Partilhar via

Habilitar a integração do Defender for Endpoint

O Microsoft Defender for Cloud integra-se nativamente ao Microsoft Defender for Endpoint para fornecer recursos de Gerenciamento de Vulnerabilidades do Defender for Endpoint e do Defender no Defender for Cloud.

  • Quando você habilita o plano do Defender for Servers no Defender for Cloud, a integração do Defender for Endpoint é habilitada por padrão.
  • A integração implanta automaticamente o agente do Defender for Endpoint em máquinas.

Este artigo explica como habilitar manualmente a integração do Defender for Endpoint quando necessário.

Pré-requisitos

Requisito Detalhes
Suporte do Windows Verifique se as máquinas Windows são suportadas pelo Defender for Endpoint.
Suporte Linux Para servidores Linux, você deve ter o Python instalado. Python 3 é recomendado para todas as distros, mas é necessário para RHEL 8.x e Ubuntu 20.04 ou superior.

A implantação automática do sensor Defender for Endpoint em máquinas Linux pode não funcionar como esperado se as máquinas executarem serviços que usam fanotify. Instale manualmente o sensor Defender for Endpoint nessas máquinas.
Azure VMs Verifique se as VMs podem se conectar ao serviço Defender for Endpoint.

Se as máquinas não tiverem acesso direto, as configurações de proxy ou as regras de firewall precisarão permitir o acesso às URLs do Defender for Endpoint. Revise as configurações de proxy para máquinas Windows e Linux .
VMs no local Recomendamos que você integre máquinas locais como VMs habilitadas para Azure Arc.

Se você integrar VMs locais diretamente, os recursos do Plano 1 do Defender Server estarão disponíveis, mas a maioria das funcionalidades do Plano 2 do Defender for Servers não funcionará.
Locatário do Azure Se você moveu sua assinatura entre locatários do Azure, algumas etapas preparatórias manuais também serão necessárias. Entre em contato com o suporte da Microsoft para obter detalhes.
Windows Server 2016, 2012 R2 Ao contrário das versões posteriores do Windows Server, que vêm com o sensor Defender for Endpoint pré-instalado, o Defender for Cloud instala o sensor em máquinas que executam o Windows Server 2016/2012 R2 usando a solução unificada Defender for Endpoint.

Ativar numa subscrição

A integração do Defender for Endpoint é habilitada por padrão quando você habilita um plano do Defender for Servers. Se você desativar a integração do Defender for Endpoint em uma assinatura, poderá ativá-la novamente manualmente quando necessário usando estas instruções.

  1. No Defender for Cloud, selecione Configurações de ambiente e selecione a assinatura que contém as máquinas nas quais você deseja implantar a integração do Defender for Endpoint.

  2. Em Configurações e monitoramento>da proteção de ponto final, alterne as configurações da coluna Status para Ativado.

    Captura de tela da alternância Status que habilita o Microsoft Defender for Endpoint.

  3. Selecione Continuar e Salvar para salvar suas configurações.

  4. O sensor Defender for Endpoint é implantado em todas as máquinas Windows e Linux na assinatura selecionada.

    A integração pode demorar até uma hora. O Defender for Cloud deteta quaisquer instalações anteriores do Defender for Endpoint e as reconfigura para integração com o Defender for Cloud.

Nota

Para VMs do Azure criadas a partir de imagens generalizadas do sistema operacional, o MDE não será provisionado automaticamente por meio dessa configuração; no entanto, você pode habilitar manualmente o agente MDE e a extensão usando a CLI do Azure, a API REST ou a Política do Azure.

Verificar a instalação em máquinas Linux

Verifique a instalação do sensor Defender for Endpoint em uma máquina Linux seguindo estas etapas:

  1. Execute o seguinte comando shell em cada máquina: mdatp health. Se o Microsoft Defender for Endpoint estiver instalado, você verá seu status de integridade:

    healthy : true

    licensed: true

  2. Além disso, no portal do Azure, você pode verificar se as máquinas Linux têm uma nova extensão do Azure chamada MDE.Linux.

Nota

Em novas assinaturas, a integração do Defender for Endpoint é habilitada automaticamente e abrange máquinas que executam um sistema operacional Windows Server ou Linux suportado. As seções a seguir abrangem um opt-in único que pode ser necessário apenas em alguns cenários.

