Wprowadzenie do planu 1 Ochrona punktu końcowego w usłudze Microsoft Defender
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
Portal Microsoft Defender (https://security.microsoft.com) umożliwia wyświetlanie informacji o wykrytych zagrożeniach, zarządzanie alertami i zdarzeniami, wykonywanie wszelkich wymaganych działań na wykrytych zagrożeniach i zarządzanie urządzeniami. W portalu Microsoft Defender możesz rozpocząć interakcję z funkcjami ochrony przed zagrożeniami dostępnymi w usłudze Defender for Endpoint Plan 1. W poniższych sekcjach opisano sposób rozpoczęcia pracy:
- Portal Microsoft Defender
- Wyświetlanie zdarzeń & alertów i zarządzanie nimi
- Zarządzanie urządzeniami
- Wyświetlanie raportów
Portal Microsoft Defender
W portalu Microsoft Defender (https://security.microsoft.com) można wyświetlać alerty, zarządzać urządzeniami i wyświetlać raporty. Po zalogowaniu się do portalu Microsoft Defender rozpoczynasz od strony głównej, która przypomina następujący obraz:
Strona główna udostępnia zespołowi ds. zabezpieczeń zagregowany widok migawek alertów, stanu urządzenia i wykrytych zagrożeń. Microsoft Defender XDR jest skonfigurowany tak, aby zespół ds. operacji zabezpieczeń mógł szybko i łatwo znaleźć informacje, których szuka.
Uwaga
Nasze przykłady przedstawione w tym artykule mogą różnić się od tego, co widzisz w portalu Microsoft Defender. To, co widzisz w portalu, zależy od licencji i uprawnień. Ponadto zespół ds. zabezpieczeń może dostosować portal organizacji, dodając, usuwając i rozmieszczając karty.
Karty wyróżniają kluczowe informacje i zawierają zalecenia
Strona główna zawiera karty, takie jak karta Aktywne zdarzenia pokazana na poniższej ilustracji:
Karta udostępnia informacje na pierwszy rzut oka wraz z linkiem lub przyciskiem, który można wybrać, aby wyświetlić bardziej szczegółowe informacje. Odwołując się do naszej przykładowej karty Aktywne zdarzenia, możemy wybrać pozycję Wyświetl wszystkie zdarzenia , aby przejść do naszej listy zdarzeń.
Pasek nawigacyjny ułatwia znajdowanie alertów, centrum akcji i nie tylko
Pasek nawigacyjny po lewej stronie ekranu umożliwia łatwe przechodzenie między zdarzeniami, alertami, centrum akcji, raportami i ustawieniami. W poniższej tabeli opisano pasek nawigacyjny.
Element paska nawigacyjnego | Opis |
---|---|
Strona główna | Przechodzi do strony głównej portalu Microsoft Defender. |
Zdarzenia & alerty | Rozwija się, aby wyświetlić zdarzenia i alerty. |
Zdarzenia & alerty>Incydentów | Przechodzi do listy Incydenty . Zdarzenia są tworzone po wyzwoleniu alertów i/lub wykryciu zagrożeń. Domyślnie na liście Zdarzenia są wyświetlane dane z ostatnich 30 dni z najnowszym zdarzeniem wymienionym jako pierwsze. Aby dowiedzieć się więcej, zobacz Incydenty. |
Zdarzenia & alerty>Alerty | Przechodzi do listy Alerty (nazywanej również kolejką alertów). Alerty są wyzwalane po wykryciu podejrzanego lub złośliwego pliku, procesu lub zachowania. Domyślnie na liście Alerty są wyświetlane dane z ostatnich 30 dni z najnowszym alertem wymienionym jako pierwszy. Aby dowiedzieć się więcej, zobacz Alerty. |
Zdarzenia & alerty>Email & alerty współpracy | Jeśli subskrypcja obejmuje Ochrona usługi Office 365 w usłudze Microsoft Defender, alerty są generowane w przypadku wykrycia potencjalnych zagrożeń w plikach poczty e-mail i pakietu Office. |
Akcje & przesłania>Centrum akcji | Przechodzi do centrum akcji, które śledzi akcje korygowania i ręcznego reagowania. Centrum akcji śledzi takie działania: - Microsoft Defender program antywirusowy napotyka złośliwy plik, a następnie blokuje/usuwa ten plik. - Twój zespół ds. zabezpieczeń izoluje urządzenie. — Usługa Defender for Endpoint wykrywa plik i podda go kwarantannie. Aby dowiedzieć się więcej, zobacz Centrum akcji. |
Akcje & przesłania>Zgłoszenia | Przechodzi do ujednoliconego portalu przesyłania, w którym administratorzy mogą przesyłać pliki do firmy Microsoft do przeglądu. Aby dowiedzieć się więcej, zobacz Przesyłanie plików w Ochrona punktu końcowego w usłudze Microsoft Defender. |
