Habilitar a integração do Defender for Endpoint
O Microsoft Defender for Cloud integra-se nativamente ao Microsoft Defender for Endpoint para fornecer recursos de Gerenciamento de Vulnerabilidades do Defender for Endpoint e do Microsoft Defender no Defender for Cloud.
- Quando você ativa o plano do Defender for Servers no Defender for Cloud, a integração do Defender for Endpoint é ativada por padrão.
- A integração implanta automaticamente o agente do Defender for Endpoint em máquinas.
Este artigo descreve como habilitar a integração do Defender for Endpoint manualmente, conforme necessário.
Pré-requisitos
| Requisito | Detalhes |
|---|---|
| Suporte do Windows | Verifique se as máquinas Windows são suportadas pelo Defender for Endpoint. |
| Suporte Linux | Para servidores Linux, você deve ter o Python instalado. Python 3 é recomendado para todas as distros, mas é necessário para RHEL 8.x e Ubuntu 20.04 ou superior. A implantação automática do sensor Defender for Endpoint em máquinas Linux pode não funcionar como esperado se as máquinas executarem serviços que usam fanotify. Instale manualmente o sensor Defender for Endpoint nessas máquinas. |
| Azure VMs | Verifique se as VMs podem se conectar ao serviço Defender for Endpoint. Se as máquinas não tiverem acesso direto, as configurações de proxy ou as regras de firewall precisarão permitir o acesso às URLs do Defender for Endpoint. Revise as configurações de proxy para máquinas Windows e Linux . |
| VMs no local | Recomendamos que você integre máquinas locais como VMs habilitadas para Azure Arc. Se você integrar VMs locais diretamente, os recursos do Plano 1 do Defender Server estarão disponíveis, mas a maioria das funcionalidades do Plano 2 do Defender for Servers não funcionará. |
| Locatário do Azure | Se você moveu sua assinatura entre locatários do Azure, algumas etapas preparatórias manuais também são necessárias. Entre em contato com o suporte da Microsoft para obter detalhes. |
| Windows Server 2016, 2012 R2 | Ao contrário das versões posteriores do Windows Server, que vêm com o sensor Defender for Endpoint pré-instalado, o Defender for Cloud instala o sensor em máquinas que executam o Windows Server 2016/2012 R2 usando a solução unificada Defender for Endpoint. Depois de habilitar um plano do Defender for Servers com a integração, não é possível revertê-lo. Mesmo que você desabilite o plano e, em seguida, reative-o, a integração será reativada. |
Ativar numa subscrição
A integração do Defender for Endpoint é habilitada por padrão quando você habilita um plano do Defender for Servers. Se você desativar a integração do Defender for Endpoint em uma assinatura, poderá ativá-la novamente manualmente, conforme necessário, usando estas instruções.
No Defender for Cloud, selecione Configurações de ambiente e selecione a assinatura que contém as máquinas nas quais você deseja implantar a integração do Defender for Endpoint.
Em Configurações e monitoramento>da proteção de ponto final, alterne as configurações da coluna Status para Ativado.
Selecione Continuar e Salvar para salvar suas configurações.
O sensor Defender for Endpoint é implantado em todas as máquinas Windows e Linux na assinatura selecionada.
A integração pode demorar até uma hora. Em máquinas Linux, o Defender for Cloud deteta quaisquer instalações anteriores do Defender for Endpoint e as reconfigura para integração com o Defender for Cloud.
Verificar a instalação em máquinas Linux
Verifique a instalação do sensor Defender for Endpoint em uma máquina Linux da seguinte maneira:
Execute o seguinte comando shell em cada máquina:
mdatp health. Se o Microsoft Defender for Endpoint estiver instalado, você verá seu status de integridade:healthy : truelicensed: trueAlém disso, no portal do Azure, você pode verificar se as máquinas Linux têm uma nova extensão do Azure chamada
MDE.Linux.
Habilitar a solução unificada do Defender for Endpoint no Windows Server 2016/2012 R2
Se o Defender for Servers já estiver habilitado e a integração do Defender for Endpoint estiver ativada em uma assinatura, você poderá ativar manualmente a integração da solução unificada para máquinas que executam o Windows Server 2016 ou o Windows Server 2012 R2 na assinatura.
No Defender for Cloud, selecione Configurações de ambiente e selecione a assinatura com as máquinas Windows que você deseja receber do Defender for Endpoint.