Habilitar a solução unificada do Defender for Endpoint no Windows Server 2016/2012 R2

Se o Defender for Servers estiver habilitado e a integração do Defender for Endpoint estiver ativada em uma assinatura que existia antes da primavera de 2022, talvez seja necessário habilitar manualmente a integração da solução unificada para máquinas que executam o Windows Server 2016 ou o Windows Server 2012 R2 na assinatura.

  1. No Defender for Cloud, selecione Configurações de ambiente e selecione a assinatura com as máquinas Windows que você deseja receber do Defender for Endpoint.

  2. Na coluna Cobertura de monitoramento do plano Defender for Servers, selecione Configurações.

    O status do componente Proteções de ponto de extremidade é Parcial, o que significa que nem todas as partes do componente estão habilitadas.

  3. Selecione Corrigir para ver os componentes que não estão ativados.

    Captura de ecrã do botão Corrigir que permite o suporte do Microsoft Defender for Endpoint.

  4. Em Solução unificada de componentes>ausentes, selecione Habilitar para instalar automaticamente o agente do Defender for Endpoint em máquinas Windows Server 2012 R2 e 2016 conectadas ao Microsoft Defender for Cloud.

    Captura de tela mostrando a habilitação do uso da solução unificada do Defender for Endpoint para máquinas Windows Server 2012 R2 e 2016.

  5. Para salvar as alterações, selecione Salvar na parte superior da página. Na página Configurações e monitoramento, selecione Continuar.

    O Defender for Cloud integra máquinas novas e existentes no Defender for Endpoint.

    Caso você esteja configurando o Defender for Endpoint na primeira assinatura em seu locatário, a integração pode levar até 12 horas. Para novas máquinas e assinaturas criadas após a integração ter sido habilitada pela primeira vez, a integração leva até uma hora.

Nota

Habilitar a integração do Defender for Endpoint em máquinas Windows Server 2012 R2 e Windows Server 2016 é uma ação única. Se você desabilitar o plano e reativá-lo, a integração permanecerá habilitada.

Ativar em máquinas Linux (plano/integração habilitado)

Se o Defender for Servers já estiver habilitado e a integração do Defender for Endpoint estiver ativada em uma assinatura que existia antes do verão de 2021, talvez seja necessário habilitar manualmente a integração para máquinas Linux.

  1. No Defender for Cloud, selecione Configurações de ambiente e selecione a assinatura com as máquinas Linux que você deseja receber do Defender for Endpoint.

  2. Na coluna Cobertura de monitoramento do plano Defender for Server, selecione Configurações.

    O status do componente Proteções de ponto de extremidade é Parcial, o que significa que nem todas as partes do componente estão habilitadas.

  3. Selecione Corrigir para ver os componentes que não estão ativados.

    Captura de ecrã do botão Corrigir que permite o suporte do Microsoft Defender for Endpoint.

  4. Em Componentes ausentes>de máquinas Linux, selecione Ativar.

    Captura de tela mostrando a ativação da integração entre o Defender for Cloud e a solução EDR da Microsoft, Microsoft Defender for Endpoint for Linux.

  5. Para salvar as alterações, selecione Salvar na parte superior da página. Na página Configurações e monitoramento, selecione Continuar.

    • O Defender for Cloud integra máquinas Linux ao Defender for Endpoint.
    • O Defender for Cloud deteta quaisquer instalações anteriores do Defender for Endpoint em máquinas Linux e as reconfigura para integração com o Defender for Cloud.
    • Caso você esteja configurando o Defender for Endpoint na primeira assinatura em seu locatário, a integração pode levar até 12 horas. Para novas máquinas criadas após a integração ter sido ativada, a integração leva até uma hora.

  6. Para verificar a instalação do sensor Defender for Endpoint em uma máquina Linux, execute o seguinte comando shell em cada máquina.

    mdatp health

    Se o Microsoft Defender for Endpoint estiver instalado, você verá seu status de integridade:

    healthy : true

    licensed: true

  7. No portal do Azure, você pode verificar se as máquinas Linux têm uma nova extensão do Azure chamada MDE.Linux.

Nota

Habilitar a integração do Defender for Endpoint em máquinas Linux é uma ação única. Se você desabilitar o plano e reativá-lo, a integração permanecerá habilitada.

Habilite a integração com o PowerShell em várias assinaturas

Para habilitar a integração do Defender for Servers para máquinas Linux ou Windows Server 2012 R2 e 2016 com a solução MDE Unified em várias assinaturas, você pode usar um dos scripts do PowerShell no repositório GitHub do Defender for Cloud.

