Megosztás a következőn keresztül:

Eszközök migrálása az egyszerűsített kapcsolati módszer használatához

  • Cikk

Érintett szolgáltatás:

Ez a cikk bemutatja, hogyan migrálhatja (újracsatlakoztathatja) azokat az eszközöket, amelyeket korábban előkészítettek a Végponthoz készült Defenderbe az egyszerűsített eszközkapcsolati módszer használatához. Az egyszerűsített kapcsolattal kapcsolatos további információkért lásd: Eszközök előkészítése egyszerűsített kapcsolat használatával. Az eszközöknek meg kell felelniük az egyszerűsített kapcsolatra vonatkozó előfeltételeknek.

A legtöbb esetben nincs szükség teljes eszköz-kivezetésre az újrabeléptetéskor. Futtathatja a frissített előkészítési csomagot, és újraindíthatja az eszközt a kapcsolatváltáshoz. Az egyes operációs rendszerekkel kapcsolatos részletekért tekintse meg az alábbi információkat.

Fontos

Korlátozások és ismert problémák:- Eszközáttelepítések (újratelepítés) esetén: A kivezetés nem szükséges az egyszerűsített csatlakozási módszerre való váltáshoz. A frissített előkészítési csomag futtatása után teljes eszköz-újraindítás szükséges a Windows-eszközökhöz, valamint a szolgáltatás újraindítása macOS és Linux rendszereken. További információt az ebben a cikkben található részletekben talál.

  • Windows 10 1607-re, 1703-ra, 1709-re és 1803-ra vonatkozó verziók nem támogatják az újrabeléptetést. Először kapcsolja ki, majd a frissített csomag használatával végezze el az előkészítést. Ezekhez a verziókhoz hosszabb URL-lista is szükséges.
  • Az MMA-ügynököt futtató eszközök nem támogatottak, és továbbra is az MMA előkészítési módszerét kell használniuk.

Eszközök migrálása az egyszerűsített módszerrel

Migrálási javaslat

  • Kezdje kicsiben. Javasoljuk, hogy először egy kis eszközkészlettel kezdjen. Alkalmazza az előkészítési blobot a támogatott üzembehelyezési eszközök bármelyikével, majd figyelje a kapcsolatot. Ha új előkészítési szabályzatot használ, az ütközések elkerülése érdekében mindenképpen zárja ki az eszközt a többi meglévő előkészítési szabályzatból.

  • Ellenőrzés és figyelés. A kis eszközkészlet előkészítése után ellenőrizze, hogy az eszközök előkészítése sikeresen megtörtént-e, és hogy kommunikál-e a szolgáltatással.

  • Fejezze be a migrálást. Ebben a szakaszban fokozatosan vezetheti be a migrálást egy nagyobb eszközkészletre. A migrálás befejezéséhez lecserélheti a korábbi előkészítési szabályzatokat, és eltávolíthatja a régi URL-címeket a hálózati eszközről.

A migrálások végrehajtása előtt ellenőrizze az eszköz előfeltételeit . Ezek az információk az előző cikkre épülnek, és a meglévő eszközök migrálására összpontosítanak.

Az eszközök újbóli előkészítéséhez az egyszerűsített előkészítési csomagot kell használnia. A csomag eléréséről további információt az Egyszerűsített kapcsolat című témakörben talál.

Az operációs rendszertől függően előfordulhat, hogy az áttelepítések az előkészítési csomag alkalmazása után az eszköz újraindítását vagy a szolgáltatás újraindítását igénylik:

  • Windows: indítsa újra az eszközt

  • macOS: Indítsa újra az eszközt, vagy indítsa újra a Végponthoz készült Defender szolgáltatást a következő futtatásával:

    1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
    2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

  • Linux: Indítsa újra a Végponthoz készült Defender szolgáltatást a következő futtatásával: sudo systemctl restart mdatp

Az alábbi táblázat a rendelkezésre álló előkészítési eszközök áttelepítési utasításait sorolja fel az eszköz operációs rendszere alapján.

