Поделиться через


Начало работы с планом 1 Microsoft Defender для конечной точки

Область применения:

Портал Microsoft Defender (https://security.microsoft.com) позволяет просматривать сведения об обнаруженных угрозах, управлять оповещениями и инцидентами, принимать необходимые меры по обнаружению угроз и управлять устройствами. На портале Microsoft Defender можно приступить к взаимодействию с возможностями защиты от угроз, которые вы получаете с помощью Defender для конечной точки плана 1. В следующих разделах описывается, как приступить к работе.

Портал Microsoft Defender

На портале Microsoft Defender (https://security.microsoft.com) можно просматривать оповещения, управлять устройствами и просматривать отчеты. При входе на портал Microsoft Defender вы начинаете с домашней страницы, которая выглядит следующим образом:

Портал Microsoft Defender XDR

На домашней странице вашей группе безопасности предоставляется snapshot совокупное представление оповещений, состояния устройства и обнаруженных угроз. Microsoft Defender XDR настроен так, чтобы ваша команда по операциям безопасности могла быстро и легко найти нужные сведения.

Примечание.

Примеры, приведенные в этой статье, могут отличаться от того, что вы видите на портале Microsoft Defender. То, что вы видите на портале, зависит от лицензий и разрешений. Кроме того, ваша команда безопасности может настроить портал вашей организации путем добавления, удаления и изменения порядка карточек.

Карточки выделяют ключевые сведения и содержат рекомендации

Домашняя страница содержит карточки, например карта активные инциденты, показанные на следующем рисунке:

Активные инциденты карта

В карта представлены краткие сведения, а также ссылка или кнопка, которую можно выбрать для просмотра более подробных сведений. Ссылаясь на наш пример активных инцидентов карта, мы можем выбрать Просмотреть все инциденты, чтобы перейти к нашему списку инцидентов.

Список инцидентов

Панель навигации в левой части экрана позволяет легко перемещаться между инцидентами, оповещениями, центром уведомлений, отчетами и параметрами. В следующей таблице описана панель навигации.

Элемент панели навигации Описание
Главная Перейдите на домашнюю страницу портала Microsoft Defender.
Оповещения об инцидентах & Разворачивается для отображения инцидентов и оповещений.
Оповещения >об инцидентах &Инцидентов Переходит к списку Инциденты . Инциденты создаются при активации оповещений и (или) обнаружении угроз. По умолчанию в списке Инциденты отображаются данные за последние 30 дней с самым последним инцидентом.

Дополнительные сведения см. в разделе Инциденты.
Оповещения >об инцидентах &Оповещения Переходит к списку Оповещений (также называется очередью оповещений). Оповещения активируются при обнаружении подозрительного или вредоносного файла, процесса или поведения. По умолчанию в списке Оповещений отображаются данные за последние 30 дней с самым последним оповещением.

Дополнительные сведения см. в разделе Оповещения.
Оповещения >об инцидентах &оповещения Email & совместной работы Если ваша подписка включает Microsoft Defender для Office 365, оповещения создаются при обнаружении потенциальных угроз в электронной почте и файлах Office.
Действия & отправки>Центр уведомлений Переходит в центр уведомлений, который отслеживает действия по исправлению и реагированию вручную. Центр уведомлений отслеживает следующие действия:
— Microsoft Defender антивирусная программа обнаруживает вредоносный файл, а затем блокирует или удаляет этот файл.
— Ваша группа безопасности изолирует устройство.
— Defender для конечной точки обнаруживает и помещает в карантин файл.

Дополнительные сведения см. в разделе Центр уведомлений.
Действия & отправки>Представлений Перейдите на единый портал отправки, где администраторы могут отправлять файлы в Корпорацию Майкрософт для проверки.

Дополнительные сведения см. в статье Отправка файлов в Microsoft Defender для конечной точки.
Оценка безопасности Отображает представление о состоянии безопасности вашей организации, а также список рекомендуемых действий и метрик.