Na coluna Cobertura de monitoramento do plano Defender for Servers, selecione Configurações.
O status do componente Proteções de ponto de extremidade é Parcial, o que significa que nem todas as partes do componente estão habilitadas.
Selecione Corrigir para ver os componentes que não estão ativados.
Em Solução unificada de componentes>ausentes, selecione Habilitar para instalar automaticamente o agente do Defender for Endpoint em máquinas Windows Server 2012 R2 e 2016 conectadas ao Microsoft Defender for Cloud.
Para salvar as alterações, selecione Salvar na parte superior da página. Na página Configurações e monitoramento, selecione Continuar.
O Defender for Cloud integra máquinas novas e existentes no Defender for Endpoint.
A integração pode demorar até 12 horas. Para novas máquinas criadas após a integração ter sido ativada, a integração leva até uma hora.
Ativar em máquinas Linux (plano/integração habilitado)
Se o Defender for Servers já estiver habilitado e a integração do Defender for Endpoint estiver ativada na assinatura, você poderá ativar manualmente a integração para máquinas Linux em uma assinatura.
No Defender for Cloud, selecione Configurações de ambiente e selecione a assinatura com as máquinas Linux que você deseja receber do Defender for Endpoint.
Na coluna Cobertura de monitoramento do plano Defender for Server, selecione Configurações.
O status do componente Proteções de ponto de extremidade é Parcial, o que significa que nem todas as partes do componente estão habilitadas.
Selecione Corrigir para ver os componentes que não estão ativados.
Em Componentes ausentes>de máquinas Linux, selecione Ativar.
Para salvar as alterações, selecione Salvar na parte superior da página. Na página Configurações e monitoramento, selecione Continuar.
- O Defender for Cloud integra máquinas Linux ao Defender for Endpoint.
- O Defender for Cloud deteta quaisquer instalações anteriores do Defender for Endpoint em máquinas Linux e as reconfigura para integração com o Defender for Cloud.
- A integração pode demorar até 12 horas. Para novas máquinas criadas após a integração ter sido ativada, a integração leva até uma hora.
Para verificar a instalação do sensor Defender for Endpoint em uma máquina Linux, execute o seguinte comando shell em cada máquina.
mdatp healthSe o Microsoft Defender for Endpoint estiver instalado, você verá seu status de integridade:
healthy : truelicensed: trueNo portal do Azure, você pode verificar se as máquinas Linux têm uma nova extensão do Azure chamada
MDE.Linux.
Nota
Habilitar a integração do Defender for Endpoint em máquinas Linux é uma ação única. Se você desabilitar o plano e reativá-lo, a integração permanecerá habilitada.
Habilite a integração no Linux em várias assinaturas
No Defender for Cloud, abra o painel Proteções de carga de trabalho.
no painel, revise o painel de informações para ver quais assinaturas e recursos não têm o Defender for Endpoint habilitado para máquinas Linux.
- O painel de informações exibe informações sobre assinaturas que têm integração habilitada para máquinas Windows, mas não para máquinas Linux.
- As subscrições que não têm máquinas Linux não mostram recursos afetados.
No painel de informações, selecione as assinaturas nas quais habilitar a integração do Defender for Endpoint para máquinas Linux.
Selecione Ativar para ativar a proteção de ponto de extremidade para máquinas Linux. Defender for Cloud:
- Integra automaticamente máquinas Linux ao Defender for Endpoint nas assinaturas selecionadas.
- Deteta quaisquer instalações anteriores do Defender for Endpoint e as reconfigura para integração com o Defender for Cloud.
Use a pasta de trabalho de status de implantação do Defender for Servers. Entre outras coisas nesta pasta de trabalho, você pode verificar o status de instalação e implantação do Defender for Endpoint em uma máquina Linux.
Gerenciar atualizações automáticas para Linux
No Windows, as atualizações de versão do Defender for Endpoint são fornecidas por meio de atualizações contínuas da base de dados de conhecimento. No Linux, você precisa atualizar o pacote Defender for Endpoint.
Quando você usa o Defender for Servers com a extensão, as atualizações automáticas para o
MDE.LinuxMicrosoft Defender for Endpoint são habilitadas por padrão.Se quiser gerir as atualizações de versão manualmente, pode desativar as atualizações automáticas nas suas máquinas. Para fazer isso, adicione a seguinte tag para máquinas integradas com a
MDE.Linuxextensão.- Nome da tag: 'ExcludeMdeAutoUpdate'
- Valor da tag: 'true'
= Esta configuração é suportada para VMs do Azure e máquinas Azure Arc, onde a extensão inicia a MDE.Linux atualização automática.