Windows 10 és 11

Fontos

Windows 10 1607-re, 1703-ra, 1709-re és 1803-ra vonatkozó verziók nem támogatják az újrabeléptetést. A meglévő eszközök migrálásához teljes mértékben ki kell vennie és be kell kapcsolnia az egyszerűsített előkészítési csomag használatával.

A Windows-ügyféleszközök előkészítésére vonatkozó általános információkért lásd: Windows-ügyfél előkészítése.

Ellenőrizze, hogy teljesülnek-e az előfeltételek: Az egyszerűsített módszer használatának előfeltételei.

Helyi szkript

Kövesse a Helyi szkript (legfeljebb 10 eszköz) című cikkben található útmutatást az egyszerűsített előkészítési csomag használatával. A lépések elvégzése után újra kell indítania az eszközt, hogy az eszköz kapcsolata átváltson.

Csoportházirend

Kövesse a csoportházirendben található útmutatást az egyszerűsített előkészítési csomag használatával. A lépések elvégzése után újra kell indítania az eszközt, hogy az eszköz kapcsolata átváltson.

Microsoft Intune

Kövesse az Intune útmutatót az egyszerűsített előkészítési csomag használatával. Használhatja az "automatikus összekötőből" lehetőséget; ez a beállítás azonban nem alkalmazza automatikusan újra az előkészítési csomagot. Hozzon létre egy új előkészítési szabályzatot, és először egy tesztcsoportot céloz meg. A lépések elvégzése után újra kell indítania az eszközt, hogy az eszköz kapcsolata átváltson.

Microsoft Configuration Manager

Kövesse a Configuration Manager útmutatását.

VDI

Használja a nem állandó virtuális asztali infrastruktúra (VDI) eszközeinek előkészítéséről szóló útmutatót. A lépések elvégzése után újra kell indítania az eszközt, hogy az eszköz kapcsolata átváltson.

Eszközkapcsolat ellenőrzése egyszerűsített módszerrel a migrált eszközökhöz

Az alábbi módszerekkel ellenőrizheti, hogy sikeresen csatlakoztatta-e a Windows-eszközöket:

MacOS és Linux rendszeren a következő módszereket használhatja:

  • MDATP-kapcsolati tesztek
  • Nyomon követés speciális veszélyforrás-kereséssel Microsoft Defender XDR
  • Tesztek futtatása a Végponthoz készült Defender-szolgáltatásokkal való kapcsolat megerősítéséhez

A Végponthoz készült Defender ügyfélelemző (Windows) használata a migrált végpontok előkészítését követően a kapcsolat ellenőrzéséhez

Az előkészítést követően futtassa a MDE Ügyfélelemzőt annak ellenőrzéséhez, hogy az eszköz csatlakozik-e a megfelelő frissített URL-címekhez.

Töltse le az Végponthoz készült Microsoft Defender Ügyfélelemző eszközt, amelyen a Végponthoz készült Defender érzékelő fut.

Kövesse ugyanazokat az utasításokat, mint az Ügyfélkapcsolat ellenőrzése Végponthoz készült Microsoft Defender szolgáltatáshoz. A szkript automatikusan az eszközön konfigurált előkészítési csomagot használja (egyszerűsített verziójúnak kell lennie) a kapcsolat teszteléséhez.

Győződjön meg arról, hogy a megfelelő URL-címekkel létesített kapcsolat létrejött.

Nyomon követés speciális veszélyforrás-kereséssel Microsoft Defender XDR

A Microsoft Defender portálon speciális veszélyforrás-kereséssel megtekintheti a kapcsolattípus állapotát.