Дополнительные сведения см. в статье Оценка безопасности Майкрософт.
Центр обучения Перейдите к списку схем обучения, к которым можно получить доступ, чтобы узнать больше о возможностях безопасности Microsoft 365.
Испытания Перейдите к списку бесплатных пробных подписок Microsoft 365, которые можно запустить. Запуск пробной версии помогает принимать обоснованные решения о покупках или обновлениях. Применяются определенные условия. Ознакомьтесь с условиями использования пробной версии Microsoft 365.
Каталог партнеров Если вы ищете партнера Майкрософт, который поможет вам с безопасностью и другими параметрами, проверка списки партнеров в этом каталоге.
Активов>Устройств Перейдите к списку устройств, подключенных к Defender для конечной точки. Предоставляет сведения об устройствах, такие как уровень их подверженности и уровень риска.

Дополнительные сведения см. в разделе Инвентаризация устройств.
Конечные точки>Управление конфигурацией>Панели мониторинга Переходит на панель мониторинга с карточками, на которые отображается текущее состояние безопасности со ссылками для повышения оценки, настройки возможностей, подключения устройств и получения дополнительных сведений о ваших возможностях.
Отчеты Переходит к отчетам, таким как отчет о защите от угроз, отчет о работоспособности и соответствии устройств иотчет о защите веб-сайтов.
Работоспособность Содержит ссылки на Работоспособность служб и центр сообщений.
Здоровья>Работоспособность служб Переход на страницу Работоспособность служб в Центр администрирования Microsoft 365. Эта страница позволяет просматривать состояние работоспособности во всех службах, доступных в подписках вашей организации.
Здоровья>Центр сообщений Переход к центру сообщений в Центр администрирования Microsoft 365. Центр сообщений предоставляет сведения о запланированных изменениях. В каждом сообщении описывается, что происходит, как это может повлиять на пользователей и как управлять изменениями.
Разрешения & ролей Позволяет предоставлять разрешения на использование портала Microsoft Defender. Разрешения предоставляются через роли в Microsoft Entra ID. Выберите роль, и появится всплывающее меню. Всплывающее меню содержит ссылку на Microsoft Entra ID, где можно добавлять или удалять участников в группе ролей.

Дополнительные сведения см. в статье Управление доступом на портале с помощью управления доступом на основе ролей.
Параметры Перейдите к общим параметрам портала Microsoft Defender (в списке Центр безопасности) и Defender для конечной точки (в списке конечные точки).

Дополнительные сведения см. в разделе Параметры.
Дополнительные ресурсы Отображает список других порталов и центров, таких как Microsoft Entra ID и Портал соответствия требованиям Microsoft Purview.

Дополнительные сведения см. в статье Порталы безопасности и центры администрирования Майкрософт.

Совет

Дополнительные сведения см. в обзоре портала Microsoft Defender.

Просмотр инцидентов и управление ими & оповещениями

При входе на портал Microsoft Defender обязательно просматривайте инциденты и оповещения и управляйте ими. Начните со списка инцидентов . На следующем рисунке показан список инцидентов, в том числе один с высокой степенью серьезности, а другой — со средней степенью серьезности.

Список инцидентов

Выберите инцидент, чтобы просмотреть сведения об инциденте. Сведения о том, какие оповещения были активированы, сколько устройств и пользователей было затронуто, а также другие сведения. На следующем рисунке показан пример сведений об инциденте.

Сведения об инциденте

Используйте вкладки Оповещения, Устройства и Пользователи , чтобы просмотреть дополнительные сведения, такие как активированные оповещения, затронутые устройства и затронутые учетные записи пользователей. Оттуда вы можете выполнять действия по реагированию вручную, такие как изоляция устройства, остановка и карантин файла и т. д.

Совет

Дополнительные сведения об использовании представления инцидентов см. в статье Управление инцидентами.

