Microsoft Defender for Endpoint: настройка корпоративной EDR-защиты
Антивирус — это прошлый век. Microsoft Defender for Endpoint (ранее ATP) — это EDR-решение корпоративного уровня, встроенное в Windows. Наши инженеры развернули его в десятках компаний.
Что такое Defender for Endpoint?
- Антивирус нового поколения: облачная аналитика, ML-модели
- EDR: непрерывный мониторинг процессов, сети, реестра
- Threat & Vulnerability Management
- Attack Surface Reduction (ASR)
- Automated Investigation & Remediation
- Threat Hunting через KQL
Какие лицензии нужны?
- Plan 1: ASR, антивирус. В Microsoft 365 E3
- Plan 2: полный EDR, Threat Hunting. В Microsoft 365 E5
- Defender for Business: SMB до 300 пользователей. В Microsoft 365 Business Premium
Как развернуть через Intune?
- security.microsoft.com -> Settings -> Endpoints -> Onboarding
- Deployment method: Microsoft Intune
- Скачать onboarding package
- В Intune: Endpoint security -> EDR -> Create policy
- Назначить на группу устройств
# Альтернатива: onboarding через GPO
# Computer Configuration -> Windows Components ->
# Microsoft Defender for Endpoint -> Onboarding -> EnableКак настроить ASR-правила?
# Блокировать exe из email
Set-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
# Блокировать процессы из Office
Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
# Блокировать обфусцированные скрипты
Set-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions EnabledКак работает Automated Investigation?
- Анализ алерта и сбор артефактов
- Корреляция с MITRE ATT&CK
- Определение затронутых устройств
- Автоматическое устранение: карантин файла, остановка процесса
Доверьте развертывание Defender for Endpoint профессионалам
Наши инженеры настроят всё быстро и надёжно. Более 15 лет опыта, работа с юрлицами, договор, SLA. Не тратьте время на эксперименты — звоните.
Как использовать Threat Hunting через KQL?
// Подозрительные PowerShell-команды за 7 дней
DeviceProcessEvents
| where Timestamp > ago(7d)
| where FileName == "powershell.exe"
| where ProcessCommandLine has_any ("-enc", "bypass", "downloadstring", "iex")
| project Timestamp, DeviceName, AccountName, ProcessCommandLine
// Lateral movement через PsExec
DeviceProcessEvents
| where Timestamp > ago(7d)
| where FileName == "psexec.exe"
| project Timestamp, DeviceName, ProcessCommandLine
// Подозрительные сетевые подключения
DeviceNetworkEvents
| where RemotePort in (4444, 5555, 8888, 9001)
| project Timestamp, DeviceName, RemoteIP, RemotePortКак настроить Web Content Filtering?
Блокировка опасных категорий: фишинговые сайты, сайты для взрослых, азартные игры, торренты — всё настраивается через Security Center без установки прокси-сервера.
Как интегрировать с SIEM?
- Microsoft Sentinel: нативная интеграция
- Splunk: через API
- Elasticsearch: через Logstash
Какие типичные ошибки?
- Не включены ASR-правила
- Широкие исключения — malware маскируется
- Нет уведомлений — алерты копятся, никто не смотрит
- Отсутствие процесса Incident Response
Как правильно настроить исключения без ущерба для безопасности?
Исключения — это палка о двух концах. С одной стороны, без них 1С и другие бизнес-приложения будут тормозить. С другой — широкие исключения создают дыры. Наши инженеры рекомендуют исключать конкретные процессы по хешу, а не по пути. Используйте Indicators of Compromise (IoC) в Security Center для мониторинга исключённых путей. Регулярно пересматривайте список исключений — раз в квартал минимум.
Когда обратиться к профессионалам?
- Когда нужно развернуть EDR на 50+ рабочих мест
- Когда произошёл инцидент безопасности
- Когда нужен аудит текущей конфигурации
- Когда нужна настройка ASR без ложных срабатываний
Часто задаваемые вопросы
Defender for Endpoint бесплатный?
Базовый Defender Antivirus — да. EDR требует лицензию Microsoft 365 E3/E5 или Business Premium.
Нужен ли сторонний антивирус?
Нет. Defender for Endpoint — полноценное EDR, превосходящее большинство сторонних антивирусов.
Работает ли на Linux и macOS?
Да, MDE поддерживает Windows, macOS, Linux, Android и iOS.
Что такое ASR-правила?
Attack Surface Reduction — правила, блокирующие типичные техники атак: exe из email, макросы Office, обфусцированные скрипты.
Как быстро обнаруживает угрозы?
В реальном времени. Microsoft обрабатывает 65 триллионов сигналов ежедневно.
ООО «АйТи Фреш» возьмёт это на себя
Не хватает времени или своих специалистов — мы настроим, оптимизируем и возьмём вашу IT-инфраструктуру на постоянное сопровождение. Работаем с юридическими лицами в Москве и регионах. Собственный дата-центр, команда из 8 серверов Dell Xeon Platinum 8280 на базе МТС.