Microsoft Defender for Endpoint: EDR для корпоративных рабочих станций

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. 15 лет я занимаюсь безопасностью корпоративной Windows-инфраструктуры и могу сказать честно: бесплатный встроенный Defender в Windows 10/11 — отличный антивирус, но недостаточный для серьёзных угроз. Шифровальщики 2024–2025 годов не блокируются сигнатурами — они живут в памяти, используют легитимные утилиты Windows, обходят AV. Противостоять им может только EDR класс, и у Microsoft это Defender for Endpoint (бывший ATP). В статье — как его развернуть, настроить и использовать для расследования инцидентов.

Что такое Defender for Endpoint

Defender for Endpoint — это облачная EDR-платформа Microsoft, которая использует встроенный в Windows 10/11 Defender как агент, а в облаке даёт:

• Behavior-based detection — обнаружение по поведению, а не по сигнатурам.
• Threat Intelligence — актуальные IoC по мировой базе Microsoft.
• Automated Investigation and Response (AIR) — самостоятельное расследование инцидентов и устранение.
• Attack Surface Reduction (ASR) — 16+ правил блокировки типичных векторов атак.
• Exploit Protection — защита от эксплойтов (DEP, CFG, SEHOP, ASLR).
• Endpoint Isolation — моментальное отключение скомпрометированной машины от сети при сохранении доступа из портала.
• Live Response — терминал на эндпоинте прямо из облачного портала.
• Advanced Hunting — KQL-запросы по всей телеметрии за 30 дней.

Планы лицензирования

Для серьёзной защиты нужен Plan 2. В России после 2022 года лицензии покупаются через партнёров со складов в Казахстане или ОАЭ, стоимость — около 50 USD/пользователь/месяц за M365 E5.

Onboarding рабочих станций

Подключение машин происходит через Onboarding Package из портала security.microsoft.com. Варианты развёртывания:

# Вариант 1: Local Script (для тестов или ручного onboarding)
# Скачиваем пакет из портала, запускаем на машине
WindowsDefenderATPLocalOnboardingScript.cmd

# Вариант 2: Group Policy (для домена)
# Копируем WindowsDefenderATPOnboardingScript.cmd в папку SysVol,
# создаём GPO с Computer Configuration → Preferences → Control Panel Settings → Scheduled Tasks
# → Immediate Task → запускать от SYSTEM, однократно

# Вариант 3: Intune (для облачных/AADJ-устройств)
# Device configuration → Profiles → Windows 10 → Microsoft Defender ATP (Windows 10 Desktop)

# Вариант 4: PowerShell-скрипт
[Parameter(Mandatory=$true)]
$OnboardingPackagePath

Invoke-Expression (Get-Content $OnboardingPackagePath | Out-String)

Проверка успешного onboarding:

# На целевой машине
$sense = Get-Service -Name "sense"
$sense.Status  # Должно быть Running

# В реестре
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
# OnboardingState = 1

# Принудительный тест-детект
cmd /c powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test.exe');Start-Process 'C:\\test-WDATP-test.exe'

Через 5–10 минут машина появится в портале в разделе Device inventory.

Attack Surface Reduction: 16 правил, которые спасут офис

ASR — моя любимая часть Defender for Endpoint. Даже без Plan 2 это работает на бесплатном AV. Каждое правило блокирует конкретный вектор атаки:

• Block executable content from email client and webmail.
• Block all Office applications from creating child processes.
• Block Office applications from creating executable content.
• Block Office applications from injecting code into other processes.
• Block JavaScript or VBScript from launching downloaded executable content.
• Block execution of potentially obfuscated scripts.
• Block Win32 API calls from Office macros.
• Block credential stealing from LSASS.
• Block process creations originating from PSExec and WMI commands.
• Block untrusted and unsigned processes that run from USB.
• Block Office communication applications from creating child processes.
• Block Adobe Reader from creating child processes.
• Block persistence through WMI event subscription.
• Block use of copied or impersonated system tools.
• Block Webshell creation for Servers.
• Use advanced protection against ransomware.

# Включение всех ASR-правил через PowerShell
$Rules = @(
  "BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550", # email
  "D4F940AB-401B-4EFC-AADC-AD5F3C50688A", # Office child
  "3B576869-A4EC-4529-8536-B80A7769E899", # Office exec
  "75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84", # Office inject
  "D3E037E1-3EB8-44C8-A917-57927947596D", # JS/VBS
  "5BEB7EFE-FD9A-4556-801D-275E5FFC04CC", # obfusc
  "92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B", # Win32 API
  "9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2", # LSASS
  "D1E49AAC-8F56-4280-B9BA-993A6D77406C", # PSExec
  "B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4", # USB
  "26190899-1602-49E8-8B27-EB1D0A1CE869"  # Office comm
)
foreach ($Rule in $Rules) {
  Set-MpPreference -AttackSurfaceReductionRules_Ids $Rule -AttackSurfaceReductionRules_Actions Enabled
}

Ключевые настройки через Intune/GPO

Если есть Intune, включаем Security Baseline — Defender for Endpoint:

• Cloud-delivered protection: Enabled, Level High+.
• Real-time protection: On.
• Network Inspection System: On.
• Scanning scheduled: Daily quick, weekly full.
• PUA protection: Block.
• Submit samples consent: Send safe samples automatically.
• Tamper protection: On.

