Microsoft Defender for Identity im Microsoft Defender-Portal
Hinweis
Möchten Sie Microsoft Defender XDR erleben? Erfahren Sie mehr darüber, wie Sie Microsoft Defender XDR evaluieren und pilotieren können.
Gilt für:
Microsoft Defender for Identity ist jetzt Teil des Microsoft Defender-Portals, der Startseite zum Überwachen und Verwalten der Sicherheit für Ihre Microsoft-Identitäten, -Daten, -Geräte, -Apps und -Infrastruktur. Das Microsoft Defender-Portal ermöglicht Es Sicherheitsadministratoren, ihre Sicherheitsaufgaben an einem Ort auszuführen, was Workflows und die Integration von Funktionen aus anderen Microsoft Defender XDR-Diensten vereinfacht.
Microsoft Defender for Identity trägt identitätsbezogene Informationen zu den Vorfällen und Warnungen bei, die im Microsoft Defender-Portal angezeigt werden. Diese Informationen sind entscheidend für die Bereitstellung von Kontext und die Korrelation von Warnungen aus den anderen Produkten innerhalb Microsoft Defender XDR.
Zusammengeführte Erfahrungen im Microsoft Defender-Portal
Das Microsoft Defender-Portal kombiniert Sicherheitsfunktionen, die E-Mail-, Zusammenarbeits-, Identitäts- und Gerätebedrohungen schützen, erkennen, untersuchen und darauf reagieren, und umfasst jetzt alle Funktionen, die im klassischen Defender for Identity-Legacyportal bereitgestellt werden.
Obwohl sich die Datenplatzierung vom klassischen Defender for Identity-Portal unterscheiden kann, sind Ihre Daten jetzt in die Portalseiten der Microsoft Defender integriert, sodass Sie Ihre Daten für alle überwachten Entitäten anzeigen können.
In den folgenden Abschnitten werden erweiterte Defender for Identity-Features beschrieben, die im Portal Microsoft Defender enthalten sind.
Hinweis
Kunden, die das klassische Defender for Identity-Portal verwenden, werden jetzt automatisch zum Microsoft Defender-Portal umgeleitet, ohne dass rückgängig machen zurück zum klassischen Portal möglich ist.
Konfiguration und Status
| Bereich | Beschreibung |
|---|---|
| Globale Ausschlüsse | Mit globalen Ausschlüssen können Sie bestimmte Entitäten wie IP-Adressen, Geräte oder Domänen definieren, die für alle Defender for Identity-Erkennungen ausgeschlossen werden sollen. Wenn Sie beispielsweise nur ein Gerät ausschließen, gilt der Ausschluss nur für Erkennungen, die im Rahmen der Erkennung eine Geräteidentifikation aufweisen. Weitere Informationen finden Sie unter Global ausgeschlossene Entitäten. |
| Verwalten von Aktions- und Verzeichnisdienstkonten | Möglicherweise möchten Sie auf kompromittierte Benutzer reagieren, indem Sie deren Konten deaktivieren oder ihr Kennwort zurücksetzen. Wenn Sie eine dieser Aktionen ausführen, wird das Microsoft Defender-Portal standardmäßig für die Verwendung des lokalen Systemkontos konfiguriert. Daher müssen Sie nur die Einstellungen für Aktions- und Verzeichnisdienstkonten konfigurieren, wenn Sie mehr Kontrolle haben möchten, und ein anderes Benutzerkonto definieren, um Benutzerwartungsaktionen auszuführen. Weitere Informationen finden Sie unter Microsoft Defender for Identity Aktionskonten. |
| Benutzerdefinierte Berechtigungsrollen | Das Microsoft Defender-Portal unterstützt benutzerdefinierte Berechtigungsrollen. Weitere Informationen finden Sie unter Microsoft Defender XDR rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). |
| Microsoft-Sicherheitsbewertung | Defender for Identity-Sicherheitsstatusbewertungen sind in der Microsoft-Sicherheitsbewertung verfügbar. Jede Bewertung ist ein herunterladbarer Bericht mit Gebrauchsanweisungen und Tools zum Erstellen eines Aktionsplans zur Behebung oder Behebung des Problems. Filtern Sie die Microsoft-Sicherheitsbewertung nach Identität , um Defender for Identity-Bewertungen anzuzeigen. Weitere Informationen finden Sie unter Sicherheitsstatusbewertungen von Microsoft Defender for Identity. |
