Microsoft Defender per endpoint opportunità e scenari per i partner
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
I partner possono estendere facilmente le offerte di sicurezza esistenti oltre al framework aperto e un set completo di API per creare estensioni e integrazioni con Defender per endpoint.
Le API si estendono su aree funzionali, tra cui il rilevamento, la gestione, la risposta, le vulnerabilità e la gamma di casi d'uso a livello di intelligence. In base al caso d'uso e alle esigenze, i partner possono trasmettere o eseguire query sui dati da Defender per endpoint.
Scenario 1: correlazione degli avvisi esterni e analisi e correzione automatizzate
Defender per endpoint offre funzionalità di analisi e correzione automatizzate uniche per favorire la risposta agli eventi imprevisti su larga scala.
L'integrazione della funzionalità di analisi e risposta automatizzata con altre soluzioni, ad esempio prodotti per la sicurezza di rete o altri prodotti per la sicurezza degli endpoint, consente di gestire gli avvisi. L'integrazione riduce al minimo anche le complessità che circondano la correlazione del segnale di rete e del dispositivo, semplificando in modo efficace le azioni di analisi e correzione delle minacce nei dispositivi.
Defender per endpoint aggiunge il supporto per questo scenario nei moduli seguenti:
Gli avvisi esterni possono essere sottoposti a push in Defender per endpoint e presentati affiancati con avvisi aggiuntivi basati su dispositivo da Defender per endpoint. Questa visualizzazione fornisce il contesto completo dell'avviso, con il processo reale e la storia completa dell'attacco.
Dopo aver generato un avviso, il segnale viene condiviso tra tutti gli endpoint protetti da Defender per endpoint nell'organizzazione. Defender per endpoint accetta una risposta immediata automatizzata o assistita dall'operatore per risolvere l'avviso.
Scenario 2: Integrazione dell'orchestrazione della sicurezza e della risposta all'automazione (SOAR)
Le soluzioni di orchestrazione consentono di compilare playbook e integrare il modello di dati avanzato e le azioni esposte dalle API defender per endpoint per orchestrare le risposte, ad esempio query per i dati del dispositivo, attivazione dell'isolamento del dispositivo, blocco/autorizzazione, risoluzione degli avvisi e altri.
Scenario 3: Corrispondenza degli indicatori
L'indicatore della corrispondenza di compromissione (IoC) è una funzionalità essenziale in ogni soluzione di endpoint protection. Questa funzionalità è disponibile in Defender per endpoint e consente di impostare un elenco di indicatori per la prevenzione, il rilevamento e l'esclusione delle entità. È possibile definire l'azione da intraprendere e la durata per l'applicazione dell'azione.
Gli scenari precedenti fungono da esempi dell'estendibilità della piattaforma. Non si è limitati agli esempi e si consiglia di usare il framework aperto per individuare ed esplorare altri scenari.
Seguire la procedura descritta in Diventare un partner Microsoft Defender per endpoint per integrare la soluzione in Defender per endpoint.
Articolo correlato
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.