  • Use este script para habilitar a integração com a solução unificada moderna do Defender for Endpoint no Windows Server 2012 R2 ou no Windows Server 2016
  • Use este script para habilitar a integração do Defender for Endpoint em máquinas Linux

Gerenciar atualizações automáticas para Linux

No Windows, as atualizações de versão do Defender for Endpoint são fornecidas por meio de atualizações contínuas da base de dados de conhecimento. No Linux, você precisa atualizar o pacote Defender for Endpoint.

  • Quando você usa o Defender for Servers com a extensão, as atualizações automáticas para o MDE.Linux Microsoft Defender for Endpoint são habilitadas por padrão.

  • Se quiser gerir as atualizações de versão manualmente, pode desativar as atualizações automáticas nas suas máquinas. Para fazer isso, adicione a seguinte tag para máquinas integradas com a MDE.Linux extensão.

    • Nome da etiqueta: ExcludeMdeAutoUpdate
    • Valor da etiqueta: true

Essa configuração é suportada para VMs do Azure e máquinas Azure Arc, onde a extensão inicia a MDE.Linux atualização automática.

Habilite a integração em escala

Você pode habilitar a integração do Defender for Endpoint em escala por meio da API REST fornecida versão 2022-05-01. Para obter detalhes completos, consulte a documentação da API.

Aqui está um exemplo de corpo de solicitação para a solicitação PUT para habilitar a integração do Defender for Endpoint:

URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

Nota

Tanto o Defender for Endpoint Unified Solution quanto o Defender for Endpoint for Linux são automaticamente incluídos em novas assinaturas quando ativar a integração do Defender for Endpoint usando microsoft.security/settings/WDATP.

As configurações WDATP_UNIFIED_SOLUTION e WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW são relevantes para assinaturas herdadas. Essas configurações se aplicam a assinaturas que já têm a integração do Defender for Endpoint habilitada quando esses recursos foram introduzidos em agosto de 2021 e na primavera de 2022.

Acompanhe o status de implantação do Defender for Endpoint

Você pode usar a pasta de trabalho de status de implantação do Defender for Endpoint para acompanhar o status da implantação do Defender for Endpoint em suas VMs do Azure e VMs habilitadas para Azure Arc. A pasta de trabalho interativa fornece uma visão geral das máquinas em seu ambiente mostrando o status de implantação da extensão do Microsoft Defender for Endpoint.

Acesse o portal do Microsoft Defender

  1. Certifique-se de que tem as permissões certas para aceder ao portal.

  2. Verifique se você tem um proxy ou firewall que está bloqueando o tráfego anônimo.

  3. Abra o portal Microsoft Defender. Saiba mais sobre Incidentes e alertas no portal do Microsoft Defender.

Executar um teste de deteção

Siga as instruções no teste de deteção EDR para verificar os serviços de ativação e de relatório do dispositivo.

Remover o Defender for Endpoint de uma máquina

Para remover a solução Defender for Endpoint das suas máquinas:

  1. Para desativar a integração, nas configurações do Defender for Cloud >Environment, selecione a assinatura com as máquinas relevantes.
  2. Na página Planos do Defender, selecione Configurações e Monitoramento.
  3. No status do componente Proteção de ponto de extremidade, selecione Desativado para desabilitar a integração com o Microsoft Defender for Endpoint para a assinatura.
  4. Selecione Continuar e Salvar para salvar suas configurações.
  5. Remova a extensão MDE.Windows ou MDE.Linux da máquina.
  6. Desligue o dispositivo do serviço Microsoft Defender for Endpoint.

Remover tags de integração do Defender for Endpoint

Quando um dispositivo Windows é integrado através do Defender for Cloud, o Defender for Endpoint cria valores de registo relacionados com o Defender for Cloud. Essas tags de registro permanecem no dispositivo após o desembarque e não afetam a funcionalidade.

Para remover essas tags completamente, siga estas etapas. No Linux, o sistema armazena essas informações internamente e não as mostra no registro.

  1. Selecione Iniciar, digite regedit e pressione Enter para abrir o Editor do Registro.

  2. No painel esquerdo, vá para:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection\DeviceTags

  3. Exclua esses nomes de valor, se existirem:

    • AzureResourceId
    • SecurityWorkspaceId
    • SecurityAgentId

Importante

Editar o registro incorretamente pode causar problemas no seu dispositivo.

  • Last updated on