| API | Verwenden Sie eine der folgenden Microsoft Defender XDR-APIs mit Defender for Identity: - Abfragen von Aktivitäten über die API - Verwalten von Sicherheitswarnungen über die API - Stream von Sicherheitswarnungen und -aktivitäten in Microsoft Sentinel Tipp: Im Microsoft Defender-Portal werden 30 Tage lang nur erweiterte Huntingdaten gespeichert. Wenn Sie längere Aufbewahrungszeiträume benötigen, streamen Sie die Aktivitäten an Microsoft Sentinel oder ein anderes SIEM-System (Security Information and Event Management) von Partnern. |
| Onboarding | Das Onboarding von Defender for Identity erfolgt jetzt automatisch für neue Kunden, ohne dass ein Arbeitsbereich konfiguriert werden muss. Wenn Sie Ihre instance löschen müssen, öffnen Sie eine Microsoft-Supportanfrage. |
Untersuchung
| Bereich | Beschreibung |
|---|---|
| Bereich "Identitäten" | Erweitern Sie im Portal Microsoft Defender den Bereich Identitäten, um ein Dashboard mit Diagrammen und Widgets mit häufig verwendeten Daten, eine Seite Mit Integritätsproblemen, eine Liste aller Integritätsprobleme für Ihre Defender for Identity-Bereitstellung und eine Seite Tools mit Links zu häufig verwendeten Tools und Dokumentation anzuzeigen. Weitere Informationen finden Sie unter Anzeigen der ITDR-Dashboard und Defender for Identity-Integritätsprobleme. |
| Seite "Identität" | Die Seite mit den Identitätsdetails Microsoft Defender-Portals enthält umfassende Daten zu jeder Identität, z. B.: – Alle zugeordneten Warnungen – Active Directory-Kontosteuerung - Riskante Lateral Movement-Pfade - Eine Zeitleiste von Aktivitäten und Warnungen – Details zu beobachteten Standorten, Geräten und Gruppen. Weitere Informationen finden Sie unter Untersuchen von Benutzern im Microsoft Defender-Portal. |
| Seite "Gerät" | Die Microsoft Defender Portal-Warnungsbeweis listet alle Geräte und Benutzer auf, die mit jeder verdächtigen Aktivität verbunden sind. Untersuchen Sie dies weiter, indem Sie ein bestimmtes Gerät in einer Warnung auswählen, um auf eine Gerätedetailseite zuzugreifen. Weitere Informationen finden Sie unter Untersuchen von Geräten in der Liste Microsoft Defender for Endpoint Geräte. |
| Erweiterte Suche | Das Microsoft Defender-Portal unterstützt Sie bei der proaktiven Suche nach Bedrohungen und schädlichen Aktivitäten mithilfe erweiterter Suchabfragen. Diese leistungsstarken Abfragen können verwendet werden, um Bedrohungsindikatoren und Entitäten für bekannte und potenzielle Bedrohungen zu finden und zu überprüfen. Erstellen Sie benutzerdefinierte Erkennungsregeln aus erweiterten Huntingabfragen, damit Sie proaktiv für Ereignisse watch, die auf Sicherheitsverletzungen und falsch konfigurierte Geräte hindeuten können. Weitere Informationen finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche im Microsoft Defender-Portal. |
| Globale Suche | Verwenden Sie die Suchleiste oben auf der Microsoft Defender Portalseite, um nach einer Entität zu suchen, die von Microsoft Defender XDR überwacht wird, einschließlich Identitäten, Endpunkten, Office 365 Daten, Active Directory-Gruppen (Vorschau) und mehr. Wählen Sie ergebnisse direkt aus der Such-Dropdownliste aus, oder wählen Sie Alle Benutzer oder Alle Geräte aus, um alle Entitäten anzuzeigen, die einem bestimmten Suchbegriff zugeordnet sind. |
| Laterale Bewegungspfade | Das Microsoft Defender-Portal stellt Neben der Registerkarte Lateral Movement-Pfadpfade auf der Seite Erweiterte Suche und der Sicherheitsbewertung laterale Bewegungspfade auf der Seite mit den Benutzerdetails auch Daten zu Lateral Movement-Pfaden bereit. Weitere Informationen finden Sie unter Verstehen und Untersuchen von Lateral Movement-Pfaden (LMPs) mit Microsoft Defender for Identity. |
Erkennung und Reaktion
| Bereich | Beschreibung |
|---|---|