Ezek az információk a DeviceInfo táblában, a "ConnectivityType" oszlop alatt találhatók:

  • Oszlop neve: ConnectivityType
  • Lehetséges értékek: <blank>, Egyszerűsített, Standard
  • Adattípus: Sztring
  • Leírás: Az eszköz és a felhő közötti kapcsolat típusa

Miután migrált egy eszközt az egyszerűsített módszer használatára, és az eszköz sikeresen kommunikál az EDR-paranccsal & vezérlőcsatornával, az érték "Egyszerűsített" értékként jelenik meg.

Ha az eszközt visszaállítja a normál metódusra, az érték "standard".

Az olyan eszközök esetében, amelyek nem kísérelték meg az újbóli előkészítést, az érték üres marad.

Helyi nyomon követés egy eszközön a Windows eseménymegtekintő

A Windows eseménymegtekintő SENSE műveleti naplójával helyileg ellenőrizheti a kapcsolatokat az új egyszerűsített megközelítéssel. A SENSE 4 eseményazonosítója nyomon követi a sikeres EDR-kapcsolatokat.

Nyissa meg a Végponthoz készült Defender szolgáltatás eseménynaplót az alábbi lépésekkel:

  1. A Windows menüben válassza a Start gombot, majd írja be eseménymegtekintő. Ezután válassza a eseménymegtekintő lehetőséget.

  2. A naplólistában a Napló összegzése területen görgessen lefelé, amíg meg nem jelenik a Microsoft-Windows-SENSE/Operational elem. Kattintson duplán az elemre a napló megnyitásához.

    Képernyőkép a eseménymegtekintő naplóösszegzési szakaszáról

    A naplót úgy is elérheti, hogy kibontja azAlkalmazások és szolgáltatások naplói>Microsoft>Windows>SENSE elemet, majd a Működési lehetőséget választja.

  3. A 4-es eseményazonosító nyomon követi a Defender for Endpoint Command & Control csatornával való sikeres kapcsolatokat. Ellenőrizze a sikeres kapcsolatokat a frissített URL-címmel. Például:

    Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com.
<EventData>
 <Data Name="UInt1">6</Data>
 <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com>
</EventData>

  4. Az 1. üzenet a megadott URL-címet tartalmazza. Ellenőrizze, hogy az esemény tartalmazza-e az egyszerűsített URL-címet (endpoint.security.microsoft, com).

  5. Az 5-ös eseményazonosító adott esetben nyomon követi a hibákat.

Megjegyzés:

A SENSE a Végponthoz készült Microsoft Defender ható viselkedésérzékelőre való hivatkozáshoz használt belső név.
A szolgáltatás által rögzített események megjelennek a naplóban.
További információ: Események és hibák áttekintése eseménymegtekintő használatával.

Tesztek futtatása a Végponthoz készült Defender-szolgáltatásokkal való kapcsolat megerősítéséhez

Miután előkészítette az eszközt a Végponthoz készült Defenderbe, ellenőrizze, hogy továbbra is megjelenik-e az Eszközleltárban. A DeviceID-nek változatlannak kell maradnia.

Ellenőrizze az Eszközoldal idővonala lapon, hogy az események az eszközről áramlanak-e.

Élő válasz

Győződjön meg arról, hogy az élő válasz működik a teszteszközön. Kövesse az Entitások vizsgálata az eszközökön élő válasz használatával című témakör utasításait.

A kapcsolat megerősítéséhez futtasson néhány egyszerű parancsot a csatlakozás után (például cd, feladatok, csatlakozás).

Automatizált vizsgálat és reagálás

Győződjön meg arról, hogy az automatizált vizsgálat és válasz működik a teszteszközön: Automatizált vizsgálati és válaszképességek konfigurálása.

Az automatikus integrációs modul tesztelési tesztkörnyezeteihez lépjen az Microsoft Defender XDR>Evaluations & Oktatóanyagok oktatóanyagok>& szimulációk> **Oktatóanyagok >automatizált vizsgálat oktatóanyagokhoz.