Wskaźnik bezpieczeństwa | Przedstawia reprezentację stanu zabezpieczeń organizacji wraz z listą zalecanych akcji i metryk. Aby dowiedzieć się więcej, zobacz Wskaźnik bezpieczeństwa firmy Microsoft. |
Centrum szkoleniowe | Przechodzi do listy ścieżek szkoleniowych, do których można uzyskać dostęp, aby dowiedzieć się więcej o możliwościach zabezpieczeń platformy Microsoft 365. |
Prób | Przechodzi do listy bezpłatnych subskrypcji wersji próbnej platformy Microsoft 365, które można rozpocząć. Uruchomienie wersji próbnej ułatwia podejmowanie świadomych decyzji dotyczących zakupów lub uaktualnień. Obowiązują pewne warunki i postanowienia. Zobacz warunki i postanowienia dotyczące wersji próbnej platformy Microsoft 365. |
Wykaz partnerów | Jeśli szukasz partnera firmy Microsoft, który pomoże Ci w zakresie zabezpieczeń i innych ustawień, zapoznaj się z listami partnerów w tym wykazie. |
Aktywów>Urządzeń | Przechodzi do listy urządzeń dołączonych do usługi Defender for Endpoint. Zawiera informacje o urządzeniach, takie jak ich narażenie i poziom ryzyka. Aby dowiedzieć się więcej, zobacz Spis urządzeń. |
Punkty końcowe>Zarządzanie konfiguracją>Pulpitu nawigacyjnego | Przechodzi do pulpitu nawigacyjnego z kartami, które pokazują bieżący stan zabezpieczeń z linkami w celu poprawy oceny, skonfigurowania możliwości, dołączania urządzeń i dowiedz się więcej o możliwościach. |
Raporty | Przechodzi do raportów, takich jak raport dotyczący ochrony przed zagrożeniami, raport kondycji i zgodności urządzenia oraz raport ochrony sieci Web. |
Kondycja | Zawiera linki do Kondycja usługi i Centrum komunikatów. |
Zdrowia>Kondycja usługi | Przechodzi do strony Kondycja usługi w Centrum administracyjne platformy Microsoft 365. Ta strona umożliwia wyświetlanie stanu kondycji we wszystkich usługach dostępnych w ramach subskrypcji organizacji. |
Zdrowia>Centrum komunikatów | Przechodzi do centrum komunikatów w Centrum administracyjne platformy Microsoft 365. Centrum komunikatów zawiera informacje o planowanych zmianach. Każdy komunikat zawiera opis nadchodzących zmian, wpływu na użytkowników i sposobu zarządzania zmianami. |
Uprawnienia & ról | Umożliwia udzielanie uprawnień do korzystania z portalu Microsoft Defender. Uprawnienia są przyznawane za pośrednictwem ról w Tożsamość Microsoft Entra. Wybierz rolę i zostanie wyświetlone okienko wysuwane. Wysuwany element zawiera link do Tożsamość Microsoft Entra, w którym można dodawać lub usuwać członków w grupie ról. Aby dowiedzieć się więcej, zobacz Zarządzanie dostępem do portalu przy użyciu kontroli dostępu opartej na rolach. |
Ustawienia | Przechodzi do ogólnych ustawień portalu Microsoft Defender (wymienionego jako Centrum zabezpieczeń) i usługi Defender for Endpoint (wymienionego jako punkty końcowe). Aby dowiedzieć się więcej, zobacz Ustawienia. |
Więcej zasobów | Wyświetla listę kolejnych portali i centrów, takich jak Tożsamość Microsoft Entra i portal zgodności Microsoft Purview. Aby dowiedzieć się więcej, zobacz Portale zabezpieczeń firmy Microsoft i centra administracyjne. |
Porada
Aby dowiedzieć się więcej, zobacz omówienie portalu Microsoft Defender.
Wyświetlanie zdarzeń & alertów i zarządzanie nimi
Po zalogowaniu się do portalu Microsoft Defender upewnij się, że wyświetlasz zdarzenia i alerty oraz zarządzasz nimi. Zacznij od listy zdarzeń . Na poniższej ilustracji przedstawiono listę zdarzeń, w tym jeden o wysokiej ważności, a drugi o średniej ważności.
Wybierz zdarzenie, aby wyświetlić szczegóły dotyczące zdarzenia. Szczegółowe informacje obejmują alerty, które zostały wyzwolone, liczbę urządzeń i użytkowników, których dotyczy problem, oraz inne szczegóły. Na poniższej ilustracji przedstawiono przykład szczegółów zdarzenia.
Użyj kart Alerty, Urządzenia i Użytkownicy , aby wyświetlić więcej informacji, takich jak alerty, które zostały wyzwolone, urządzenia, których dotyczy problem, i konta użytkowników, których dotyczy problem. W tym miejscu można wykonywać ręczne akcje reagowania, takie jak izolowanie urządzenia, zatrzymywanie i kwazarowanie pliku itd.
Porada
Aby dowiedzieć się więcej na temat korzystania z widoku Zdarzenia , zobacz Zarządzanie zdarzeniami.
