Onboarding Microsoft Defender for Endpoint utilizando Group Policy Management (GPO)

O Microsoft Defender para Ponto de Extremidade é uma plataforma empresarial para a segurança de ponto de extremidade projetada para ajudar a prevenir, detectar, investigar e responder a ameaças avançadas.

O Microsoft Defender para Ponto de Extremidade usa a seguinte combinação de tecnologias incorporada ao Windows 10 e ao robusto serviço de nuvem da Microsoft:

  • Sensores comportamentais de ponto de extremidade: incorporados no Windows 10, esses sensores coletam e processam sinais comportamentais do sistema operacional. Os sensores enviam os dados para sua instância de nuvem privada e isolada do Microsoft Defender para Ponto de Extremidade.
  • Análise de segurança na nuvem: Usando big data, aprendizado de máquina e óticas exclusivas da Microsoft em todo o ecossistema do Windows, produtos de nuvem corporativa (como o Office 365) e ativos online, os sinais comportamentais são traduzidos em insights, detecções e respostas recomendadas para ameaças avançadas.
  • Inteligência contra ameaças: gerada pelas equipes de buscas e segurança da Microsoft, e aumentada pela inteligência contra ameaças fornecida pelos parceiros, a inteligência contra ameaças permite que o Microsoft Defender para Ponto de Extremidade identifique ferramentas, técnicas e procedimentos do invasor e gere alertas quando eles forem observados nos dados coletados do sensor.

Integração com soluções da Microsoft

O Defender para Ponto de Extremidade integra-se diretamente a várias soluções da Microsoft, incluindo:

  • Microsoft Defender para Nuvem
  • Microsoft Sentinel
  • Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Identidade
  • Microsoft Defender para Office
  • Skype for Business

Planos Microsoft Defender for Endpoint

Você pode usar este artigo para ajudar a esclarecer qual proteção é fornecida pelos diferentes recursos disponíveis no Plano 1 do Defender para Ponto de Extremidade, no Plano 2 do Defender para Ponto de Extremidade e no complemento Gerenciamento de Vulnerabilidades do Defender.

Para maiores informações  consulte o link abaixo:

Comparar Microsoft Defender para Ponto de Extremidade planos | Microsoft Docs

Requisitos mínimos

Há alguns requisitos mínimos para a integração de dispositivos ao serviço.

Requisitos de licenciamento

Para obter os requisitos de licenciamento Microsoft Defender para Ponto de Extremidade informações, consulte Microsoft Defender para Ponto de Extremidade de licenciamento.

Para obter informações detalhadas sobre licenciamento, consulte o site termos do produto e trabalhe com sua equipe de conta para saber mais sobre os termos e condições.

Requisitos de navegador

O acesso ao Defender para Ponto de Extremidade é feito por meio de um navegador, dando suporte aos seguintes navegadores:

  • Microsoft Edge
  • Google Chrome

Requisitos de hardware e software

Versões do Windows com suporte

  • Windows 10 Education
  • Windows 10 Pro
  • Windows 10 Pro Education
  • Windows servidor
    • Windows Server 2008 R2 SP1 (requer ESU para suporte)
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server, versão 1803 ou posterior
    • Windows Server 2019
    • Windows Server 2022
  • Área de Trabalho Virtual do Windows
  • Windows 365

Os dispositivos em sua rede devem estar executando uma dessas edições.

Os requisitos de hardware do Defender para Ponto de Extremidade em dispositivos são os mesmos para as edições com suporte.

Núcleos: 2 mínimos, 4 memória preferencial: 1 GB mínimo, 4 preferenciais

Para obter mais informações sobre as versões com Windows 10, consulte (/windows/release-health/release-information).

Outros sistemas operacionais com suporte

Para maiores informações cosulte o link abaixo.

Requisitos mínimos para Microsoft Defender para Ponto de Extremidade | Microsoft Docs

Passo a passo

01 – Faça login no portal Microsoft 365 Defender.

https://security.microsoft.com/

02 – No portal Microsoft 365 Defender clique em Settings.

03 – Na tela Settings clique em Endpoints.

04 – Na tela Endpoints em Device management selecione Onboarding.

05 – Na tela de Onboarding podemos executar o onboarding para os seguintes sistemas Windows, Linux Server, macOs, iOS e Android, em nosso artigo vamos realizar o onboarding para Windows 10 and 11.

