Microsoft Defender for Endpoint (MDE) är Microsofts lösning för att skydda klienter och servrar mot skadlig kod och cyberattacker. Dessutom är det en av de centrala byggstenarna i Microsofts säkerhetsplattform Defender XDR.
I den här bloggserien går jag igenom hur du kommer igång med MDE och får en bra grundkonfiguration som passar de flesta organisationer. Fokus ligger på praktiska exempel, så att du snabbt kommer igång och kan stärka skyddet i din miljö.
När vi har gått igenom MDE kommer jag även att titta närmare på andra delar i Defender XDR, till exempel Defender for Office 365 och Defender for Cloud Apps – och hur de tillsammans bildar en helhet för att bygga ett heltäckande skydd mot moderna hot.
Delar i serien
Här är en översikt över vad som kommer i resten av serien. Jag uppdaterar länkarna löpande allteftersom nya delar blir publicerade.
- Del 1 – Kom igång (den här artikeln)
- Del 2 – Advanced features
- Del 3 – Antivirus & Intune-portalen
- Del 4 – ASR-regler
- Del 5 – Onboarding av enheter, device groups och RBAC-modellen
- Del 6 – EDR, AIR, advanced hunting och incidenthantering
Vilken version av Defender for Endpoint behöver du?
Defender for Endpoint finns i tre olika versioner:
- Plan 1 – Grundläggande skydd med antivirus och ASR
- Defender for Business – Ingår i Microsoft 365 Business Premium (passar bra för små och medelstora företag)
- Plan 2 – Avancerat skydd med samtliga säkerhetsfunktioner
| Funktion | Plan 1 | Defender for Business | Plan 2 |
|---|---|---|---|
| Next Gen Protection | ✅ | ✅ | ✅ |
| Attack Surface Reduction | ✅ | ✅ | ✅ |
| Endpoint Detection & Response (EDR) | ❌ | ✅ | ✅ |
| Threat Analytics | ❌ | ✅ | ✅ |
| Vulnerability Management | ❌ | ✅ | ✅ |
| Automated investigation and response (AIR) | ❌ | ✅ | ✅ |
| Advanced Hunting (KQL queries) | ❌ | ❌ | ✅ |
Min erfarenhet är att många företag använder Plan 1 eftersom det ingår i Microsoft 365 E3. Det täcker de mest grundläggande delarna, men för att stå emot dagens attacker räcker det inte med antivirus. För ett komplett skydd behöver du EDR som analyserar beteenden och upptäcker mer avancerade hot.
Endpoint Detection & Response hjälper till att upptäcka, analysera och åtgärda hot som tagit sig förbi traditionellt antivirus.
Ett vanligt antivirus blockerar kända skadliga filer, medan en EDR analyserar beteenden och kontext — till exempel att ett Office-program plötsligt startar PowerShell och gör ovanliga nätverksanrop.
I den här serien använder jag Defender for Business eftersom det ingår i Microsoft 365 Business Premium. Det är ett prisvärt alternativ som innehåller det mesta en mindre organisation behöver. Det enda jag saknar är möjligheten att köra avancerade KQL-frågor. Vill man ha den funktionen behöver man köpa till Defender for Endpoint Plan 2 som innehåller all funktionalitet.
Kom igång med Defender
Steg 1 – Logga in i Defender-portalen
För att komma igång, öppna Defender-portalen och logga in. Vid första inloggningen kan det vara bra att använda ett konto med rollen Global Administrator eller Security Administrator. Det säkerställer att du har rätt behörighet för att köra den initiala setup-guiden.
⚠️ Obs: När du loggar in för första gången kan det hända att alla menyer inte visas direkt. Du kan även få upp felmeddelanden eller ett meddelande som liknar detta:
Detta beror på att tjänsten håller på att startas upp för din organisation. Vanligtvis är detta klart på några minuter.
När tjänsten är redo visas guiden ”Welcome to Microsoft Defender for Business”. Klicka på ”Get started” för att starta setup-guiden.
Steg 2 – Tilldela behörigheter
På sidan ”Let’s give people access” konfigurerar du vilka användare som ska få rollerna ”Security Administrator” eller ”Security Reader”.
Dessa är fördefinierade roller i Microsoft Entra ID som ger generell behörighet till olika säkerhetsfunktioner. Utöver dessa har Defender XDR även sin egen RBAC-modell som ger möjlighet till mer detaljerad behörighetsstyrning. Men vi återkommer till detta senare under bloggserien.
Security Administrator rekommenderas för den eller de som ska konfigurera Defender for Endpoint, hantera policys, onboarda enheter och agera på incidenter.
Security Reader passar bra för helpdesk eller IT-tekniker som behöver kunna se incidenter och enheternas status, men som inte ska kunna vidta åtgärder.
💡 Tips: Om du inte är säker på vilka användare eller grupper som ska ha vilken behörighet kan du enkelt justera dessa roller i efterhand via Entra ID.
Steg 3 – Sätt upp e-postnotiser
Jag rekommenderar att man sätter upp en delad postlåda, till exempel security@företag.se, så att flera i teamet blir notifierade när en incident uppstår. Den här lösningen fungerar bra för mindre organisationer som inte får så många incidenter.
För större miljöer är e-post sällan tillräckligt. Då använder man ofta Microsoft Sentinel eller andra SIEM-lösningar för att integrera notiser med till exempel Teams, Slack eller ett ärendehanteringssystem.
Steg 4 – Hoppa över onboarding tills vidare
Därefter finns det möjlighet att börja med onboarding. Jag avvaktar med detta och väljer att slutföra alla grundläggande inställningar först. Del tre i bloggserien kommer att fokusera helt på olika alternativ för onboarding.
💡 Tips: I guiden kan du bara lägga till Windows-enheter. Vill du lägga till andra operativsystem måste du göra det efter att guiden är slutförd.
Steg 5 – Aktivera standardpolicys
Sista steget är att aktivera standardpolicys för antivirus och brandvägg. Klicka på ”Continue” för att låta guiden skapa dessa automatiskt.
💡 Tips: Standardpolicys fungerar ofta bra för de flesta miljöer. Du kan antingen använda dem som de är, eller använda dem som en grund när du vill skapa egna policys.
När konfigurationen är klar kan det hända att följande felmeddelande visas:
Something went wrong, and we couldn’t complete your setup process. There’s an integration issue between Defender for Business and Microsoft Endpoint Manager.
Detta felmeddelande innebär att det inte finns någon koppling mellan Defender for Business och Microsoft Intune, vilket är helt rimligt eftersom vi inte satt upp den integrationen än. Vi återkommer till detta i nästa del av serien.
Vad är nästa steg?
Setup-guiden täcker det mest grundläggande, men det finns fler inställningar som är värda att se över. I nästa inlägg i bloggserien går jag igenom ”Advanced features” där du kan anpassa Defender for Endpoint efter dina behov. Det handlar bland annat om:
- EDR in block mode
- Tamper Protection
- Web content filtering
- Device discovery
- Live response
- Microsoft Defender for Cloud Apps
- Custom indicators
- … och flera andra funktioner som är bra att känna till
Där går jag igenom vad du bör aktivera, varför — och vad du kan låta vara avstängt beroende på hur din organisation arbetar.
Lämna ett svar