Zarządzanie urządzeniami
Aby wyświetlić urządzenia organizacji i zarządzać nimi, na pasku nawigacyjnym w obszarze Zasoby wybierz pozycję Urządzenia. Zostanie wyświetlona lista urządzeń. Lista zawiera urządzenia, dla których zostały wygenerowane alerty. Domyślnie wyświetlane dane są używane w ciągu ostatnich 30 dni z najnowszymi elementami wymienionymi jako pierwsze. Wybierz urządzenie, aby wyświetlić więcej informacji na jego temat. Zostanie otwarte okienko wysuwane, jak pokazano na poniższej ilustracji:
Okienko wysuwane wyświetla szczegóły, takie jak wszystkie aktywne alerty dla urządzenia, i zawiera linki do podjęcia akcji, takie jak izolowanie urządzenia.
Jeśli na urządzeniu są aktywne alerty, możesz je wyświetlić w okienku wysuwanym. Wybierz pojedynczy alert, aby wyświetlić więcej szczegółów na jego temat. Możesz też wykonać akcję, taką jak Izolowanie urządzenia, aby można było dokładniej zbadać urządzenie, minimalizując ryzyko zainfekowania innych urządzeń.
Porada
Aby dowiedzieć się więcej, zobacz Badanie urządzeń na liście urządzeń usługi Defender for Endpoint.
Wyświetlanie raportów
W usłudze Defender for Endpoint Plan 1 w portalu Microsoft Defender dostępnych jest kilka raportów. Aby uzyskać dostęp do raportów, wykonaj następujące kroki:
Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.
Na pasku nawigacyjnym wybierz pozycję Raporty.
Wybierz raport z listy. Raporty obejmują:
- Raport ochrony przed zagrożeniami
- Raport kondycji urządzenia
- Raport dotyczący ochrony sieci Web
Porada
Aby uzyskać więcej informacji, zobacz Raporty dotyczące ochrony przed zagrożeniami.
Raport ochrony przed zagrożeniami
Aby uzyskać dostęp do raportu ochrony przed zagrożeniami, w portalu Microsoft Defender wybierz pozycję Raporty, a następnie wybierz pozycję Ochrona przed zagrożeniami. Raport Threat Protection przedstawia trendy alertów, stan, kategorie i nie tylko. Widoki są rozmieszczone w dwóch kolumnach: Trendy alertów i Stan alertu, jak pokazano na poniższej ilustracji:
Przewiń w dół, aby wyświetlić wszystkie widoki na każdej liście.
- Domyślnie widoki w kolumnie Trendy alertów wyświetlają dane z ostatnich 30 dni, ale można ustawić widok do wyświetlania danych z ostatnich trzech miesięcy, ostatnich sześciu miesięcy lub niestandardowego zakresu czasu (do 180 dni).
- Widoki w kolumnie Stan alertu są migawką z poprzedniego dnia roboczego.
Porada
Aby dowiedzieć się więcej, zobacz Raport ochrony przed zagrożeniami w usłudze Defender for Endpoint.
Raport kondycji urządzenia
Aby uzyskać dostęp do raportu kondycji urządzenia, w portalu Microsoft Defender wybierz pozycję Raporty, a następnie wybierz pozycję Kondycja urządzenia. Raport Kondycja urządzenia pokazuje stan kondycji i oprogramowanie antywirusowe na różnych urządzeniach w organizacji. Podobnie jak w raporcie Ochrona przed zagrożeniami widoki są rozmieszczone w dwóch kolumnach: Trendy urządzeń i Podsumowanie urządzenia, jak pokazano na poniższej ilustracji:
Przewiń w dół, aby wyświetlić wszystkie widoki na każdej liście. Domyślnie widoki w kolumnie Trendy urządzeń wyświetlają dane z ostatnich 30 dni, ale możesz zmienić widok, aby wyświetlić dane z ostatnich trzech miesięcy, ostatnich sześciu miesięcy lub niestandardowego zakresu czasu (do 180 dni). Widoki podsumowania urządzenia to migawki z poprzedniego dnia roboczego.
Porada
Aby dowiedzieć się więcej, zobacz Kondycja urządzenia.
Raport dotyczący ochrony sieci Web
Aby uzyskać dostęp do raportu kondycji urządzenia, w portalu Microsoft Defender wybierz pozycję Raporty, a następnie wybierz pozycję Ochrona w Internecie. Raport dotyczący ochrony sieci Web pokazuje wykrycia w czasie, takie jak złośliwe adresy URL i próby uzyskania dostępu do zablokowanych adresów URL, jak pokazano na poniższej ilustracji:
Przewiń w dół, aby wyświetlić wszystkie widoki w raporcie ochrony sieci Web. Niektóre widoki zawierają linki, które umożliwiają wyświetlanie dodatkowych szczegółów, konfigurowanie funkcji ochrony przed zagrożeniami, a nawet zarządzanie wskaźnikami, które służą jako wyjątki w usłudze Defender for Endpoint.
Porada
Aby dowiedzieć się więcej, zobacz Ochrona w internecie.
Następne kroki
- Zarządzanie planem Ochrona punktu końcowego w usłudze Microsoft Defender 1
- Ochrona punktu końcowego w usłudze Microsoft Defender
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.