Implementar a política de deteção e resposta de pontos finais com Intune

Quando integrar Microsoft Defender para Ponto de Extremidade com Intune, pode utilizar políticas de segurança de ponto final para deteção e resposta de pontos finais (EDR) para gerir as definições do EDR e integrar dispositivos para Microsoft Defender para Ponto de Extremidade.

Intune políticas do EDR incluem perfis específicos da plataforma que gerem a inclusão (instalação) de Microsoft Defender para Ponto de Extremidade. A utilização de pacotes de inclusão é a forma como os dispositivos são configurados para funcionar com Microsoft Defender para Ponto de Extremidade. A integração no Defender através de políticas EDR Intune configura os dispositivos para enviar telemetria de segurança para Microsoft Defender para Ponto de Extremidade, permitindo capacidades avançadas de deteção de ameaças, investigação e resposta.

Este artigo aborda cenários de implementação EDR, desde a implementação automática baseada em conectores até à configuração manual para ambientes especializados.

Compreender a integração do EDR

A integração EDR configura os dispositivos para que possam enviar telemetria de segurança para o inquilino do Defender para Endpoint. O pacote de inclusão é um ficheiro de configuração específico da plataforma que contém:

• Configuração do inquilino: identifica a sua organização específica do Defender para Endpoint.
• Pontos finais de serviço: URLs para comunicar com os serviços do Defender.
• Material de autenticação: certificados e tokens para uma comunicação de dispositivo para serviço segura.
• Configuração básica: definições de registo de dispositivos e parâmetros de comunicação iniciais.

Conceitos-chave:

• Os dispositivos aparecem no portal do Defender pouco depois da inclusão e submissão inicial de telemetria com êxito.
• A inclusão ativa o fluxo de telemetria, mas não configura definições avançadas, como a redução da superfície de ataque, a firewall ou as políticas antivírus.
• As políticas EDR não gerem regras de investigação de ameaças, lógica de deteção personalizada, automatização de respostas ou fluxos de trabalho de investigação.

Para obter detalhes técnicos, veja Integrar dispositivos para Microsoft Defender para Ponto de Extremidade.

Aplicável a:

• Linux
• macOS
• Windows
• Windows Server 2012 R2 e posterior é suportado quando os dispositivos são geridos através de um dos seguintes:
  • Configuration Manager (anexação do inquilino)
  • Microsoft Defender para Ponto de Extremidade gestão de definições de segurança

Pré-requisitos

Antes de implementar políticas EDR, confirme que a sua organização cumpre os requisitos de licenciamento e permissão.

Licença

• Microsoft Intune (plano 1)

Precisa de licenças para Microsoft Defender:

• Licença do Defender para Endpoint Plano 1 por utilizador
• Microsoft 365 E5/A5/G5 (inclui o Plano 2 do Defender para Ponto Final)
• Microsoft Defender XDR (autónomo)

Para obter informações detalhadas sobre o licenciamento, veja:

• Licenciamento do Microsoft Intune
• Licenciamento do Microsoft Defender para Ponto de Extremidade

Controle de acesso baseado em função

Para configurar a política EDR, tem de lhe ser atribuída uma função de Intune com permissões de controlo de acesso baseado em funções (RBAC) suficientes:

• Endpoint Security Manager: a função Endpoint Security Manager inclui permissões para criar e gerir políticas de segurança de pontos finais.
• Função personalizada: no mínimo, crie permissões de/Eliminação deAtualizaçãodeLeitura// para segurança de Ponto Final.

Também precisa de permissões no Microsoft Defender para Ponto de Extremidade para estabelecer a ligação de serviço:

• Função de Administrador de Segurança no Microsoft Entra ID ou
• Função personalizada com permissões equivalentes: microsoft.directory/applications/create, microsoft.directory/applications/delete, microsoft.directory/servicePrincipals/create

Para obter orientações detalhadas sobre permissões, veja Controlo de acesso baseado em funções para segurança de pontos finais.