Habilite a integração com o PowerShell em várias assinaturas
Para habilitar a proteção de ponto de extremidade em máquinas Linux e máquinas Windows que executam o Windows Server 2016/2012 R2 em várias assinaturas, use nosso script PowerShell do repositório GitHub do Defender for Cloud.
Habilite a integração em escala
Você pode habilitar a integração do Defender for Endpoint em escala por meio da API REST fornecida versão 2022-05-01. Para obter detalhes completos, consulte a documentação da API.
Aqui está um exemplo de corpo de solicitação para a solicitação PUT para habilitar a integração do Defender for Endpoint:
URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01
{
"name": "WDATP",
"type": "Microsoft.Security/settings",
"kind": "DataExportSettings",
"properties": {
"enabled": true
}
}
Acompanhe o status de implantação do Defender for Endpoint
Você pode usar a pasta de trabalho de status de implantação do Defender for Endpoint para acompanhar o status da implantação do Defender for Endpoint em suas VMs do Azure e VMs habilitadas para Azure Arc. A pasta de trabalho interativa fornece uma visão geral das máquinas em seu ambiente mostrando o status de implantação da extensão do Microsoft Defender for Endpoint.
Aceda ao portal Defender
Certifique-se de que tem as permissões certas para aceder ao portal.
Verifique se você tem um proxy ou firewall que está bloqueando o tráfego anônimo.
- O sensor Defender for Endpoint liga-se a partir do contexto do sistema, pelo que o tráfego anónimo deve ser permitido.
- Para garantir o acesso sem obstáculos ao portal do Defender for Endpoint, habilite o acesso às URLs de serviço no servidor proxy.
Abra o Portal do Microsoft Defender. Saiba mais sobre o Microsoft Defender for Endpoint no Microsoft Defender XDR.
Enviar um alerta de teste do Defender for Endpoint
Para gerar um alerta de teste benigno do Defender for Endpoint, selecione a guia para o sistema operacional relevante do seu endpoint:
Teste no Windows
Para pontos de extremidade que executam o Windows:
Crie uma pasta 'C:\test-MDATP-test'.
Utilize o Ambiente de Trabalho Remoto para aceder ao seu computador.
Abra uma janela da linha de comandos.
No prompt, copie e execute o seguinte comando. A janela do prompt de comando será fechada automaticamente.
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
Se o comando for bem-sucedido, você verá um novo alerta no painel de proteção da carga de trabalho e no portal do Microsoft Defender for Endpoint. Este alerta pode demorar alguns minutos a aparecer.
Para revisar o alerta no Defender for Cloud, vá para Security alerts>Suspicious PowerShell CommandLine.
Na janela de investigação, selecione o link para ir para o portal do Microsoft Defender for Endpoint.
Gorjeta
O alerta é acionado com gravidade informativa .
Teste no Linux
Para endpoints que executam Linux:
Faça o download da ferramenta de alerta de teste de: https://aka.ms/LinuxDIY
Extraia o conteúdo do arquivo zip e execute este shell script:
./mde_linux_edr_diySe o comando for bem-sucedido, você verá um novo alerta no painel de proteção da carga de trabalho e no portal do Microsoft Defender for Endpoint. Este alerta pode demorar alguns minutos a aparecer.
Para revisar o alerta no Defender for Cloud, vá para Alertas>de segurança Enumeração de arquivos com dados confidenciais.
Na janela de investigação, selecione o link para ir para o portal do Microsoft Defender for Endpoint.
Gorjeta
O alerta é acionado com baixa gravidade.
Remover o Defender for Endpoint de uma máquina
Para remover a solução Defender for Endpoint das suas máquinas:
- Para desativar a integração, nas configurações do Defender for Cloud >Environment, selecione a assinatura com as máquinas relevantes.
- Na página Planos do Defender, selecione Configurações e Monitoramento.
- No status do componente Proteção de ponto de extremidade, selecione Desativado para desabilitar a integração com o Microsoft Defender for Endpoint para a assinatura.
- Selecione Continuar e Salvar para salvar suas configurações.
- Remova o MDE. Windows/MDE. Extensão Linux da máquina.
- Desligue o dispositivo do serviço Microsoft Defender for Endpoint.