Управление устройствами

Чтобы просмотреть устройства организации и управлять ими, на панели навигации в разделе Активы выберите Устройства. Отобразится список устройств. Список включает устройства, для которых были созданы оповещения. По умолчанию отображаются данные за последние 30 дней с самыми последними элементами, перечисленными первыми. Выберите устройство, чтобы просмотреть дополнительные сведения о нем. Откроется всплывающий элемент, как показано на следующем рисунке:

Сведения о выбранном устройстве

Во всплывающей области отображаются сведения, например активные оповещения для устройства, а также ссылки для выполнения действий, например изоляции устройства.

Если на устройстве есть активные оповещения, их можно просмотреть во всплывающей области. Выберите отдельное оповещение, чтобы просмотреть дополнительные сведения о нем. Или выполните такие действия, как изоляция устройства, чтобы можно было изучить устройство, сведя к минимуму риск заражения других устройств.

Просмотр отчетов

В Defender для конечной точки плана 1 на портале Microsoft Defender доступно несколько отчетов. Чтобы получить доступ к отчетам, выполните следующие действия.

  1. Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.

  2. На панели навигации выберите Отчеты.

  3. Выберите отчет в списке. Отчеты включают:

    • Отчет о состоянии защиты от угроз
    • Отчет о работоспособности устройства
    • Отчет о защите веб-сайта

Совет

Дополнительные сведения см. в статье Отчеты по защите от угроз.

Отчет о состоянии защиты от угроз

Чтобы получить доступ к отчету по защите от угроз, на портале Microsoft Defender выберите Отчеты, а затем — Защита от угроз. В отчете Защита от угроз отображаются тенденции оповещений, состояние, категории и многое другое. Представления расположены в двух столбцах: Тенденции оповещения и Состояние оповещения, как показано на следующем рисунке:

Отчет о состоянии защиты от угроз

Прокрутите вниз, чтобы просмотреть все представления в каждом списке.

  • По умолчанию в представлениях в столбце Тренды оповещений отображаются данные за последние 30 дней, но можно задать представление для отображения данных за последние три, последние шесть месяцев или настраиваемый диапазон времени (до 180 дней).
  • Представления в столбце Состояние оповещения являются snapshot за предыдущий рабочий день.

Отчет о работоспособности устройства

Чтобы получить доступ к отчету о работоспособности устройства, на портале Microsoft Defender выберите Отчеты, а затем — Работоспособность устройства. В отчете о работоспособности устройств отображаются состояние работоспособности и антивирусная программа на разных устройствах в организации. Как и в отчете о защите от угроз, представления организованы в двух столбцах: Тенденции устройств и Сводка по устройствам, как показано на следующем рисунке:

Отчет о работоспособности устройства

Прокрутите вниз, чтобы просмотреть все представления в каждом списке. По умолчанию в представлениях в столбце Тенденции устройств отображаются данные за последние 30 дней, но можно изменить представление для отображения данных за последние три месяца, последние шесть месяцев или настраиваемый диапазон времени (до 180 дней). Сводные представления устройства — это моментальные снимки за предыдущий рабочий день.

Совет

Дополнительные сведения см. в разделе Работоспособности устройства.

Отчет о защите веб-сайта

Чтобы получить доступ к отчету о работоспособности устройства, на портале Microsoft Defender выберите Отчеты, а затем — Веб-защита. В отчете о веб-защите отображаются обнаружения с течением времени, например вредоносные URL-адреса и попытки доступа к заблокированным URL-адресам, как показано на следующем рисунке:

Отчет о защите веб-сайта

Прокрутите вниз, чтобы просмотреть все представления в отчете о защите веб-сайта. Некоторые представления содержат ссылки, позволяющие просматривать дополнительные сведения, настраивать функции защиты от угроз и даже управлять индикаторами, которые служат исключениями в Defender для конечной точки.

Совет

Дополнительные сведения см. в разделе Защита веб-сайтов.

Дальнейшие действия

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.