Поделиться через


Microsoft Defender для удостоверений на портале Microsoft Defender

Область применения:

Microsoft Defender для удостоверений теперь является частью портала Microsoft Defender, который предназначен для мониторинга удостоверений, данных, устройств, приложений и инфраструктуры Майкрософт и управления ими. Портал Microsoft Defender позволяет администраторам безопасности выполнять свои задачи безопасности в одном расположении, что упрощает рабочие процессы и интегрирует функции из других служб Microsoft Defender XDR.

Microsoft Defender для удостоверений вносит информацию, ориентированную на идентификацию, в инциденты и оповещения, которые представляет портал Microsoft Defender. Эти сведения являются ключевыми для предоставления контекста и корреляции оповещений от других продуктов в Microsoft Defender XDR.

Конвергентные возможности на портале Microsoft Defender

Портал Microsoft Defender объединяет возможности безопасности, которые защищают, обнаруживают, исследуют угрозы электронной почты, совместной работы, удостоверений и устройств, а теперь включает все функции, предоставляемые на классическом классическом портале Defender для удостоверений.

Хотя размещение данных может отличаться от классического портала Defender для удостоверений, теперь ваши данные интегрированы в страницы портала Microsoft Defender, чтобы вы могли просматривать данные во всех отслеживаемых сущностях.

В следующих разделах описаны расширенные функции Defender для удостоверений, доступные на портале Microsoft Defender.

Примечание.

Клиенты, использующие классический портал Defender для удостоверений, теперь автоматически перенаправляются на портал Microsoft Defender без возможности отменить изменения обратно на классический портал.

Конфигурация и состояние

Область Описание
Глобальные исключения Глобальные исключения позволяют определить определенные сущности, такие как IP-адреса, устройства или домены, которые будут исключены во всех обнаружениях Defender для удостоверений. Например, если исключить только устройство, исключение применяется только к обнаружениям, для которых в ходе обнаружения используется идентификация устройства .

Дополнительные сведения см. в разделе Глобальные исключенные сущности.
Управление учетными записями службы каталогов и действий Вы можете отреагировать на скомпрометированных пользователей, отключив их учетные записи или сбросив пароль. При выполнении любого из этих действий портал Microsoft Defender по умолчанию настраивается для использования локальной системной учетной записи. Поэтому вам потребуется только настроить параметры учетной записи службы каталогов и действий, если вы хотите иметь больший контроль, а также определить другую учетную запись пользователя для выполнения действий по исправлению пользователей.

Дополнительные сведения см. в статье учетные записи действий Microsoft Defender для удостоверений.
Пользовательские роли разрешений Портал Microsoft Defender поддерживает настраиваемые роли разрешений.

Дополнительные сведения см. в разделе Microsoft Defender XDR управления доступом на основе ролей (RBAC).
Оценка безопасности (Майкрософт) Оценки состояния безопасности Defender для удостоверений доступны в Microsoft Secure Score. Каждая оценка представляет собой скачиваемый отчет с инструкциями по использованию и инструментами для создания плана действий по исправлению или устранению проблемы. Отфильтруйте оценку безопасности Майкрософт по удостоверениям , чтобы просмотреть оценки Defender для удостоверений.

Дополнительные сведения см. в статье Оценки состояния безопасности Microsoft Defender для удостоверений.
API Используйте любой из следующих API-интерфейсов Microsoft Defender XDR с Defender для удостоверений:

- Запрос действий через API
- Управление оповещениями системы безопасности с помощью API
- Stream оповещений системы безопасности и действий в Microsoft Sentinel

Совет. Портал Microsoft Defender хранит расширенные данные охоты только в течение 30 дней. Если вам нужны более длительные сроки хранения, выполните потоковую передачу действий в Microsoft Sentinel или другую партнерской систему управления информационной безопасностью и событиями безопасности (SIEM).
Адаптация Подключение Defender для удостоверений теперь выполняется автоматически для новых клиентов, без необходимости настраивать рабочую область.

Если вам нужно удалить экземпляр, обратитесь в службу поддержки Майкрософт.

Исследование

Область Описание
Область удостоверений На портале Microsoft Defender разверните область Удостоверения, чтобы просмотреть панель мониторинга графиков и мини-приложений с часто используемыми данными, страницу проблем с работоспособностью, список всех проблем работоспособности для развертывания Defender для удостоверений и страницу Сервис со ссылками на часто используемые средства и документацию.

Дополнительные сведения см. в разделах Просмотр панели мониторинга ITDR и Проблемы работоспособности Defender для удостоверений.
Страница удостоверений На странице сведений об удостоверениях портала Microsoft Defender содержатся инклюзивные данные о каждом удостоверении, например:

— все связанные оповещения
— контроль учетных записей Active Directory
— Опасные пути бокового смещения
— временная шкала действий и оповещений;
— сведения об наблюдаемых расположениях, устройствах и группах.

Дополнительные сведения см. в статье Исследование пользователей на портале Microsoft Defender.
Страница устройства На портале Microsoft Defender оповещений перечислены все устройства и пользователи, подключенные к каждому подозрительному действию. Чтобы получить доступ к странице сведений об устройстве, выберите определенное устройство в оповещении.

