Что такое XDR в Microsoft Defender?
XDR в Microsoft Defender — это единый набор защиты предприятия до и после нарушения безопасности, который изначально координирует обнаружение, предотвращение, исследование и реагирование на конечные точки, удостоверения, электронную почту и приложения для обеспечения интегрированной защиты от сложных атак.
Microsoft Defender XDR помогает группам безопасности защищать и обнаруживать свои организации с помощью информации из других продуктов майкрософт для обеспечения безопасности, в том числе:
- Microsoft Defender для конечной точки
- Microsoft Defender для Office 365
- Microsoft Defender для удостоверений
- Microsoft Defender for Cloud Apps
- Управление уязвимостями в Microsoft Defender
- Microsoft Defender для облака
- Защита идентификаторов Microsoft Entra
- Защита от потери данных (Майкрософт)
- Управление приложениями
С помощью интегрированного решения XDR в Microsoft Defender специалисты по безопасности могут сшить сигналы об угрозах, получаемые каждым из этих продуктов, и определить полный масштаб и влияние угрозы. как она попала в среду, на что повлияла и как она в настоящее время влияет на организацию. XDR в Microsoft Defender выполняет автоматические действия для предотвращения или остановки атаки и самостоятельного восстановления затронутых почтовых ящиков, конечных точек и удостоверений пользователей.
Защита XDR в Microsoft Defender
Службы XDR в Microsoft Defender защищают:
Конечные точки с Defender для конечной точки . Microsoft Defender для конечной точки — это единая платформа конечных точек для профилактической защиты, обнаружения после нарушения безопасности, автоматического исследования и реагирования.
Ресурсы с управлением уязвимостями Defender . Управление уязвимостями в Microsoft Defender обеспечивает непрерывную видимость активов, интеллектуальные оценки на основе рисков и встроенные средства исправления, которые помогают специалистам по безопасности и ИТ-отделам определять приоритеты и устранять критические уязвимости и неправильные настройки в организации.
Электронная почта и совместная работа с Defender для Office 365 — Defender для Office 365 защищает вашу организацию от вредоносных угроз, связанных с сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы.
Удостоверения с Defender для удостоверений и Microsoft Entra ID Protection . Microsoft Defender для удостоверений — это облачное решение для обеспечения безопасности, которое использует локальные сигналы Active Directory для выявления, обнаружения и исследования расширенных угроз, скомпрометированных удостоверений и вредоносных внутренних действий, направленных на вашу организацию. Защита идентификаторов Microsoft Entra использует знания, полученные корпорацией Майкрософт по их положению в организациях с идентификатором Microsoft Entra, в потребительском пространстве с учетными записями Майкрософт и в играх с Xbox для защиты ваших пользователей.
Приложения с Defender for Cloud Apps — Microsoft Defender for Cloud Apps — это комплексное решение для нескольких SaaS, которое обеспечивает глубокую видимость, надежные элементы управления данными и расширенную защиту от угроз в облачных приложениях.
Облачные рабочие нагрузки и приложенияс Defender для облака . Microsoft Defender для облака — это облачная платформа защиты приложений (CNAPP), объединяющая возможности операций безопасности разработки (DevSecOps), состояния безопасности облака (CPSM) и платформы защиты облачных рабочих нагрузок (CWPP) для защиты облачных приложений от угроз и уязвимостей.
Уникальный уровень XDR в Microsoft Defender для нескольких продуктов дополняет отдельные компоненты службы:
Помогите защититься от атак и координировать защитные ответы в службах с помощью совместного использования сигналов и автоматизированных действий.
Повествуйте всю историю атаки в оповещениях о продуктах, поведении и контексте для групп безопасности, объединяя данные об оповещениях, подозрительных событиях и затронутых ресурсах с инцидентами.
Автоматизация реагирования на компрометацию путем запуска самовосстановления затронутых ресурсов с помощью автоматического исправления.
Позволить группам безопасности выполнять подробный и эффективный поиск угроз для конечных точек и данных Office.
Функции кросс-продуктов XDR в Microsoft Defender:
Одна панель стекла в нескольких продуктах на портале Microsoft Defender — централизованное представление всех сведений об обнаружении, затронутых ресурсах, выполняемых автоматических действиях и связанных доказательствах в одной очереди и одной области на портале Microsoft Defender.
Объединенная очередь инцидентов . Чтобы помочь специалистам по безопасности сосредоточиться на критически важных действиях, обеспечивая полную область атаки, затронутые ресурсы и автоматические действия по исправлению группируются и своевременно отображаются.
Автоматическое реагирование на угрозы . Критически важные сведения об угрозах передаются в режиме реального времени между продуктами XDR в Microsoft Defender, чтобы остановить развитие атаки.
Например, если в конечной точке, защищенной Defender для конечной точки, обнаружен вредоносный файл, он указывает Defender для Office 365 проверить и удалить файл из всех сообщений электронной почты. Файл заблокирован всем пакетом безопасности Microsoft 365.
Самовосстановление для скомпрометированных устройств, удостоверений пользователей и почтовых ящиков . XDR в Microsoft Defender использует автоматические действия и сборники схем на основе ИИ для восстановления затронутых ресурсов в безопасном состоянии. Microsoft Defender XDR использует возможности автоматического исправления продуктов набора, чтобы обеспечить автоматическое исправление всех затронутых ресурсов, связанных с инцидентом, по возможности.
Поиск угроз в нескольких продуктах . Группы безопасности могут использовать свои уникальные организационные знания для поиска признаков компрометации путем создания собственных пользовательских запросов к необработанным данным, собранным различными продуктами защиты. Microsoft Defender XDR предоставляет доступ на основе запросов к 30 дням исторических необработанных сигналов и оповещений в конечной точке и в Данных Defender для Office 365.
Начало работы
Перед включением службы на портале https://security.microsoft.com Microsoft Defender необходимо выполнить требования к лицензированию XDR в Microsoft Defender. Дополнительные сведения см. в следующих разделах:
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.