![](/wp-content/uploads/2023/10/endpoint-security-overview.png)
Olá pessoal, tudo bem? Vamos para nossa segunda parte sobre o setup inicial do Defender for Endpoint com INTUNE. Hoje nós vamos fazer o onboarding da um computador que esta ingressado no nosso dominio do Microsoft Entra ID. Como podemo ver nas imagens a seguir, nosso ambinete é cloud native, nós temos um grupo com um computador de membro e a pagina de devices vazia no portal do Defender.
![](/wp-content/uploads/2023/10/image-8-1024x660.png)
![](/wp-content/uploads/2023/10/image-6.png)
![](/wp-content/uploads/2023/10/image-7-1024x615.png)
A Microsoft vem recomendando usarmos politicas de EDR para efetuar o onboarding do Defender for Endpoint, por que? Porque por politicas de EDR já vai se criando uma linha de base de segurança recomendada.
Então vamos criar agora a nossa politica de detecção e resposta, para isso vamos em Endpoint Security > Endpoint Detection and Response > Create Policy.
![](/wp-content/uploads/2023/10/image-9-1024x575.png)
Escolhemos a plataforma, no nosso caso Windows 10 /11 e profile do tipo EDR, depois damos um nome e descrição.
![](/wp-content/uploads/2023/10/image-10-1024x529.png)
![](/wp-content/uploads/2023/10/image-11.png)
Nós vamos deixar marcado a opção Auto from Conector, como nosso defender esta integrado ao INTUNE ele vai pegar o pacote automaticamente do Defender e mandar para as máquinas. E vou deixar em All a opção Sample Sharing, que é compartilhar dados e amostras de ameaças com a Microsoft. Scope tags deixamos no default, e em atribuições incluimos o grupo LAB-INTUNE, onde esta nosso computador.
![](/wp-content/uploads/2023/10/image-12.png)
Revisamos e criamos.
![](/wp-content/uploads/2023/10/image-13.png)
Após alguns minutos o computador já apareceu no portal no Defender em devices. E já podemos ver na politica de EDR tambem.
![](/wp-content/uploads/2023/10/image-14-1024x501.png)
![](/wp-content/uploads/2023/10/image-15.png)
E pra finalizar, uma dica que eu acho legal fazer tambem. Na pagina de conexão com o Defender no nosso INTUNE se rolarmos para baixo temos um grafico que resume quais dispositivos estão com sensor do Defender for Endpoint e quais não foram não estão, para que esse grafico seja populado, precisamos criar uma outra politica de EDR usando o link que esta logo abaixo do grafico.
![](/wp-content/uploads/2023/10/image-16-1024x737.png)
![](/wp-content/uploads/2023/10/image-17-1024x759.png)
A configuração é muito parecida com a politica que criamos enteriormente, então só vou deixar os prints em sequencia.
![](/wp-content/uploads/2023/10/image-18.png)
Essa é a pagina de status dela, diferente da primeira, com mais detalhes.
![](/wp-content/uploads/2023/10/image-23.png)
Um detalhe que percebi ao longo das implementações e labs, é que qualquer uma dessas politicas funcionam para fazer onboarding nos devices. Confesso que fiquei confuso, e na minha opinião essa segunda opção é mais interessante por nos dar um relatório mais detalhado, porem se você precisa fazer o onboarding atravez de uma entrega via blob, somente a primeira politica tem a opção.
E mais um detalhe importante. As duas politicas juntas vão entrar em conflito e seus relatórios vai ficar sempre com um conflito aparecendo. Então sempre faça uma analise de qual lhe atende melhor e crie só uma.
E por fim lá nosso computador, vamos verificar se tudo esta ok. Podemos ver no Windows Defender que o usuario não pode mais fazer alterações.
![](/wp-content/uploads/2023/10/image-21.png)
Então é isso pessoal, espero que gostem e nos proximos posts teremos as configurações de Antivirus do Defender for Endpoint e Redução da Superficie de Ataque.