Plataformas e perfis suportados

Windows:

• Perfil: Deteção e resposta de pontos finais
  • Partilha de exemplo: escolha a forma como os dispositivos enviam exemplos de ficheiros para o Defender para Endpoint.
  • Opções de inclusão: automático a partir do conector (disponível quando a ligação de serviço está configurada) ou adicione manualmente um pacote Inclusão ou Exclusão .
    • Automático do conector (recomendado quando a ligação serviço a serviço está configurada).
    • Integração manual através de um pacote Inclusão ou Exclusão a partir do portal do Defender.
  • Gestão: Intune dispositivos inscritos ou dispositivos não inscritos através da gestão de definições de segurança do Defender para Endpoint.

macOS:

• Perfil: Deteção e resposta de pontos finais
  • Etiquetas de dispositivo: as etiquetas de dispositivo incluem um par de nomes e valores utilizado para organizar dispositivos no Defender para Endpoint.
  • Métodos de gestão:
    • Intune inscrito
    • Gerenciamento de configurações de segurança do Defender para Ponto de Extremidade

Linux:

• Perfis:
  • Detecção de ponto de extremidade e resposta
    • Etiquetas de dispositivo: as etiquetas de dispositivo incluem um par de nomes e valores utilizado para organizar dispositivos no Defender para Endpoint.
    • Métodos de gestão:
      • Intune inscrito
      • Gerenciamento de configurações de segurança do Defender para Ponto de Extremidade
  • Microsoft Defender Exclusões Globais (AV+EDR) – veja o perfil de exclusões globais do Linux mais à frente neste artigo.

Windows Server 2012 R2+:

• Perfil: Deteção e resposta de pontos finais (ConfigMgr)
  • Gestão:
    • anexar inquilino do Configuration Manager
    • Gestão de definições de segurança do Defender para Endpoint.
  • Filtragem de coleções: atribua a coleções Configuration Manager em vez de grupos de Entra ID.
  • Requisitos:
    • KB4563473 correção
    • Coleções sincronizadas com Intune para atribuições
    • As atribuições são aplicadas a coleções de Configuration Manager, não a grupos de ID do Entra

Configurar a ligação Intune–Defender para Endpoint

Intune requer uma ligação ao Microsoft Defender para Ponto de Extremidade para obter automaticamente pacotes de inclusão e suportar a implementação da política EDR.

Quando a ligação estiver ativada:

• Intune obtém o pacote de inclusão mais recente do Defender para Endpoint.
• A criação de políticas utiliza a configuração de inclusão mais recente.
• Pode utilizar o Conector Automático em perfis EDR.

Para configurar a ligação:

1. No centro de administração do Microsoft Intune, aceda aConectores e tokens de administração> de inquilinos >Microsoft Defender para Ponto de Extremidade.
2. Selecione Ligar Microsoft Defender para Ponto de Extremidade a Intune.
3. Ative a ligação e configure as preferências de partilha de dados.
4. Verifique se a ligação status mostra Ligado.

Para obter instruções de configuração detalhadas, consulte Ligar Microsoft Defender para Ponto de Extremidade a Intune.

Implementar a política EDR

Acerca do nó de deteção e resposta do Ponto final:

No centro de administração do Intune, o nó Deteção e resposta de ponto final inclui os seguintes separadores:

• Resumo – lista todas as políticas EDR, o conector status e inclui o gráfico "Dispositivos Windows integrados no Defender para Ponto Final" e a opção Criar Política.
• Estado de Inclusão do EDR – mostra o gráfico de resumo de inclusão, a lista de dispositivos com status detalhadas e inclui a opção Implementar política pré-configurada. Para obter orientações detalhadas sobre como utilizar este separador, veja Relatório de Estado de Inclusão do EDR.

Todos os dispositivos que comunicam telemetria de segurança a Microsoft Defender para Ponto de Extremidade têm de ser integrados através de um pacote de configuração (denominado "blob" de inclusão). Este pacote contém:

• Configuração específica do inquilino – indica ao dispositivo a que organização do Defender para Endpoint deve reportar.
• Certificados de autenticação – permite uma comunicação segura com os serviços do Defender.
• Definições de relatórios – configura os dados a enviar e com que frequência.

Quer utilize a implementação automática ou manual, Intune aplica a mesma configuração de inclusão aos dispositivos. A diferença é como Intune obtém essa configuração:

• Automático (recomendado) - Intune obtém o pacote de inclusão do Defender para Endpoint através da ligação de serviço configurada.
• Manual - Utilize um pacote de inclusão transferido a partir do portal do Defender quando a obtenção automática não estiver disponível.

