Microsoft Defender for Endpoint: Onboard thiết bị, cấu hình ASR rules, và kết nối vào Zero Trust

Chào các bạn!

Ở 3 bài trước, mình đã xây xong lớp bảo vệ cho Identity – MFA, Conditional Access, và PIM. Nhưng Zero Trust không dừng ở đó.

Hãy tưởng tượng: người dùng đã xác thực đúng, đã qua MFA, nhưng thiết bị họ đang dùng đang chạy một ransomware đã nằm im từ 3 tuần trước, chờ đúng lúc này để kích hoạt. Identity đã được bảo vệ – nhưng endpoint thì không.

Đó là lý do trụ cột thứ 2 trong Zero Trust là Endpoints. Và Microsoft Defender for Endpoint (MDE) là công cụ để bảo vệ trụ cột đó.

Bài này mình sẽ hướng dẫn onboard thiết bị Windows và macOS vào MDE, cấu hình Attack Surface Reduction rules để chặn các vector tấn công phổ biến, và quan trọng nhất – kết nối tín hiệu bảo mật của endpoint vào Conditional Access để hoàn thiện vòng lặp Zero Trust.

MDE làm được gì

Trước khi vào lab, cần hiểu MDE là gì và không phải là gì.

MDE không phải chỉ là antivirus. Đây là một nền tảng EDR (Endpoint Detection and Response) với các khả năng:

Threat & Vulnerability Management – quét liên tục, phát hiện lỗ hổng trên thiết bị theo thời gian thực
Attack Surface Reduction (ASR) – chặn các hành vi nguy hiểm trước khi malware kịp chạy
Next-gen protection – giám sát hành vi, bảo vệ qua đám mây, học máy
Endpoint Detection & Response (EDR) – phát hiện tấn công nâng cao, forensics, threat hunting
Automated investigation & remediation – tự động điều tra và xử lý các alert mức thấp
Device health signal – báo cáo trạng thái thiết bị cho Intune và Conditional Access

Trong bài này mình tập trung vào phần onboard, ASR, và kết nối với Conditional Access. Phần EDR và threat hunting sẽ có trong các bài tiếp theo.

Điều kiện cần

Yêu cầu	Chi tiết
License MDE	Microsoft 365 Business Premium, M365 E3/E5, hoặc Defender for Endpoint Plan 1/Plan 2 riêng lẻ
License Intune	Cần để onboard qua MDM — có trong Business Premium, E3/E5
Hệ điều hành hỗ trợ	Windows 10/11, Windows Server 2012 R2+, macOS 11+, Linux, iOS, Android
Quyền cấu hình	Security Administrator hoặc Global Administrator

Plan 1 vs Plan 2: Plan 1 có ASR, next-gen protection, và device health. Plan 2 thêm EDR, threat hunting, automated investigation. Bài này dùng được cả 2, nhưng một số tính năng nâng cao (EDR, advanced hunting) cần Plan 2.

Bước 1: Bật MDE và kết nối với Intune

Trước khi onboard thiết bị, cần kết nối MDE với Intune để thiết bị onboard tự động và compliance signal được chia sẻ.

Vào Microsoft Defender portal tại security.microsoft.com
Settings → Endpoints → Advanced features
Bật các tính năng sau:
- Microsoft Intune connection → On
- Conditional Access → On
- Microsoft Defender for Cloud Apps → On (nếu có license)

Bấm Save preferences
Kiểm tra lại phía Intune: vào intune.microsoft.com → Endpoint security → Microsoft Defender for Endpoint → trạng thái phải hiển thị Connected

Bước 2: Onboard thiết bị Windows

Có nhiều cách onboard. Với doanh nghiệp dùng Intune, dùng Intune policy là cách tốt nhất – tự động onboard toàn bộ thiết bị mà không cần can thiệp thủ công từng máy.

Cách 1: Onboard qua Intune (khuyên dùng)

Vào Intune → Endpoint security → Endpoint detection and response → + Create policy
Platform: Windows 10, Windows 11, and Windows Server
Profile: Endpoint detection and response
Đặt tên: MDE Onboarding - Windows
Cấu hình:
- Microsoft Defender for Endpoint client configuration package type: Onboard
- Các cài đặt còn lại để mặc định
Assignments: gán cho nhóm thiết bị Windows (All Devices hoặc nhóm cụ thể)
Lưu và deploy

Sau khi policy sync (thường 15-30 phút), thiết bị tự động onboard vào MDE.