Felhőben nyújtott védelem

  1. Nyisson meg egy parancssort rendszergazdaként.

  2. Kattintson a jobb gombbal az elemre a Start menüben, válassza a Futtatás rendszergazdaként lehetőséget, majd válassza az Igen lehetőséget az engedélykérésnél.

  3. Az alábbi argumentummal ellenőrizze a Microsoft Defender Víruskereső parancssori segédprogrammal (mpcmdrun.exe), hogy a hálózat képes-e kommunikálni a Microsoft Defender Víruskereső felhőszolgáltatással:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Megjegyzés:

Ez a parancs csak Windows 10, 1703-es vagy újabb verzióban, illetve Windows 11 működik. További információ: Microsoft Defender víruskereső kezelése a mpcmdrun.exe parancssori eszközzel.

Tesztblokk első látásra

Kövesse az Végponthoz készült Microsoft Defender Block at First Sight (BAFS) bemutató utasításait.

SmartScreen tesztelése

Kövesse Microsoft Defender SmartScreen bemutató (msft.net) utasításait.

PowerShell-észlelési teszt

  1. A Windows-eszközön hozzon létre egy mappát: C:\test-MDATP-test.

  2. Nyissa meg a parancssort rendszergazdaként.

  3. A Parancssor ablakban futtassa a következő PowerShell-parancsot:

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

A parancs futtatása után a parancssori ablak automatikusan bezárul. Ha sikeres, az észlelési teszt befejezettként lesz megjelölve.

MacOS és Linux rendszeren a következő módszereket használhatja:

  • MDATP-kapcsolati tesztek
  • Nyomon követés speciális veszélyforrás-kereséssel Microsoft Defender XDR
  • Tesztek futtatása a Végponthoz készült Defender-szolgáltatásokkal való kapcsolat megerősítéséhez

MDATP kapcsolati teszt (macOS és Linux)

Futtassa a parancsot mdatp health --details edr annak ellenőrzéséhez edr_partner_geo_location , hogy elérhető-e. Az értéknek ott kell lennie GW_<geo> , ahol a "geo" a bérlő földrajzi helye.

Futtassa az mdatp kapcsolati tesztet. Győződjön meg arról, hogy az egyszerűsített URL-minta megtalálható. A "\storage" esetében kettőre, az egyikre a \mdav, a másik a \xplat, a másik a "/packages" kifejezésre számíthat.

Például: https:mdav.us.endpoint.security.microsoft/com/storage

Nyomon követés speciális veszélyforrás-kereséssel Microsoft Defender XDR

Az összes eszköz (30 000-es korlát) és a legutóbb jelentett kapcsolattípus megtekintése:

DeviceInfo
| where OnboardingStatus == "Onboarded"
| summarize arg_max(ConnectivityType, Timestamp) by DeviceName

Az OSPlatform-eszközök számának és kapcsolattípusának megtekintése sávdiagramon:

DeviceInfo
| where OnboardingStatus == "Onboarded"
| summarize arg_max(ConnectivityType, Timestamp, OSPlatform) by DeviceName
| summarize count() by OSPlatform, ConnectivityType
| render columnchart

A Végponthoz készült Defender ügyfélelemző (platformfüggetlen) használata az újonnan migrált végpontok kapcsolatainak ellenőrzéséhez

Töltse le és futtassa az ügyfélelemzőt macOS vagy Linux rendszeren. További információ: Az ügyfélelemző letöltése és futtatása.

  1. Futtassa a parancsot mdeclientanalyzer.cmd -o <path to cmd file> az MDEClientAnalyzer mappából. A parancs az előkészítési csomag paramétereit használja a kapcsolat teszteléséhez.

  2. Futtassa a parancsot mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> (ahol a paraméter értéke GW_US, GW_EU, GW_UK). A GW az egyszerűsített beállításra utal. Futtassa a parancsot a megfelelő bérlő földrajzi helyével.