Microsoft Defender for Identity in Microsoft Defender XDR
Hinweis
Möchten Sie Microsoft Defender XDR erleben? Erfahren Sie mehr darüber, wie Sie Microsoft Defender XDR evaluieren und pilotieren können.
Gilt für:
Microsoft Defender for Identity ist jetzt Teil von Microsoft Defender XDR, dem Zuhause zum Überwachen und Verwalten der Sicherheit für Ihre Microsoft-Identitäten, -Daten, -Geräte, -Apps und -Infrastruktur. Das Microsoft Defender-Portal ermöglicht Es Sicherheitsadministratoren, ihre Sicherheitsaufgaben an einem Ort auszuführen, was Workflows und die Integration von Funktionen aus anderen Microsoft Defender XDR-Diensten vereinfacht.
Microsoft Defender for Identity trägt identitätsorientierte Informationen zu den Vorfällen und Warnungen bei, die Microsoft Defender XDR präsentiert. Diese Informationen sind entscheidend für die Bereitstellung von Kontext und die Korrelation von Warnungen aus den anderen Produkten innerhalb Microsoft Defender XDR.
Zusammengeführte Erfahrungen in Microsoft Defender XDR
Microsoft Defender XDR kombiniert Sicherheitsfunktionen, die E-Mail-, Zusammenarbeits-, Identitäts- und Gerätebedrohungen schützen, erkennen, untersuchen und darauf reagieren, und umfasst jetzt alle Funktionen, die im klassischen Defender for Identity-Legacyportal bereitgestellt werden.
Obwohl sich die Datenplatzierung möglicherweise vom klassischen Defender for Identity-Portal unterscheidet, sind Ihre Daten jetzt in Microsoft Defender XDR Seiten integriert, sodass Sie Ihre Daten für alle überwachten Entitäten anzeigen können.
In den folgenden Abschnitten werden die erweiterten Defender for Identity-Features in Microsoft Defender XDR beschrieben.
Hinweis
Kunden, die das klassische Defender for Identity-Portal verwenden, werden jetzt automatisch an Microsoft Defender XDR umgeleitet, ohne dass sie zum klassischen Portal rückgängig machen können.
Konfiguration und Status
| Bereich | Beschreibung |
|---|---|
| Globale Ausschlüsse | Mit globalen Ausschlüssen können Sie bestimmte Entitäten wie IP-Adressen, Geräte oder Domänen definieren, die für alle Defender for Identity-Erkennungen ausgeschlossen werden sollen. Wenn Sie beispielsweise nur ein Gerät ausschließen, gilt der Ausschluss nur für Erkennungen, die im Rahmen der Erkennung eine Geräteidentifikation aufweisen. Weitere Informationen finden Sie unter Global ausgeschlossene Entitäten. |
| Verwalten von Aktions- und Verzeichnisdienstkonten | Möglicherweise möchten Sie auf kompromittierte Benutzer reagieren, indem Sie deren Konten deaktivieren oder ihr Kennwort zurücksetzen. Wenn Sie eine dieser Aktionen ausführen, wird Microsoft Defender XDR standardmäßig für die Verwendung des lokalen Systemkontos konfiguriert. Daher müssen Sie nur die Einstellungen für Aktions- und Verzeichnisdienstkonten konfigurieren, wenn Sie mehr Kontrolle haben möchten, und ein anderes Benutzerkonto definieren, um Benutzerwartungsaktionen auszuführen. Weitere Informationen finden Sie unter Microsoft Defender for Identity Aktionskonten. |
| Benutzerdefinierte Berechtigungsrollen | Microsoft Defender XDR unterstützt benutzerdefinierte Berechtigungsrollen. Weitere Informationen finden Sie unter Microsoft Defender XDR rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). |
| Microsoft-Sicherheitsbewertung | Defender for Identity-Sicherheitsstatusbewertungen sind in der Microsoft-Sicherheitsbewertung verfügbar. Jede Bewertung ist ein herunterladbarer Bericht mit Gebrauchsanweisungen und Tools zum Erstellen eines Aktionsplans zur Behebung oder Behebung des Problems. Filtern Sie die Microsoft-Sicherheitsbewertung nach Identität , um Defender for Identity-Bewertungen anzuzeigen. Weitere Informationen finden Sie unter Sicherheitsstatusbewertungen von Microsoft Defender for Identity. |
