Поделиться через

Microsoft Defender для конечной точки на портале Microsoft Defender

  • Статья
  • Применяется к:
    Microsoft Defender XDR, Microsoft Defender for Endpoint

Microsoft Defender для конечной точки является частью портала Microsoft Defender, предоставляя единый интерфейс для групп безопасности для управления инцидентами и оповещениями, поиска угроз и автоматизации расследований и реагирования. Портал Microsoft Defender (https://security.microsoft.com) объединяет в себе возможности безопасности, которые защищают ресурсы, а также обнаруживают, исследуют угрозы и реагируют на них.

Конечные точки, такие как ноутбуки, телефоны, планшеты, маршрутизаторы и брандмауэры, являются точками входа в сеть. Microsoft Defender для конечной точки помогает защитить эти конечные точки, обеспечивая видимость действий в сети, а также путем обнаружения сложных угроз и реагирования на них.

В этом руководстве показано, чего ожидать при запуске Microsoft Defender для конечной точки на портале Microsoft Defender.

Перед началом работы

Чтобы использовать Microsoft Defender для конечной точки на портале Microsoft Defender, необходимо иметь лицензию на Microsoft Defender для конечной точки. Дополнительные сведения см. в разделе лицензирование Microsoft Defender для конечной точки.

Кроме того, убедитесь, что у вас есть требования к оборудованию и программному обеспечению, браузеру, сетевому подключению и совместимости с антивирусной программой Microsoft Defender. Дополнительные сведения см. в разделе Microsoft Defender для конечной точки минимальных требований.

Для доступа к порталу Microsoft Defender также требуются необходимые разрешения. Дополнительные сведения см. в статье Использование базовых разрешений для доступа к порталу.

Чего можно ожидать

Исследование и реагирование

Возможности исследования и реагирования на портале Microsoft Defender помогают исследовать инциденты и оповещения и реагировать на них. Инциденты — это группы оповещений, связанные друг с другом.

Инциденты и оповещения

Устройства, участвующие в инцидентах, отображаются в истории атак на странице инцидента, в графе инцидентов и на вкладке активы. Вы можете просмотреть сведения об инциденте, включая задействованные устройства, оповещения, которые вызвали инцидент, и выполненные действия. К инциденту можно применить действия, такие как изоляция устройств, сбор пакетов исследования и многое другое.

Снимок экрана: вкладка

Отдельные оповещения отображаются на странице Оповещения. Вы можете просмотреть сведения об оповещении, включая участвующие устройства, инцидент, частью которых является оповещение, и выполненные действия. Вы также можете применить действия к оповещению на странице оповещения.

Охота

Профилактический поиск угроз, вредоносных программ и вредоносных действий в конечных точках, почтовых ящиках Office 365 и других службах с помощью запросов на расширенный поиск. Эти мощные запросы можно использовать для поиска и проверки индикаторов угроз и сущностей для известных и потенциальных угроз.

Пользовательские правила обнаружения можно создать на основе расширенных запросов охоты, чтобы помочь вам заблаговременно watch для событий, которые могут свидетельствовать о действиях нарушения безопасности и неправильно настроенных устройствах.

Центр уведомлений и отправки

Центр уведомлений показывает исследования, созданные с помощью возможностей автоматического исследования и реагирования. Это автоматическое самовосстановление на портале Microsoft Defender может помочь группам безопасности, автоматически отвечая на определенные события. Вы можете просматривать действия, применяемые к устройствам, состояние действий, а также утверждать или отклонять автоматические действия. Перейдите на страницу Центра уведомлений в разделе Исследование & ответ > действия & центра уведомлений отправки>.

Снимок экрана: центр уведомлений на портале Microsoft Defender.

Файлы, вложения электронной почты и URL-адреса можно отправлять в Microsoft Defender для анализа на портале отправки. Вы также можете просмотреть состояние отправок и результаты анализа. Перейдите на страницу вложенных сообщений в разделе Исследование & ответа > Действия & отправки>.

Аналитика угроз

Вы можете просмотреть новые угрозы, новые методы атак, распространенные вредоносные программы, а также сведения об субъектах угроз и кампаниях на странице Аналитика угроз . Откройте панель мониторинга аналитики угроз , чтобы просмотреть последние аналитические сведения и аналитические сведения об угрозах. В аналитическом отчете также можно просмотреть сведения о том, как защититься от определенных угроз.