Escolher o seu método de implementação:

Criar uma política EDR automática

Melhor para ambientes com integração padrão Intune + Defender e um único inquilino do Defender para Endpoint.

Pré-requisitos:Ligação serviço a serviço ativa entre o Intune e o Defender para Endpoint.

Implementar a política EDR do Windows pré-configurada

A forma mais rápida de implementar a integração EDR em todos os dispositivos Windows é através da opção de política pré-configurada disponível no separador Estado de Inclusão do EDR. Este método utiliza automaticamente o pacote de inclusão mais recente do seu inquilino do Defender para Endpoint e implementa com definições recomendadas.

Para obter instruções passo a passo detalhadas, veja Implementação rápida com política pré-configurada na secção Relatório de Estado de Inclusão do EDR.

Criar uma política EDR personalizada (todas as plataformas)

Quando precisar de implementar políticas EDR em grupos ou plataformas específicos com definições personalizadas, utilize a opção Criar Política no separador Resumo. Esta abordagem dá-lhe controlo total sobre a seleção da plataforma, as definições de configuração e as atribuições de grupos.

As principais opções de configuração incluem:

• Microsoft Defender para Ponto de Extremidade tipo de pacote de configuração de cliente: selecione Automático no conector quando disponível
• Partilha de Exemplo: escolha com base nos seus requisitos de confidencialidade de dados
• Etiquetas de Dispositivos (macOS e Linux): Configurar para filtragem e agrupamento de dispositivos

Para obter orientações detalhadas sobre a criação de políticas, veja Remediação direcionada na secção Relatório de Estado de Inclusão do EDR.

Criação manual da política EDR

Utilize este método quando a sua organização não puder utilizar a ligação de serviço (vários inquilinos, ambientes com acesso aéreo ou controlo de alteração rigoroso).

Transfira o pacote de inclusão:

1. No portal Microsoft Defender, aceda a Definições Pontos Finais>Gestão> dedispositivos>Integração.
2. Selecione o sistema operativo e escolha Mobile Gerenciamento de Dispositivos/Microsoft Intune.
3. Selecione Transferir pacote.

Crie a política:

1. No Intune, aceda aDeteção de ponto finalde segurança> de ponto final e resposta >Criar Política.
2. Selecione a plataforma e o perfil.
3. Em Tipo de pacote, selecione Inclusão ou Exclusão.
4. Cole o conteúdo do ficheiro de inclusão transferido.
5. Configure as restantes definições e, em seguida, atribua e crie a política.

Perfis adicionais para dispositivos Linux

Depois de criar as suas principais políticas EDR, pode implementar perfis especializados adicionais para uma gestão de segurança melhorada.

Criar uma política de Exclusões Globais do Linux

1. Aceda aDeteção de ponto finalde segurança> de ponto final e resposta >Criar Política.
2. Selecione Linux para plataforma e Microsoft Defender Exclusões Globais (AV+EDR) para perfil.
3. Configure exclusões ao adicionar entradas com:
   • Caminho: caminho de ficheiro ou diretório a excluir (sem carateres universais suportados).
   • Nome do processo: nome do processo a excluir da monitorização EDR (não são suportados carateres universais).
4. Atribua a grupos de dispositivos Linux geridos através MDPE gestão de definições de segurança.

implementação do Configuration Manager

Anexar locatário

A anexação de inquilinos permite que Intune implementem políticas EDR em dispositivos Windows geridos Configuration Manager.

Configuration Manager requisitos:

• Current Branch 2002 ou posterior
• Para 2002, instale KB4563473 (correção)

Configuração da anexação do inquilino:

• Sincronizar coleções de dispositivos para Intune (Sincronização da Cloud).
• Certifique-se de que Todos os Clientes de Ambiente de Trabalho e Servidor estão ativados e sincronizados (necessário para políticas EDR do Windows pré-configuradas).

Permissões:

• Intune função incorporada do ID de Entra do Administrador de Serviços ou função equivalente para a gestão de políticas de segurança de ponto final e anexação de inquilinos.