| API | Verwenden Sie eine der folgenden Microsoft Defender XDR-APIs mit Defender for Identity: - Abfragen von Aktivitäten über die API - Verwalten von Sicherheitswarnungen über die API - Streamen von Sicherheitswarnungen und -aktivitäten an Microsoft Sentinel Tipp: Microsoft Defender XDR speichert erweiterte Huntingdaten nur für 30 Tage. Wenn Sie längere Aufbewahrungszeiträume benötigen, streamen Sie die Aktivitäten an Microsoft Sentinel oder ein anderes SIEM-System (Security Information and Event Management) von Partnern. |
| Onboarding | Das Onboarding von Defender for Identity erfolgt jetzt automatisch für neue Kunden, ohne dass ein Arbeitsbereich konfiguriert werden muss. Wenn Sie Ihre instance löschen müssen, öffnen Sie eine Microsoft-Supportanfrage. |
Untersuchung
| Bereich | Beschreibung |
|---|---|
| Seite "Identität" | Die Seite Microsoft Defender XDR Identitätsdetails enthält umfassende Daten zu jeder Identität, z. B.: – Alle zugeordneten Warnungen – Active Directory-Kontosteuerung - Riskante Lateral Movement-Pfade - Eine Zeitleiste von Aktivitäten und Warnungen - Details zu beobachteten Standorten, Geräten und Gruppen. Weitere Informationen finden Sie unter Untersuchen von Benutzern in Microsoft Defender XDR. |
| Seite "Gerät" | Microsoft Defender XDR Warnungsbeweis listet alle Geräte und Benutzer auf, die mit jeder verdächtigen Aktivität verbunden sind. Untersuchen Sie dies weiter, indem Sie ein bestimmtes Gerät in einer Warnung auswählen, um auf eine Gerätedetailseite zuzugreifen. Weitere Informationen finden Sie unter Untersuchen von Geräten in der Liste Microsoft Defender for Endpoint Geräte. |
| Erweiterte Suche | Microsoft Defender XDR unterstützt Sie bei der proaktiven Suche nach Bedrohungen und schädlichen Aktivitäten mithilfe erweiterter Hunting-Abfragen. Diese leistungsstarken Abfragen können verwendet werden, um Bedrohungsindikatoren und Entitäten für bekannte und potenzielle Bedrohungen zu finden und zu überprüfen. Erstellen Sie benutzerdefinierte Erkennungsregeln aus erweiterten Huntingabfragen, damit Sie proaktiv für Ereignisse watch, die auf Sicherheitsverletzungen und falsch konfigurierte Geräte hindeuten können. Weitere Informationen finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche in Microsoft Defender XDR. |
| Globale Suche | Verwenden Sie die Suchleiste oben auf der seite Microsoft Defender XDR, um nach einer Entität zu suchen, die von Microsoft Defender XDR überwacht wird, einschließlich Identitäten, Endpunkten, Office 365 Daten, Active Directory-Gruppen (Vorschau) und mehr. Wählen Sie ergebnisse direkt aus der Such-Dropdownliste aus, oder wählen Sie Alle Benutzer oder Alle Geräte aus, um alle Entitäten anzuzeigen, die einem bestimmten Suchbegriff zugeordnet sind. |
| Laterale Bewegungspfade | Microsoft Defender XDR stellt auf der Seite Erweiterte Suche und in der Sicherheitsbewertung laterale Bewegungspfade zusätzlich zur Registerkarte Lateral movement paths (Lateral Movement-Pfade) auf der Seite mit den Benutzerdetails Daten zu Lateral Movement-Pfaden bereit. Weitere Informationen finden Sie unter Verstehen und Untersuchen von Lateral Movement-Pfaden (LMPs) mit Microsoft Defender for Identity. |
Erkennung und Reaktion
| Bereich | Beschreibung |
|---|---|
| Warnungs- und Incidentkorrelation | Defender for Identity-Warnungen sind jetzt in der Warnungswarteschlange von Microsoft Defender XDR enthalten, sodass sie für die automatisierte Incidentkorrelationsfunktion verfügbar sind. Zeigen Sie alle Warnungen an einem Ort an, und ermitteln Sie den Umfang der Sicherheitsverletzung noch schneller als zuvor. Weitere Informationen finden Sie unter Untersuchen von Defender for Identity-Warnungen in Microsoft Defender XDR. |