Cách 2: Onboard thủ công một thiết bị (dùng để test)

Nếu chỉ muốn test nhanh với một máy:

Vào Defender portal → Settings → Endpoints → Onboarding
Chọn Windows 10 and 11
Deployment method: Local Script
Download file WindowsDefenderATPOnboardingPackage.zip
Giải nén, chạy WindowsDefenderATPLocalOnboardingScript.cmd với quyền admin

Bước 3: Onboard thiết bị macOS

macOS cần thêm vài bước vì phải cấp quyền hệ thống cho Defender.

Onboard macOS qua Intune

Vào Intune → Apps → + Add
App type: macOS → Microsoft Defender for Endpoint
Gán cho nhóm user macOS → Deploy
Tạo thêm Configuration profiles để cấp các quyền cần thiết. Vào Intune → Devices → Configuration profiles → + Create → macOS → Templates → Custom

Cần tạo 3 profile:

System Extensions – cho phép Defender extension chạy ở kernel level
Full Disk Access – cho phép Defender đọc toàn bộ file system
Network Filter – cho phép Defender inspect network traffic

Lưu ý macOS: Nếu không deploy đủ 3 profile này, Defender sẽ install được nhưng hiển thị warning và không hoạt động đầy đủ. Đây là lỗi phổ biến nhất khi onboard macOS lần đầu.

Sau khi app và profiles được deploy, user mở Microsoft Defender trên macOS → đăng nhập bằng tài khoản Microsoft 365 → hoàn tất onboarding

Bước 4: Kiểm tra thiết bị đã onboard thành công

Vào Defender portal → Assets → Devices
Thiết bị vừa onboard sẽ xuất hiện trong danh sách sau 5-30 phút

Mỗi thiết bị hiển thị:

Risk level: None / Low / Medium / High / Critical
Health state: Active / Inactive / Impaired / No sensor data
OS platform và OS version
Last seen

Nếu thiết bị hiện “No sensor data” sau 30 phút, kiểm tra:

Script onboarding đã chạy thành công chưa
Defender service có đang chạy không (services.msc → tìm “Microsoft Defender Advanced Threat Protection Service”)
Firewall không block endpoint MDE (*.endpoint.security.microsoft.com, *.wdcp.microsoft.com)

Bước 5: Cấu hình Attack Surface Reduction rules

ASR rules là tính năng mình đánh giá cao nhất trong MDE – chặn các hành vi nguy hiểm trước khi chúng thực thi, không cần biết signature của malware cụ thể.

Ví dụ một số rule:

Block Office apps from creating executable content (phòng macro độc hại)
Block JavaScript or VBScript from launching downloaded executable content
Block credential stealing from Windows local security authority subsystem
Block process creations originating from PSExec and WMI commands
Use advanced protection against ransomware

Cấu hình ASR qua Intune

Vào Intune → Endpoint security → Attack surface reduction → + Create policy
Platform: Windows 10, Windows 11, and Windows Server
Profile: Attack surface reduction rules
Đặt tên: ASR Rules - Corp Devices

Cấu hình các rules — mình khuyên dùng theo 2 giai đoạn:

Giai đoạn 1 (Audit mode – 2 tuần đầu): Đặt tất cả rule sang Audit để xem rule nào sẽ trigger trên môi trường thực tế của bạn mà không block gì cả.

Giai đoạn 2 (Block mode): Sau khi review audit log và xác nhận không có false positive, chuyển sang Block.

Bảng rules khuyên dùng:

ASR Rule	Mode khuyên dùng
Block executable content from email client and webmail	Block
Block all Office apps from creating child processes	Block
Block Office apps from creating executable content	Block
Block Office apps from injecting code into other processes	Block
Block JavaScript or VBScript from launching downloaded executable content	Block
Block execution of potentially obfuscated scripts	Block
Block Win32 API calls from Office macros	Block
Block credential stealing from LSASS	Block
Block process creations from PSExec and WMI commands	Audit (có thể conflict với IT scripts)
Block untrusted and unsigned processes from USB	Block
Use advanced protection against ransomware	Block
Block persistence through WMI event subscription	Block

Assignments: gán cho nhóm thiết bị Windows → Save

Xem kết quả ASR trong Defender portal

Sau khi deploy, vào Defender portal → Reports → Attack surface reduction rules để xem:

Bao nhiêu lần rule đã trigger
Rule nào trigger nhiều nhất
Thiết bị nào bị ảnh hưởng
File hoặc process nào bị block hoặc audit

Lưu ý quan trọng: Rule “Block process creations from PSExec and WMI commands” thường gây vấn đề với các script IT automation (SCCM, RMM tools). Để Audit ít nhất 2 tuần trước khi Block, và thêm exclusion path nếu cần.

Bước 6: Cấu hình next-gen protection

Ngoài ASR, cần đảm bảo các tính năng bảo vệ realtime được bật đúng cách.