| Warnungs- und Incidentkorrelation | Defender for Identity-Warnungen sind jetzt in der Warnungswarteschlange des Microsoft Defender-Portals enthalten, sodass sie für die automatisierte Incidentkorrelation verfügbar sind. Zeigen Sie alle Warnungen an einem Ort an, und ermitteln Sie den Umfang der Sicherheitsverletzung noch schneller als zuvor. Weitere Informationen finden Sie unter Untersuchen von Defender for Identity-Warnungen im Microsoft Defender-Portal. |
| Warnungsausschlüsse | Die Warnungsschnittstelle des Microsoft Defender Portals ist benutzerfreundlicher und enthält eine Suchfunktion und globale Ausschlüsse, was bedeutet, dass Sie jede Entität von allen warnungen ausschließen können, die von Defender for Identity generiert werden. Weitere Informationen finden Sie unter Konfigurieren von Defender for Identity-Erkennungsausschlüssen in Microsoft Defender XDR. |
| Warnungsoptimierung | Mit der Warnungsoptimierung, früher als Warnungsunterdrückung bezeichnet, können Sie Ihre Warnungen anpassen und optimieren. Die Warnungsoptimierung reduziert falsch positive Ergebnisse, sodass sich Ihre SOC-Teams auf Warnungen mit hoher Priorität konzentrieren können, und verbessert die Abdeckung der Bedrohungserkennung im gesamten System. Erstellen Sie in Microsoft Defender XDR Regelbedingungen basierend auf Beweistypen, und wenden Sie ihre Regel dann auf jeden Regeltyp an, der Ihren Bedingungen entspricht. Weitere Informationen finden Sie unter Optimieren einer Warnung. |
| Wartungsaktionen | Defender for Identity-Korrekturaktionen, z. B. das Deaktivieren von Konten oder das Erfordern von Kennwortzurücksetzungen, sind auf der Seite mit den Benutzerdetails des Microsoft Defender-Portals verfügbar. Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender for Identity. |
Kurzübersicht
In der folgenden Tabelle sind die Änderungen bei der Navigation zwischen Microsoft Defender for Identity und dem Microsoft Defender-Portal aufgeführt.
| Defender für Identität | Das Microsoft Defender-Portal |
|---|---|
| Timeline | – Microsoft Defender Warteschlange für Warnungen/Vorfälle im Portal |
| Berichte | Die folgenden Arten von Berichten sind über dieBerichtsverwaltungsseite "Berichtsidentitäten>>" im Microsoft Defender-Portal verfügbar, entweder für den sofortigen Download oder für eine regelmäßige E-Mail-Zustellung geplant: - Einen zusammenfassenden Bericht über Warnungen und Integritätsprobleme, die Sie behandeln sollten. – Eine Liste jedes Mal, wenn eine Änderung an sensiblen Gruppen vorgenommen wird. – Eine Liste der Quellcomputer- und Kontokennwörter, die als gesendet in Klartext erkannt werden. – Eine Liste der sensiblen Konten, die in Lateral Movement-Pfaden verfügbar gemacht werden. Weitere Informationen finden Sie unter Berichtsverwaltung. |
| Seite "Identität" | Seite mit benutzerdetails im Microsoft Defender-Portal |
| Seite "Gerät" | Microsoft Defender-Portal– Seite mit Gerätedetails |
| Seite "Gruppe" | Seitenbereich Microsoft Defender Portalgruppen |
| Warnungsseite | Microsoft Defender Seite mit Warnungsdetails im Portal Tipp: Verwenden Sie die Warnungsoptimierung, um die Warnungen zu optimieren, die im Microsoft Defender-Portal angezeigt werden. |
| Search | globale Suche im Microsoft Defender-Portal |
| Integritätsprobleme | Identitätsintegritätsprobleme > im Microsoft Defender-Portal |
| Entitätsaktivitäten | - Erweiterte Suche – Zeitachse der Geräteseite > – Registerkarte "Zeitachse" auf der Seite > "Identität" - Registerkarte "Zeitachse" im Gruppenbereich> |
| Einstellungen | Einstellungen ->Identitäten |
| Benutzer und Konten | Assets –>Identitäten |
| Identitätssicherheitsstatus | Sicherheitsstatusbewertungen von Microsoft Defender for Identity |
| Onboarding eines neuen Arbeitsbereichs | Einstellungen ->Identitäten (automatisch) |
| Info | Einstellungen > Identitäten > Info |
Nächste Schritte
Weitere Informationen finden Sie unter:
- Verwandte Videos für Microsoft Defender for Identity
- Microsoft Defender XDR
- Microsoft Defender for Identity
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für