Перейдите на страницу аналитики угроз в разделе Аналитика > угроз Аналитика угроз.

Инвентаризация устройств

На странице Устройства активов > содержится список всех устройств в организации, на которых были созданы оповещения. Вы можете просмотреть сведения об устройствах, включая IP-адрес, уровень важности, категорию устройств и тип устройства.

Снимок экрана: страница инвентаризации устройств на портале Microsoft Defender.

Microsoft Defender для управления уязвимостями и управления конфигурацией конечных точек

Вы можете найти Управление уязвимостями Microsoft Defender панели мониторинга в разделе Управление уязвимостями конечных > точек. Defender для управления уязвимостями помогает обнаруживать, определять приоритеты и устранять уязвимости в сети. Узнайте больше о предварительных требованиях и разрешениях, а также о подключении устройств к Управление уязвимостями Defender.

Панель мониторинга конфигурации устройства находится на панели мониторинга управления > конфигурацией конечных > точек. Вы можете быстро просмотреть безопасность устройств, подключение через Microsoft Intune и Microsoft Defender для конечной точки, покрытие веб-защиты и управление зонами атак.

Администраторы безопасности могут развертывать политики безопасности конечных точек на устройствах в организации в разделе Политики безопасности конечных точек управления конфигурацией > конечных > точек. Узнайте больше о политиках безопасности конечных точек.

Отчеты

На странице Отчеты можно просматривать отчеты о работоспособности устройств, уязвимых устройствах, ежемесячной сводке безопасности, веб-защите, брандмауэре, управлении устройствами и правилах сокращения направлений атак.

Снимок экрана: страница

Общие параметры

Обнаружение устройств

На странице "Параметры > обнаружения устройств" можно настроить параметры обнаружения устройств, включая метод обнаружения, исключения, включение корпоративного интернета вещей (зависит от доступа) и настроить расписания проверки подлинности. Дополнительные сведения см. в разделе Обнаружение устройств.

Снимок экрана: страница обнаружения устройств на портале Microsoft Defender.

Параметры конечной точки

Перейдите на страницу Конечные > точки параметров, чтобы настроить параметры для Microsoft Defender для конечной точки, включая дополнительные функции, Уведомления по электронной почте, разрешения и многое другое.

Снимок экрана: страница

Уведомления по электронной почте

Вы можете создать правила для определенных устройств, серьезности оповещений и уязвимостей, чтобы отправлять Уведомления по электронной почте определенным пользователям или группам. Дополнительные сведения см. в следующих сведениях:

Разрешения и роли

Чтобы управлять ролями, разрешениями и группами устройств для конечных точек, перейдите к разделу Разрешения в разделе Параметры конечных > точек. Вы можете создавать и определять роли и назначать разрешения в разделе Роли , а также создавать и упорядочивать устройства по группам в разделе Группы устройств.

Кроме того, можно перейти к роли конечных точек & группы на странице Разрешения системы>.

API и MSSP

API оповещений Microsoft Defender XDR — это официальный API, который позволяет клиентам работать с оповещениями во всех продуктах Defender XDR с помощью единой интеграции. Дополнительные сведения см. в статье Миграция с API SIEM MDE на API оповещений Microsoft Defender XDR.

Чтобы авторизовать управляемый поставщик служб безопасности (MSSP) для доступа к оповещениям, необходимо указать идентификаторы приложений и клиентов MSSP. Дополнительные сведения см. в статье Интеграция с MSSP.

Правила

Вы можете создавать правила и политики для управления индикаторами, фильтрации веб-содержимого, управления автоматическими отправками и исключениями папок автоматизации и т. д. Чтобы создать эти правила, перейдите к разделу Правила в разделе Конечные > точки параметров. Дополнительные сведения об управлении этими правилами можно найти по следующим ссылкам:

Управление параметрами безопасности

В область управления конфигурацией > параметров > конечные > точки можно разрешить Microsoft Intune параметров безопасности применяться Microsoft Defender для конечной точки. Дополнительные сведения см. в статье Настройка антивирусной Microsoft Defender и управление ими с помощью Microsoft Intune.

Управление устройствами

Вы можете подключить или отключить устройства и выполнить тест обнаружения устройств на странице Управление устройствами > параметров конечных > точек . Инструкции по подключению устройств см. в статье Подключение к Microsoft Defender для конечной точки. Сведения о отключении устройств см. в разделе Отключение устройств.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.