
Microsoft Defender for Endpoint: настройка корпоративной EDR-защиты
Классический антивирус — это, по сути, уже музейный экспонат. Microsoft Defender for Endpoint (ранее ATP) — полноценное EDR-решение корпоративного уровня, которое уже встроено в Windows. Мы развернули его в десятках компаний и знаем, где грабли.
Что такое Defender for Endpoint?
- Антивирус нового поколения: облачная аналитика и ML-модели — не маркетинг, а реально работающее обнаружение угроз нулевого дня
- EDR: непрерывный мониторинг процессов, сети, реестра — всё пишется, ничего не теряется
- Threat & Vulnerability Management — видите уязвимости раньше, чем их найдут злоумышленники
- Attack Surface Reduction (ASR) — закрываете векторы атак, не дожидаясь самой атаки
- Automated Investigation & Remediation — система сама разбирает инциденты, пока ваши люди занимаются другим
- Threat Hunting через KQL — для тех, кто хочет искать угрозы активно, а не ждать алерта
Какие лицензии нужны?
- Plan 1: ASR и антивирус нового поколения. Входит в Microsoft 365 E3 — неплохой старт
- Plan 2: полный EDR и Threat Hunting. Входит в Microsoft 365 E5 — берите, если инфраструктура критична
- Defender for Business: для компаний до 300 пользователей. Входит в Microsoft 365 Business Premium — оптимальный выбор для МСБ
Как развернуть через Intune?
- Открываете security.microsoft.com → Settings → Endpoints → Onboarding
- Deployment method выбираете Microsoft Intune
- Скачиваете onboarding package — он понадобится чуть позже
- В Intune: Endpoint security → EDR → Create policy — именно в таком порядке
- Назначаете политику на нужную группу устройств
# Альтернатива: onboarding через GPO
# Computer Configuration -> Windows Components ->
# Microsoft Defender for Endpoint -> Onboarding -> Enable
Как настроить ASR-правила?
# Блокировать exe из email
Set-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
# Блокировать процессы из Office
Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
# Блокировать обфусцированные скрипты
Set-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Как работает Automated Investigation?
- Анализ алерта и сбор артефактов — система делает это автоматически за секунды
- Корреляция с MITRE ATT&CK — сразу понятно, что за техника и какой актор
- Определение затронутых устройств — видите весь масштаб инцидента, а не только верхушку
- Автоматическое устранение: карантин файла, остановка процесса — без участия человека
Доверьте развертывание Defender for Endpoint профессионалам
Наши инженеры настроят всё быстро и надёжно. Более 15 лет опыта, работа с юрлицами, договор, SLA. Не тратьте время на эксперименты — звоните.
Как использовать Threat Hunting через KQL?
// Подозрительные PowerShell-команды за 7 дней
DeviceProcessEvents
| where Timestamp > ago(7d)
| where FileName == "powershell.exe"
| where ProcessCommandLine has_any ("-enc", "bypass", "downloadstring", "iex")
| project Timestamp, DeviceName, AccountName, ProcessCommandLine
// Lateral movement через PsExec
DeviceProcessEvents
| where Timestamp > ago(7d)
| where FileName == "psexec.exe"
| project Timestamp, DeviceName, ProcessCommandLine
// Подозрительные сетевые подключения
DeviceNetworkEvents
| where RemotePort in (4444, 5555, 8888, 9001)
| project Timestamp, DeviceName, RemoteIP, RemotePort
Как настроить Web Content Filtering?
Фильтрация веб-трафика настраивается прямо в Security Center — никакого прокси-сервера, никаких лишних агентов. Фишинговые сайты, торренты, азартные игры, сайты для взрослых — всё блокируется по категориям. На практике у одного клиента мы закрыли торренты за 15 минут после того, как они два года безуспешно боролись с этим через сторонние решения.
Как интегрировать с SIEM?
- Microsoft Sentinel: нативная интеграция — буквально несколько кликов
- Splunk: подключается через API, работает стабильно
- Elasticsearch: через Logstash — чуть больше возни, но реализуемо
Какие типичные ошибки?
- Не включены ASR-правила — а значит, половина защиты просто не работает
- Широкие исключения — malware маскируется под исключённые пути, и Defender его не трогает
- Нет уведомлений — алерты накапливаются неделями, никто не смотрит, угроза живёт внутри периметра
- Отсутствие процесса Incident Response — когда случается инцидент, все бегают и не знают, кто что делает
Как правильно настроить исключения без ущерба для безопасности?
Исключения — больная тема. Без них 1С и ряд других бизнес-приложений начинают тормозить, и пользователи сразу жалуются. Но широкие исключения — это дыры, которыми malware пользуется осознанно. Наша практика: исключать конкретные процессы по хешу, а не по пути. Путь можно подменить, хеш — нет. Исключённые пути при этом ставьте под мониторинг через Indicators of Compromise (IoC) в Security Center. И раз в квартал — обязательный пересмотр списка исключений. Без этого через год там будет такой зоопарк, что разобраться сложнее, чем с нуля всё настроить.
Когда обратиться к профессионалам?
- Нужно развернуть EDR на 50+ рабочих мест — и сделать это быстро, без боли
- Уже произошёл инцидент безопасности и нужно срочно разобраться
- Нужен честный аудит текущей конфигурации — без прикрас
- Нужна настройка ASR без ложных срабатываний, которые парализуют работу
Часто задаваемые вопросы
Defender for Endpoint бесплатный?
Базовый Defender Antivirus — да. EDR требует лицензию Microsoft 365 E3/E5 или Business Premium.
Нужен ли сторонний антивирус?
Нет. Defender for Endpoint — полноценное EDR, превосходящее большинство сторонних антивирусов.
Работает ли на Linux и macOS?
Да, MDE поддерживает Windows, macOS, Linux, Android и iOS.
Что такое ASR-правила?
Attack Surface Reduction — правила, блокирующие типичные техники атак: exe из email, макросы Office, обфусцированные скрипты.
Как быстро обнаруживает угрозы?
В реальном времени. Microsoft обрабатывает 65 триллионов сигналов ежедневно.
ООО «АйТи Фреш» возьмёт это на себя
Не хватает времени или своих специалистов — мы настроим, оптимизируем и возьмём вашу IT-инфраструктуру на постоянное сопровождение. Работаем с юридическими лицами в Москве и регионах. Собственный дата-центр, команда из 8 серверов Dell Xeon Platinum 8280 на базе МТС.