06 – Para a opção Onboard a device em Deployment method podemos execuar o onboarding com os methodos Local Script (for up to 10 devices), Group Policy, Microsoft Endpoint Configuration Manager current branch and later, Mobile Device Management / Microsoft Intune e VDI onboarding scripts for non-persistent devices, selecione Group Policy.

07 – Em seguida clique em Download onboarding package.

08 – Após baixar o arquivo onboarding package extraia o arquivo WindowsDefenderATPOnboardingPackage.zip

09 – Vamos criar uma pasta comparilhada e adicionar a pasta WindowsDefenderATPOnboardingPackage, no servidor cria a pasta “ShareMDATPOnboardingScript”.

10 – Selecione a pasta WindowsDefenderATPOnboardingPackage e clique em Properties.

 

11 – Na tela Properties clique em Sharing em seguida clique em Advanced Sharing na tela Advanced Sharing selecione Share this folder em seguida clique em Permissions, na tela Share Permissions clique em Add, na tela Select Users, Computers, service Accounts, or Groups digite “Domain Computers” em clque em Check Names e clique em OK.

12 – No domain controller em Server Manager clique em Tools em seguida selecione Group Policy Management.

13 – Na tela Group Policy Management expanda Forest: jadsonalves.com.br em seguida expanda Domains e jadsonalves.com.br, clique com botão direito no dominio jadsonalves.com.br em seguida clique me Create GPO in this domain, and Link it here…

14 – Na tela Nex GPO digite um nome e clique em OK.

15 – Selecione a GPO Onboarding Device na tela Group Policy Management Console clique em OK.

16 – Selecione a GPO Onboarding Device clique com botão direito e selecione Edit.

17 – Na tela Group Policy Management Editor em Preferences clique em Control Panel Settings e selecione Scheduled Tasks.

18 – Na tela Scheduled Tasks clique em New e selecione Immediate Task (At least Windows 7).

19 – Na tela New Task (At least Windows 7) Properties em Name digite um nome, em seguida selecione Run with highest privileges, clique em Change User or Group na tela Selected User or Group digite SYSTEM e clique me Check Names em seguida clique em OK.

20 – Na tela New Task (At least Windows 7) Properties clique em Actions em seguida clique em New, adicione o caminho da pasta compartilha com nome da pasta da “WindowsDefenderATPOnboardingPackage” e o nome do arquivo que vamos executar “WindowsDefenderATPOnboardingScript.cmd”, em seguida clique em OK, aplay e OK.

\\VM-AD-01-PRD\ShareMDATPOnboardingScript\WindowsDefenderATPOnboardingPackage\WindowsDefenderATPOnboardingScript.cmd

21 – Como podemos observar o Scheduled Tasks foi criado.

22 – Em Download abra a pasta WindowsDefenderATPOnboardingPackage em seguida abra também a pasta OptionalParamsPolicy copie o arquivo AtpConfiguration.admx para Local Disk(C), Windows, PolicyDefinitions “C:\Windows\PolicyDefinitions”.

23 – Em Download abra a pasta WindowsDefenderATPOnboardingPackage em seguida abra também a pasta OptionalParamsPolicy abra a pasta en-US,  copie o arquivo AtpConfiguration.adml para Local Disk(C), Windows, PolicyDefinitions “C:\Windows\PolicyDefinitions\en-US”.

24 – Feche todas as telas do Group Policy Management.

25 – Abra o Group Policy Management, clique jadsonalves.com.br com o botão direito e selecione Create a GPO in this domain, and Link it here.

26 – Na tela New GPO digite um nome e clique em OK.

27 – Selecione a GPO MDATPGPO clique com o botao direito e selecione Edit.

28 – Na tela Group Policy Managment Editor em Computer configuration, em Policies expanda Administrative clique em Windows Componentes e selecione Windows Defender ATP.

29 – Na tela Windows Defender ATP selecione Enable\Disable Sample collection.

30 – Na tela Enable\Disable Sample collection selecione Enable e Enable sample collection on machines.

Validando Onboarding

Nosso próximo passo é validar se a máquina vm-win10-prd foi adicionada ao Device inventory no Microsoft Defender for Endpoint.

31 – Execute o comando gpresul /r e verifique  se as GPOs Onboarding Device e MDATPGPO foram aplicadas ao computador.

32 – No portal do Mcrosoft 365 Defender em Endpoints clique em Device invetory.

33 – Na tela Device Inventory percebam que a máquina vm-win10-prd foi adicionada ao MicrosofT Defender for Endpoint.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.