Расследование инцидента в портале

Когда Defender что-то нашёл, в портале появляется Alert. Открываете — видите:

• Timeline атаки — от начальной точки до момента детекта.
• Задействованные процессы, файлы, сетевые подключения.
• User, который запустил.
• Дерево родительских/дочерних процессов.
• Рекомендации по устранению.

В Plan 2 — Automated Investigation автоматически выполняет разведку: изолирует машину, собирает evidence, останавливает процессы. Админу остаётся только review и approve.

Реальный кейс: предотвращение шифровальщика в финансовой компании

В марте 2025 года к нам обратилась управляющая компания — 85 РМ, Windows 10/11, домен на Server 2019. Ранее использовали Kaspersky Endpoint Security, но антивирус пропускал fileless-атаки. За полгода — 2 инцидента с шифрованием файловых шар.

План внедрения:

• Подписка Microsoft 365 E5 на 85 пользователей через партнёра.
• Onboarding всех машин через GPO за один вечер.
• Настройка ASR-правил в режиме Audit на 2 недели — сбор данных о ложных срабатываниях.
• Через 2 недели — перевод в Block со списком исключений для легитимных корпоративных приложений.
• Сервер Defender-портала: нет локальной установки, только облачный портал с MFA-доступом для 2 админов.
• Threat & Vulnerability Management показал 680 уязвимостей на 85 машинах — приоритизированы и закрыты за 6 недель.
• Интеграция с SIEM-решением Wazuh через API — корреляция инцидентов с другими событиями.

Через 4 недели после внедрения Defender заблокировал атаку: пользователь получил фишинговое письмо с vbs-скриптом, Outlook открыл attachment, ASR правило «Block Office child processes» остановило запуск wscript. Админ получил alert в 3 минуты ночи — машина уже изолирована, инцидент закрыт к утру. Стоимость проекта — 90 000 руб. за работы + 250 000 руб./месяц на лицензии M365 E5.

Advanced Hunting через KQL

Одна из главных фич Plan 2 — возможность запрашивать всю телеметрию за 30 дней. Примеры полезных запросов:

// Подозрительные PowerShell-запуски
DeviceProcessEvents
| where FileName =~ "powershell.exe"
| where ProcessCommandLine has_any("-EncodedCommand", "DownloadString", "Invoke-Expression")
| project Timestamp, DeviceName, AccountName, ProcessCommandLine

// Попытки доступа к LSASS
DeviceEvents
| where ActionType == "OpenProcessApiCall"
| where InitiatingProcessFileName !in~ ("lsass.exe", "csrss.exe")
| where parse_json(AdditionalFields).TargetProcessName =~ "lsass.exe"
| project Timestamp, DeviceName, InitiatingProcessFileName, FileName

// Новые подписанные сервисы
DeviceRegistryEvents
| where RegistryKey startswith "HKLM\\SYSTEM\\CurrentControlSet\\Services"
| where ActionType == "RegistryValueSet" and RegistryValueName =~ "ImagePath"
| summarize count() by DeviceName, RegistryKey, bin(Timestamp, 1d)

Типичные ошибки при развёртывании

• Запускают ASR сразу в Block. Без Audit-периода появляется масса false positives в корпоративных приложениях. Обязательно 1-2 недели аудита.
• Забывают Tamper Protection. Без неё админ-локал может отключить Defender. Включайте через Intune.
• Не настраивают Exclusions для бизнес-приложений. 1С, банковские клиенты, CAD-системы генерируют подозрительное поведение. Добавляйте в список исключений.
• Не используют Advanced Hunting. Plan 2 даёт уникальный инструмент, многие админы про него забывают.
• Игнорируют Device Health Score. Портал показывает, у каких машин низкий уровень защиты. Разбирайте top-10 раз в неделю.

FAQ — частые вопросы

Чем Defender for Endpoint отличается от обычного Defender?

Встроенный Defender — антивирус. Defender for Endpoint — EDR с централизованным порталом, анализом поведения, Threat Intelligence, автоматическим расследованием, изоляцией эндпоинтов.

Нужна ли лицензия Microsoft 365 E5?

Да, Defender for Endpoint Plan 2 входит в M365 E5 или покупается отдельно. Plan 1 доступен в M365 E3. В России — через партнёров.

Что такое Attack Surface Reduction?

ASR — набор правил, блокирующих типичные атаки: запуск Office-макросов, вредоносных скриптов, LSASS dumping. 16+ правил, включаются через Intune/GPO/PowerShell.

Как происходит onboarding рабочих станций?

Скачиваете onboarding-пакет из портала security.microsoft.com, распространяете через GPO/Intune/SCCM. Машина подключается к облаку Defender.

Есть ли аналог для Linux/Mac?

Да, DfE поддерживает Windows Server 2012R2+, Windows 10/11, Linux (RHEL, Ubuntu, Debian), macOS, iOS, Android. Единая консоль.