Configurar Configuration Manager para o EDR

1. Instalar Configuration Manager atualização: aplique KB4563473 correção para o Configuration Manager 2002.
2. Configurar a anexação do inquilino: sincronize Configuration Manager coleções para Intune.
3. Verificar a conectividade: confirme se as coleções são apresentadas nos centros de administração Configuration Manager e Intune.

Implementar a política EDR em coleções de Configuration Manager

1. No Intune centro de administração, aceda aDeteção de ponto finalde segurança> de ponto final e resposta >Criar Política.
2. Selecione Plataforma do Windows (ConfigMgr) e Perfil de deteção e resposta de Ponto final (ConfigMgr).
3. Configure as mesmas definições de política disponíveis para dispositivos geridos Intune.
4. Em Atribuições, selecione Configuration Manager coleções em vez de grupos de Entra ID.
5. Crie e implemente a política.

Depois de implementar a política, aguarde tempo para a sincronização ConfigMgr Intune e Configuration Manager avaliação da política de cliente antes de os dispositivos serem apresentados como integrados.

Para obter a configuração detalhada da anexação do inquilino, veja Configurar a anexação do inquilino para suportar políticas de proteção de ponto final.

Relatório de Estado de Inclusão do EDR

O relatório Estado de Inclusão do EDR fornece aos administradores uma vista abrangente do progresso da integração de dispositivos na sua organização. Este relatório ajuda-o a controlar que dispositivos são integrados com êxito no Microsoft Defender para Ponto de Extremidade e a identificar dispositivos que possam necessitar de atenção.

Aceder ao relatório estado de inclusão do EDR

1. No centro de administração do Microsoft Intune, aceda aDeteção e resposta do Ponto final de segurança> do Ponto final.
2. Selecione o separador Estado da Inclusão do EDR .

Compreender o relatório

O separador Estado de Inclusão do EDR inclui o seguinte:

• Gráfico de resumo de inclusão: dispositivos Windows integrados no Defender para Ponto Final – este gráfico apresenta contagens de dispositivos integrados e dispositivos que não foram integrados.

• Lista de dispositivos com informações detalhadas: esta lista de dispositivos inclui as seguintes colunas de detalhes:

  • Nome do dispositivo: o nome de cada dispositivo na sua organização
  • Gerido por: como o dispositivo é gerido (Intune, Configuration Manager através da anexação do inquilino ou MDPE Gestão de Definições de Segurança)
  • Estado do sensor do Defender: estado de funcionamento atual status do sensor defender para ponto final.
    • Ativo: o sensor está em execução e a comunicar normalmente
    • Inativo: o sensor não reportou recentemente
    • Deficientes: o sensor está a ter problemas
  • Inclusão status: estado de inclusão atual para cada dispositivo.
    • Integrado: o dispositivo está a enviar telemetria com êxito para o Defender para Endpoint
    • Não integrado: o dispositivo não concluiu o processo de integração
    • Pendente: o dispositivo está em processo de integração
    • Último marcar: a hora e a data da comunicação mais recente do dispositivo para o Intune
    • UPN principal: o nome principal de utilizador principal principal associado ao dispositivo

Utilizar o relatório para a implementação do EDR

Implementação rápida com política pré-configurada

Para uma implementação rápida em todos os dispositivos Windows elegíveis diretamente a partir do separador Estado de Inclusão do EDR:

1. No separador Estado de Inclusão do EDR , selecione Implementar política pré-configurada.

   

2. Escolha o âmbito de implementação:

   • Deteção e resposta do Windows + Ponto final: para dispositivos geridos por Intune
   • Windows (ConfigMgr) + Deteção e resposta de ponto final (ConfigMgr): para coleções de Configuration Manager

3. Forneça um nome de política e uma descrição opcional.

4. Selecione Criar para implementar imediatamente.

Esta política pré-configurada é automaticamente:

• Utiliza o pacote de inclusão mais recente do seu inquilino do Defender para Endpoint
• Implementa em todos os dispositivos aplicáveis na sua organização
• Aplica as definições de segurança recomendadas

Utilizar o relatório para remediação direcionada

O relatório Estado de Inclusão do EDR ajuda a identificar os dispositivos que precisam de atenção, que pode abordar com a implementação de políticas direcionadas:

Identificar dispositivos problemáticos

Utilize a lista de dispositivos no separador Estado de Inclusão do EDR para identificar dispositivos específicos que necessitam de atenção:

1. Filtrar dispositivos por status: Foco em dispositivos "Não integrados" ou "Pendentes"
2. Rever métodos de gestão: garantir que os dispositivos estão a ser geridos através do canal adequado
3. Verificar o estado de funcionamento do sensor: Identificar dispositivos com sensores inativos ou com deficiência

Criar políticas direcionadas

Depois de identificar os dispositivos problemáticos, crie políticas EDR específicas com a opção Criar Política no separador Resumo:

Cenários de monitoramento

O relatório Estado de Inclusão do EDR suporta vários cenários administrativos principais:

Validação inicial da implementação

Depois de implementar as políticas EDR:

• Monitorizar o gráfico de resumo de inclusão para aumentar as contagens "integradas"
• Rever o progresso de dispositivos individuais na lista de dispositivos
• Identificar dispositivos que não conseguem integrar dentro dos intervalos de tempo esperados

Monitorização de conformidade contínua

Para gestão contínua da postura de segurança:

• Configurar revisões regulares de status de inclusão.
• Controle o estado de funcionamento dos sensores em toda a sua frota de dispositivos.
• Identificar dispositivos que ficam inativos ou com deficiências ao longo do tempo.

Resolver problemas de implementação

Quando a integração dos dispositivos falha:

• Utilize a lista de dispositivos para identificar dispositivos problemáticos.
• Reveja os métodos de gestão para garantir uma segmentação de políticas adequada.
• Verifique a status do sensor dos dispositivos que mostram a status "Não integrado".
• Referência cruzada com relatórios de conformidade de políticas EDR.

Melhores práticas para utilizar o relatório

• Monitorização regular: reveja o relatório estado de inclusão EDR semanalmente para garantir uma cobertura de proteção contínua.
• Remediação proativa: resolva os dispositivos "Não integrados" prontamente para manter a postura de segurança.
• Correlação com outros relatórios: utilize juntamente com relatórios de conformidade de políticas EDR individuais para uma visibilidade de implementação abrangente.
• Métricas de linha de base de documentos: controle as taxas de sucesso da integração ao longo do tempo para identificar tendências.

Visibilidade adicional da integração

Para além do relatório de Estado de Inclusão do EDR dedicado, também pode ver status de inclusão de dispositivos através dos relatórios do Antivírus Microsoft Defender do Intune. Estes relatórios incluem a inclusão status informações para dispositivos MDM do Windows e fornecem outra forma de monitorizar a implementação do Defender para Ponto Final da sua organização:

• Relatório de status do agente antivírus: mostra status abrangentes do dispositivo, incluindo o estado de inclusão do Defender para Ponto Final
• Relatório de pontos finais em mau estado de funcionamento: apresenta dispositivos com problemas detetados, incluindo problemas de inclusão

Estes relatórios estão disponíveis no centro de administração nas seguintes ligações:

• Aceda a Segurança doPonto> Final de Relatórios> Microsoft Defender mosaico do agente antivírus Relatórios>>antivírus status.
• Aceda aoseparador Pontos finais> do Antivírus de Segurança> de ponto final Em mau estadode funcionamento.

Monitorizar e validar a implementação do EDR

Intune relatórios:

Pode rever os resultados de implementação e inclusão no centro de administração do Intune em Endpoint securityEndpoint Endpoint detection and response (Deteção e resposta do Ponto Final de segurança > do Ponto Final):

• Conformidade da política: no separador Resumo, pode selecionar a sua política para ver a implementação status.
• Detalhes do dispositivo: no separador Estado de Inclusão do EDR, pode ver um relatório simples que mostra as contagens de dispositivos, rever uma lista de dispositivos com detalhes sobre a integração status e o estado de funcionamento do sensor e, em seguida, selecionar dispositivos para explorar mais para obter mais informações.

Para uma supervisão abrangente da integração de dispositivos, utilize o relatório Estado de Inclusão do EDR.

Microsoft Defender validação do portal:

No portal do Defender:

1. O inventário de dispositivos (Dispositivos> de Recursos) lista os dispositivos integrados pouco depois de a telemetria ser recebida.