| Warnungsausschlüsse | Microsoft Defender XDR Benutzeroberfläche für Warnungen ist benutzerfreundlicher und enthält eine Suchfunktion und globale Ausschlüsse, was bedeutet, dass Sie jede Entität von allen warnungen ausschließen können, die von Defender for Identity generiert werden. Weitere Informationen finden Sie unter Konfigurieren von Defender for Identity-Erkennungsausschlüssen in Microsoft Defender XDR. |
| Warnungsoptimierung | Mit der Warnungsoptimierung, früher als Warnungsunterdrückung bezeichnet, können Sie Ihre Warnungen anpassen und optimieren. Die Warnungsoptimierung reduziert falsch positive Ergebnisse, sodass sich Ihre SOC-Teams auf Warnungen mit hoher Priorität konzentrieren können, und verbessert die Abdeckung der Bedrohungserkennung im gesamten System. Erstellen Sie in Microsoft Defender XDR Regelbedingungen basierend auf Beweistypen, und wenden Sie ihre Regel dann auf jeden Regeltyp an, der Ihren Bedingungen entspricht. Weitere Informationen finden Sie unter Optimieren einer Warnung. |
| Wartungsaktionen | Defender for Identity-Korrekturaktionen, z. B. das Deaktivieren von Konten oder das Erfordern von Kennwortzurücksetzungen, sind auf der Seite Microsoft Defender XDR Benutzerdetails verfügbar. Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender for Identity. |
Kurzübersicht
In der folgenden Tabelle sind die Änderungen bei der Navigation zwischen Microsoft Defender for Identity und Microsoft Defender XDR aufgeführt.
| Defender für Identität | Microsoft 365 Defender |
|---|---|
| Timeline | – Microsoft Defender XDR Warteschlange für Warnungen/Vorfälle |
| Berichte | Die folgenden Berichtstypen sind auf derBerichtsverwaltungsseite"Berichtsidentitäten>>" in Microsoft Defender XDR verfügbar, entweder für den sofortigen Download oder für eine regelmäßige E-Mail-Zustellung geplant: - Einen zusammenfassenden Bericht über Warnungen und Integritätsprobleme, die Sie behandeln sollten. – Eine Liste jedes Mal, wenn eine Änderung an sensiblen Gruppen vorgenommen wird. – Eine Liste der Quellcomputer- und Kontokennwörter, die als gesendet in Klartext erkannt werden. – Eine Liste der sensiblen Konten, die in Lateral Movement-Pfaden verfügbar gemacht werden. Weitere Informationen finden Sie unter Berichtsverwaltung. |
| Seite "Identität" | Seite mit benutzerdetails Microsoft Defender XDR |
| Seite "Gerät" | Microsoft Defender XDR Seite mit Gerätedetails |
| Seite "Gruppe" | Seitenbereich Microsoft Defender XDR Gruppen |
| Warnungsseite | Microsoft Defender XDR Seite mit Warnungsdetails Tipp: Verwenden Sie die Warnungsoptimierung, um die Warnungen zu optimieren, die in Microsoft Defender XDR angezeigt werden. |
| Search | Microsoft Defender XDR globale Suche |
| Gesundheitszentrum | Einstellungen ->Identitäten ->Integritätsprobleme ->Global/ Sensorintegritätsprobleme |
| Entitätsaktivitäten | - Erweiterte Suche – Zeitachse der Geräteseite > – Registerkarte "Zeitachse" auf der Seite > "Identität" |
| Einstellungen | Einstellungen ->Identitäten |
| Benutzer und Konten | Assets –>Identitäten |
| Identitätssicherheitsstatus | Sicherheitsstatusbewertungen von Microsoft Defender for Identity |
| Onboarding eines neuen Arbeitsbereichs | Einstellungen ->Identitäten (automatisch) |
| Info | Einstellungen > Identitäten > Info |
Nächste Schritte
Weitere Informationen finden Sie unter:
- Verwandte Videos für Microsoft Defender for Identity
- Microsoft Defender XDR
- Microsoft Defender for Identity
Tipp
Möchten Sie mehr erfahren? Interagieren Sie mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Feedback senden und anzeigen für