Linux, selecione Habilitar.
Para salvar as alterações, selecione Salvar na parte superior da página. Na página Configurações e monitoramento, selecione Continuar.
- O Defender para Nuvem integra os computadores Linux ao Defender para Ponto de Extremidade.
- O Defender para Nuvem detecta quaisquer instalações anteriores do Defender para Endpoint em computadores Linux e as reconfigura para integração com o Defender para Nuvem.
- Caso você esteja configurando o Defender para Ponto de Extremidade na primeira assinatura em seu locatário, a integração pode levar até 12 horas. Para computadores criados após a integração ter sido habilitada, a integração leva até uma hora.
Para verificar a instalação do sensor do Defender para Ponto de Extremidade em um computador Linux, execute o seguinte comando do shell em cada computador.
mdatp healthSe o Microsoft Defender para Endpoint estiver instalado, você poderá ver seu status de integridade:
healthy : truelicensed: trueNo portal do Azure, você pode verificar se os computadores Linux têm uma nova extensão do Azure chamada
MDE.Linux.
Observação
Você só precisa habilitar a integração do Defender para Ponto de Extremidade em computadores Linux uma única vez. Se você desabilitar o plano e habilitá-lo novamente, a integração permanecerá habilitada.
Habilitar a integração com o PowerShell em várias assinaturas
Para habilitar a integração do Defender para Servidores para computadores Linux ou Windows Server 2012 R2 e 2016 com a solução Unificada do MDE em várias assinaturas, você pode usar um dos scripts do PowerShell no repositório GitHub do Defender para Nuvem.
- Use este script para habilitar a integração com a solução unificada moderna do Defender para Endpoint no Windows Server 2012 R2 ou Windows Server 2016
- Use esse script para habilitar a integração do Defender para Endpoint em máquinas Linux
Gerenciar atualizações automáticas para Linux
No Windows, as atualizações de versão do Defender para Ponto de Extremidade são fornecidas por meio de atualizações contínuas da base de conhecimento. No sistema Linux, você precisa atualizar o pacote do Defender para Endpoint.
Quando você usa o Defender para Servidores com a extensão
MDE.Linux, as atualizações automáticas do Microsoft Defender para Ponto de Extremidade são habilitadas por padrão.Se quiser gerenciar as atualizações de versão manualmente, você poderá desabilitar atualizações automáticas nos seus computadores. Para fazê-lo, adicione a seguinte tag aos computadores integrados com a extensão
MDE.Linux.- Nome da marca:
ExcludeMdeAutoUpdate - Valor da marca:
true
- Nome da marca:
Essa configuração tem suporte para VMs do Azure e máquinas do Azure Arc, em que a MDE.Linux extensão inicia a atualização automática.
Habilitar a integração em grande escala
Você pode habilitar a integração do Defender para Ponto de Extremidade em grande escala por meio da versão 2022-05-01 da API REST fornecida. Para ver os detalhes completes, confira a documentação da API.
Aqui temos um exemplo de corpo de solicitação da solicitação PUT para habilitar a solução unificada do Defender para Ponto de Extremidade:
URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01
{
"name": "WDATP",
"type": "Microsoft.Security/settings",
"kind": "DataExportSettings",
"properties": {
"enabled": true
}
}
Observação
A Solução Unificada do Defender para Ponto de Extremidade e o Defender para Ponto de Extremidade para Linux são incluídos automaticamente em novas assinaturas quando você habilita a integração do Defender para Ponto de Extremidade usando microsoft.security/settings/WDATP.
As configurações WDATP_UNIFIED_SOLUTION e WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW são relevantes para assinaturas herdadas. Essas configurações se aplicam às assinaturas que já tinham a integração do Defender para Ponto de Extremidade habilitada quando esses recursos foram introduzidos em agosto de 2021 e na primavera de 2022.
Acompanhar o status de implantação do Defender para Ponto de Extremidade
Você pode usar a pasta de trabalho do status de implantação do Defender para Ponto de Extremidade para acompanhar o status de implantação do Defender para Ponto de Extremidade em suas VMs do Azure e VMs habilitadas para o Azure Arc. A pasta de trabalho interativa fornece uma visão geral dos computadores no seu ambiente mostrando o status de implantação da extensão do Microsoft Defender para Ponto de Extremidade.
Acessar o portal do Microsoft Defender
Cerifique-se de que você tenha as permissões certas para o acesso ao portal.
Verifique se há um proxy ou firewall bloqueando o tráfego anônimo.
- O sensor do Defender para Ponto de Extremidade se conecta por meio do contexto do sistema; portanto, o tráfego anônimo deve ser permitido.
- Para garantir o acesso sem obstáculos ao portal do Microsoft Defender, habilite o acesso às URLs de serviço no servidor proxy.
Abra o portal Microsoft Defender. Saiba mais sobre incidentes e alertas no portal do Microsoft Defender.
Executar um teste de detecção
Siga as instruções no teste de detecção de EDR para verificar a funcionalidade de integração e geração de relatórios do dispositivo.
Remover o Defender para Ponto de Extremidade de um computador
Para remover a solução Defender para Ponto de Extremidade de seus computadores:
- Para desabilitar a integração, nas >Configurações de ambiente do Defender para Nuvem, selecione a assinatura com os computadores relevantes.
- Na página de planos do Defender, selecione Configurações e Monitoramento.
- No status do componente de proteção do Ponto de Extremidade, selecione Desativado para desabilitar a integração com o Microsoft Defender para Ponto de Extremidade.
- Selecione Continuar e Salvar para salvar suas configurações.
- Remova a extensão
MDE.WindowsouMDE.Linuxdo computador. - Desative o dispositivo no serviço do Microsoft Defender para Ponto de Extremidade.
Remover tags de integração do Defender para Endpoint
Quando um dispositivo Windows é integrado pelo Defender para Cloud, o Defender para Endpoint cria valores de registro relacionados ao Defender para Cloud. Essas marcas do Registro permanecem no dispositivo após o descarregamento e não afetam a funcionalidade.
Para remover essas marcas completamente, siga estas etapas. No Linux, o sistema armazena essas informações internamente e não as mostra no registro.
Selecione Iniciar, digite regedit e pressione Enter para abrir o Editor do Registro.
No painel esquerdo, vá para:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection\DeviceTagsExclua esses nomes de valor se eles existirem:
AzureResourceIdSecurityWorkspaceIdSecurityAgentId
Importante
Editar o registro incorretamente pode causar problemas em seu dispositivo.