Vào Intune → Endpoint security → Antivirus → + Create policy
Platform: Windows 10, Windows 11, and Windows Server
Profile: Microsoft Defender Antivirus
Đặt tên: Defender AV - Corp Devices
Cấu hình:

Cài đặt	Giá trị
Cloud-delivered protection	Enabled
Cloud protection level	High
Automatic sample submission	Send safe samples automatically
Real-time protection	Enabled
Behavior monitoring	Enabled
Scan all downloaded files and attachments	Enabled
Turn on script scanning	Enabled
Network protection	Enabled (Block mode)
PUA protection	Enabled (Block)

Gán cho nhóm thiết bị → Save

Bước 7: Kết nối tín hiệu MDE vào Conditional Access

Đây là bước hoàn thiện vòng lặp Zero Trust: thiết bị có nguy cơ cao → tự động bị chặn truy cập vào dữ liệu doanh nghiệp.

7a. Tạo device compliance policy trong Intune dựa trên MDE

Vào Intune → Devices → Compliance policies → + Create policy
Platform: Windows 10 and later
Đặt tên: Compliance - MDE Risk Level
Trong phần Microsoft Defender for Endpoint:
- Require the device to be at or under the machine risk score: Chọn Low

Gán cho nhóm thiết bị → Save

Với cài đặt này:

Thiết bị có MDE risk level None hoặc Low → Compliant
Thiết bị có risk level Medium, High, Critical → Not compliant

7b. Conditional Access tự động block thiết bị có risk cao

Nhớ lại policy CA005 từ bài 2 – “Require compliant device”. Policy đó đã kết nối với Intune compliance. Giờ Intune compliance đã phụ thuộc vào MDE risk level, nên chuỗi logic là:

MDE phát hiện malware trên thiết bị
    → MDE risk level tăng lên High
        → Intune đánh dấu thiết bị Not compliant
            → CA005 block thiết bị truy cập SharePoint/Exchange/Teams
                → User bị đá ra khỏi ứng dụng doanh nghiệp

Tất cả tự động. Không cần admin can thiệp thủ công.

7c. Kiểm tra chuỗi hoạt động đúng

Để test (dùng tenant demo, không dùng môi trường production):

Vào Defender portal → Assets → Devices → chọn một thiết bị test
Actions → Manage tags → thêm tag test
Trong Defender portal → Settings → Endpoints → Advanced features → tìm option simulate alert (hoặc dùng EICAR test ở bước tiếp theo)

Cách đơn giản hơn: dùng EICAR test file ở bước 8.

Bước 8: Test với EICAR file

EICAR là file test chuẩn công nghiệp — không phải virus thật nhưng mọi antivirus engine đều nhận diện và block. Dùng để xác nhận MDE đang hoạt động.

Trên thiết bị đã onboard, mở Notepad
Paste đoạn text sau:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Lưu file với tên eicar_test.com
Defender phải ngay lập tức phát hiện và xóa file → alert xuất hiện trong Defender portal
Vào Defender portal → Incidents & alerts → Alerts → xem alert vừa tạo

Click vào alert → xem chi tiết: file path, process tree, timeline

Bước 9: Xem Secure Score cho Endpoints

Tương tự Identity Secure Score ở bài 1, MDE có Secure Score for Devices – đánh giá cấu hình bảo mật của toàn bộ thiết bị và gợi ý cải thiện.

Vào Defender portal → Secure score → tab Devices
Xem danh sách Improvement actions – mỗi action có:
- Số điểm sẽ tăng nếu thực hiện
- Số thiết bị bị ảnh hưởng
- Link đến hướng dẫn remediation

Ưu tiên làm các action có điểm cao và số thiết bị bị ảnh hưởng nhiều trước.

Tổng kết những gì đã làm

Sau bài này, môi trường của bạn đã có:

MDE kết nối với Intune – thiết bị onboard tự động, compliance signal được chia sẻ
Thiết bị Windows và macOS đang được monitor bởi MDE 24/7
ASR rules chặn các vector tấn công phổ biến nhất (macro, script, LSASS dump…)
Next-gen protection với cloud-delivered protection và behavioral monitoring
Vòng lặp Zero Trust khép kín: MDE risk cao → Intune not compliant → Conditional Access block → user bị đá ra khỏi ứng dụng tự động
Bằng chứng MDE hoạt động qua EICAR test

Tài liệu tham khảo

Bài viết có gì chưa rõ hoặc bạn gặp lỗi ở bước nào, cứ để lại comment bên dưới — mình sẽ cập nhật bài.

Long Trần | khongkho.com