Дополнительные сведения см. в разделе Исследование устройств в списке устройств Microsoft Defender для конечной точки.
Расширенная охота Портал Microsoft Defender помогает заблаговременно искать угрозы и вредоносные действия с помощью расширенных запросов охоты. Эти мощные запросы можно использовать для поиска и проверки индикаторов угроз и сущностей для известных и потенциальных угроз.

Создавайте настраиваемые правила обнаружения на основе расширенных запросов охоты, чтобы упреждающее watch событий, которые могут свидетельствовать о нарушениях безопасности и неправильно настроенных устройствах.

Дополнительные сведения см. в статье Упреждающая охота на угрозы с помощью расширенной охоты на портале Microsoft Defender.
Глобальный поиск Используйте панель поиска в верхней части страницы портала Microsoft Defender для поиска любой сущности, отслеживаемой Microsoft Defender XDR, включая удостоверения, конечные точки, данные Office 365, группы Active Directory (предварительная версия) и многое другое.

Выберите результаты непосредственно в раскрывающемся списке поиска или выберите Все пользователи или Все устройства , чтобы просмотреть все сущности, связанные с заданным поисковым термином.
Пути бокового смещения Портал Microsoft Defender предоставляет данные пути бокового перемещения на странице Расширенный поиск и оценку безопасности путей бокового перемещения, а также вкладку Пути бокового перемещения на странице сведений о пользователе.

Дополнительные сведения см. в статье Общие сведения о путях бокового перемещения (LMP) с помощью Microsoft Defender для удостоверений.

Обнаружение и реагирование

Область Описание
Корреляция оповещений и инцидентов Оповещения Defender для удостоверений теперь включены в очередь оповещений портала Microsoft Defender, что делает их доступными для функции автоматической корреляции инцидентов.

Просмотрите все оповещения в одном месте и определите область нарушения еще быстрее, чем раньше.

Дополнительные сведения см. в статье Изучение оповещений Defender для удостоверений на портале Microsoft Defender.
Исключения оповещений Интерфейс оповещений портала Microsoft Defender более удобен для пользователя и включает функцию поиска и глобальные исключения, что означает, что вы можете исключить любую сущность из всех оповещений, созданных Defender для удостоверений.

Дополнительные сведения см. в разделе Настройка исключений Defender для обнаружения удостоверений в Microsoft Defender XDR.
Настройка оповещений Настройка оповещений, ранее известная как подавление оповещений, позволяет настраивать и оптимизировать оповещения. Настройка оповещений сокращает количество ложных срабатываний, позволяя командам SOC сосредоточиться на высокоприоритетных оповещениях и улучшает охват обнаружения угроз в вашей системе.

В Microsoft Defender XDR создайте условия правила на основе типов доказательств, а затем примените правило к любому типу правил, который соответствует вашим условиям. Дополнительные сведения см. в разделе Настройка оповещения.
Действия по исправлению Действия по исправлению Defender для удостоверений, такие как отключение учетных записей или требование сброса пароля, доступны на странице сведений о пользователях портала Microsoft Defender.

Дополнительные сведения см. в разделе Действия по исправлению в Microsoft Defender для удостоверений.

Краткий справочник

В следующей таблице перечислены изменения в навигации между Microsoft Defender для удостоверений и порталом Microsoft Defender.

Defender для Идентичности Портал Microsoft Defender
Timeline — Microsoft Defender очереди оповещений и инцидентов на портале
Отчеты На страницеУправление отчетами>удостоверенийотчетов> на портале Microsoft Defender доступны следующие типы отчетов для немедленного скачивания или для периодической доставки по электронной почте:

— Сводный отчет об оповещениях и проблемах работоспособности, о которые необходимо позаботиться.
— Список каждого изменения в конфиденциальных группах.
— Список паролей исходного компьютера и учетных записей, которые были обнаружены как отправляемые в виде открытого текста.
— Список конфиденциальных учетных записей, предоставляемых в путях бокового смещения.

Дополнительные сведения см. в разделе Управление отчетами.
Страница удостоверений страница сведений о пользователе портала Microsoft Defender
Страница устройства страница сведений об устройстве портала Microsoft Defender
Страница группы Microsoft Defender боковой панели групп портала
Страница оповещений страница сведений об оповещении портала Microsoft Defender

Совет. Используйте настройку оповещений для оптимизации оповещений, которые отображаются на портале Microsoft Defender.
Поиск глобальный поиск портала Microsoft Defender
Проблемы с работоспособностью Проблемы со работоспособностью удостоверений на портале > Microsoft Defender
Действия сущностей - Расширенная охота
Временная шкала страницы > устройства
— Вкладка временной шкалы страницы > удостоверений
- Вкладка"Временная шкала" в области > групп
Параметры Параметры —>удостоверения
Пользователи и учетные записи Активы —>удостоверения
Состояние безопасности удостоверений оценка состояния безопасности Microsoft Defender для удостоверений
Подключение новой рабочей области Параметры —>удостоверения (автоматически)
About > Параметры Удостоверения О программе >

Дальнейшие действия

Дополнительные сведения см. в указанных ниже статьях.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.