2. O estado de funcionamento do sensor mostra a hora vista pela última vez, a versão do sensor e a comunicação status.

3. A avaliação de riscos começa depois de os dispositivos submeterem a telemetria inicial.

Monitorização contínua

Reveja o seguinte para garantir o êxito da integração contínua:

• Taxas de êxito da implementação de políticas
• Status de integração de dispositivos
• Estado de funcionamento e comunicação do sensor
• Implementações falhadas que requerem remediação

Solução de problemas

Os dispositivos não aparecem no portal do Defender

• Confirme que o dispositivo consegue alcançar os pontos finais necessários (por exemplo, *.securitycenter.windows.com e *.protection.outlook.com).
• Verifique a status de conformidade da política EDR no Intune e reveja os detalhes específicos do dispositivo no relatório Estado de Inclusão do EDR.
• Certifique-se de que o serviço Microsoft Defender para Ponto de Extremidade está em execução no dispositivo.

A opção "Automático a partir do conector" não está disponível

• Verifique se a ligação do Defender mostra Ligado emConectores e tokens de administração> de inquilinos.
• Aguarde até 15 minutos após ativar a ligação para que a opção seja apresentada.
• Certifique-se de que a sua conta tem as permissões administrativas adequadas.

Para obter mais informações, veja Resolver problemas de inclusão do Microsoft Defender para Ponto de Extremidade.

Dispositivos de remoção

Intune política EDR suporta a opção de utilizar um blob de exclusão para remover dispositivos. Normalmente, a exclusão de dispositivos do Defender para Endpoint é um processo incomum, mas planeado. Algumas situações que requerem exclusão incluem, mas não se limitam a mover um dispositivo para fora de um laboratório de teste, parte da gestão do ciclo de vida do dispositivo ou necessárias durante a consolidação de inquilinos.

Para criar uma política de exclusão:

1. Transfira um novo pacote de exclusão a partir do portal do Microsoft Defender ao aceder a DefiniçõesPontos Finais>Gestão de dispositivos>Exclusão>.
2. Selecione o sistema operativo e escolha Mobile Gerenciamento de Dispositivos/Microsoft Intune.
3. Selecione Transferir pacote.
4. Crie uma nova política EDR com o Tipo de pacote definido como Offboard e cole o conteúdo do blob de exclusão ou atualize uma política de exclusão existente ao substituir o conteúdo do blob.

Ao implementar uma política EDR de exclusão no Intune:

• Por motivos de segurança, o blob ou pacote de exclusão do Defender irá expirar sete dias após ser transferido. Os pacotes de exclusão expirados enviados para os dispositivos são rejeitados.
• Quando implementado num dispositivo, o blob de exclusão desativa o sensor do Defender para Ponto Final, mas não remove o cliente do Defender para Endpoint.
• Os dispositivos deixam de enviar telemetria para o portal do Defender para Endpoint.
• Os dispositivos são apresentados como "inativos" no Defender após sete dias.
• O Intune status de conformidade da política EDR deve mostrar uma implementação bem-sucedida.
• Os dados históricos permanecem no Defender até que as políticas de retenção os removam.

Quando efetua a exclusão de um dispositivo do Defender para Endpoint:

• Paragens de telemetria: não são enviadas novas deteções, vulnerabilidades ou dados de segurança para o portal Microsoft Defender.
• Alterações de status do dispositivo: sete dias após a exclusão, o status do dispositivo muda para "inativo".
• Retenção de dados: os dados anteriores (alertas, vulnerabilidades, linha do tempo do dispositivo) permanecem no portal do Defender até que o período de retenção configurado expire.
• Visibilidade do dispositivo: o perfil do dispositivo (sem dados) permanece visível no inventário de dispositivos durante um máximo de 180 dias.
• Pontuação de exposição: os dispositivos inativos durante mais de 30 dias não têm em conta a classificação de exposição da sua organização.

Para obter mais informações, veja os seguintes assuntos na documentação do Microsoft Defender para Ponto de Extremidade:

• Exclusão de dispositivos com ferramentas de Gerenciamento de Dispositivos móvel
• Exclusão de dispositivos

Conteúdo relacionado

Depois de integrar dispositivos com políticas EDR, considere implementar controlos de segurança de pontos finais adicionais:

• Regras da redução da superfície de ataque
• Políticas antimalware
• Políticas de firewall
• Políticas de conformidade do dispositivo