什么是 Microsoft Defender XDR?

Microsoft Defender XDR 是一个统一的入侵前和入侵后企业防御套件,可跨终结点、标识、电子邮件和应用程序本机协调检测、预防、调查和响应,以提供针对复杂攻击的集成保护。

Microsoft Defender XDR 使用其他Microsoft安全产品的信息来帮助安全团队保护和检测其组织,其中包括:

借助集成的 Microsoft Defender XDR 解决方案,安全专业人员可以将每个产品接收的威胁信号拼凑在一起,并确定威胁的全部范围和影响;它如何进入环境、它受到的影响,以及它当前对组织的影响。 Microsoft Defender XDR 采取自动操作来防止或停止攻击,并自我修复受影响的邮箱、终结点和用户标识。

Microsoft Defender XDR 保护

Microsoft Defender XDR 服务保护:

  • 使用 Defender for Endpoint 的终结点 - Microsoft Defender for Endpoint 是一个统一的终结点平台,用于预防性保护、违规后检测、自动调查和响应。

  • 使用 Defender 漏洞管理的资产 - Microsoft Defender 漏洞管理提供持续的资产可见性、基于风险的智能评估和内置修正工具,以帮助安全和 IT 团队确定优先级并解决整个组织的关键漏洞和错误配置。

  • 使用 Defender for Office 365 的电子邮件和协作 - Defender for Office 365 可保护组织免受电子邮件、链接 (URL) 和协作工具构成的恶意威胁。

  • 使用 Defender for Identity 和 Microsoft Entra ID Protection 的标识 - Microsoft Defender for Identity 是一种基于云的安全解决方案,它使用本地 Active Directory 信号来识别、检测和调查针对组织的高级威胁、泄露的标识和恶意内部操作。 Microsoft Entra ID 保护使用在具有Microsoft Entra ID 的组织、具有Microsoft帐户的使用者空间以及使用 Xbox 玩游戏时从其位置获得的学习Microsoft来保护你的用户。

  • 使用 Defender for Cloud Apps 的应用程序 - Microsoft Defender for Cloud Apps 是一个全面的跨 SaaS 解决方案,为云应用提供深入的可见性、强大的数据控制和增强的威胁防护。

  • 使用 Defender for Cloud云工作负载和应用程序 - Microsoft Defender for Cloud 是一个云原生应用程序保护平台, (CNAPP) 将开发安全操作 (DevSecOps) 、云安全态势 (CPSM) ,以及云工作负载保护平台 (CWPP) ,以保护基于云的应用程序免受威胁和漏洞。

Microsoft Defender XDR 独特的跨产品层增强了各个服务组件,以便:

  • 通过信号共享和自动操作,帮助防范攻击并协调整个服务的防御响应。

  • 通过将有关警报、可疑事件和受影响资产的数据加入事件,为安全团队讲述有关产品警报、行为和上下文的攻击的完整故事。

  • 通过自动修正触发受影响资产的自我修复,自动响应入侵。

  • 使安全团队能够跨终结点和 Office 数据执行详细而有效的威胁搜寻。

Microsoft Defender XDR 跨产品功能包括:

  • Microsoft Defender 门户中的跨产品单一管理平台 - Microsoft Defender 门户中单个队列和单个窗格中所有有关检测、受影响资产、自动操作和相关证据的信息的中心视图。

  • 合并事件队列 - 通过确保整个攻击范围、受影响的资产和自动修正操作组合在一起并及时显示,帮助安全专业人员专注于关键内容。

  • 威胁的自动响应 - Microsoft Defender XDR 产品之间实时共享关键威胁信息,以帮助阻止攻击的进展。

    例如,如果在受 Defender for Endpoint 保护的终结点上检测到恶意文件,则会指示 Defender for Office 365 扫描并删除所有电子邮件中的文件。 整个 Microsoft 365 安全套件一目了然地阻止该文件。

  • 对受损设备、用户标识和邮箱进行自我修复 - Microsoft Defender XDR 使用 AI 支持的自动操作和 playbook 将受影响的资产修正回安全状态。 Microsoft Defender XDR 利用套件产品的自动修正功能,确保在可能的情况下自动修正与事件相关的所有受影响的资产。

  • 跨产品威胁搜寻 - 安全团队可以通过针对各种保护产品收集的原始数据创建自己的自定义查询,利用其独特的组织知识来搜寻入侵迹象。 Microsoft Defender XDR 提供对跨终结点和 Defender for Office 365 数据的 30 天历史原始信号和警报数据的基于查询的访问。

入门

Microsoft必须满足 Defender XDR 许可要求,然后才能在 Microsoft Defender 门户中 https://security.microsoft.com 启用该服务,有关详细信息,请参阅:

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区