Microsoft Defender 门户
的 Microsoft Defender 门户https://security.microsoft.com将整个组织及其所有组件的威胁的保护、检测、调查和响应组合在一个中心位置。 Defender 门户强调快速访问信息、简化布局以及将相关信息汇集在一起以便于使用。 其中包括:
- Microsoft Defender for Office 365可帮助组织通过一组预防、检测、调查和搜寻功能来保护其企业,以保护电子邮件和Office 365资源。
- Microsoft Defender for Endpoint为组织中的设备提供预防性保护、违规后检测、自动调查和响应。
- Microsoft Defender for Identity是基于云的安全解决方案,它使用本地 Active Directory信号来识别、检测和调查针对组织的高级威胁、泄露的标识和恶意内部操作。
- Microsoft Defender for Cloud Apps是一种全面的跨 SaaS 和 PaaS 解决方案,可让你的云应用实现深入的可见性、强大的数据控制和增强的威胁防护。
- Microsoft Sentinel 是一种云原生安全信息和事件管理 (SIEM) 解决方案,可提供主动的威胁检测、调查和响应。
重要
Microsoft Sentinel 作为Microsoft Defender门户中统一安全操作平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
观看此简短视频,了解 Defender 门户。
预期结果
Microsoft Defender门户将来自不同工作负载的信号引入一组统一的体验,从而帮助安全团队调查和响应攻击:
- 事件和警报
- 搜寻
- 操作 & 提交
- 威胁分析
- 安全评分
- 学习中心
- 试验
- 合作伙伴目录
Microsoft Defender门户强调统一、清晰和共同的目标。
注意
在Microsoft Defender门户中,客户仅看到其订阅包含的安全功能。 例如,如果Defender for Office 365但没有 Defender for Endpoint,则会看到Defender for Office 365的特性和功能,但设备保护却看不到。
事件和警报调查
集中安全信息可创建一个位置来调查整个组织及其所有组件的安全事件,包括:
- 混合标识
- 终结点
- 云应用
- 业务应用
- Email和文档
- IoT
- 网络
- 业务应用程序
- OT) 操作技术 (
- 基础结构和云工作负载
主要示例是“事件”下的“事件 & 警报”。
选择事件名称将显示一个页面,其中展示了集中安全信息的价值,因为你可以更好地了解威胁(从电子邮件到标识到终结点)的完整扩展。
花时间查看环境中的事件,向下钻取每个警报,并练习了解如何访问信息并确定分析中的后续步骤。
有关详细信息,请参阅 Microsoft Defender 门户中的事件。
搜寻
可以生成自定义检测规则并搜寻环境中的特定威胁。 搜寻 使用基于查询的威胁搜寻工具,可让你主动检查组织中的事件,以查找威胁指示器和实体。 这些规则自动运行以检查,然后响应可疑的违规活动、错误配置的计算机和其他发现。
有关详细信息,请参阅使用Microsoft Defender XDR中的高级搜寻主动搜寻威胁。
改进的流程
通用控件和内容要么出现在同一位置,要么压缩为一个数据馈送,以便于查找。 例如,在 “设置” 和“权限”下的“ 权限”下查找统一设置。
统一设置
权限
使用Microsoft Entra全局角色或使用自定义角色配置对Microsoft Defender XDR的访问权限。
- 详细了解如何管理对Microsoft Defender XDR的访问权限
- 详细了解如何在 Microsoft Defender XDR 中创建自定义角色
对于 Microsoft Sentinel,在将 Microsoft Sentinel 连接到 Defender 门户后,现有的 Azure 基于角色的访问控制 (RBAC) 权限允许你使用有权访问的 Microsoft Sentinel 功能。 继续从 Azure 门户管理 Microsoft Sentinel 用户的角色和权限。 任何 Azure RBAC 更改都反映在 Defender 门户中。 有关 Microsoft Sentinel 权限的详细信息,请参阅:
集成报表
报表在Microsoft Defender XDR中也是统一的。 管理员可以从常规安全报告开始,并分支到有关终结点、电子邮件 & 协作的特定报表。 此处的链接基于工作负载配置动态生成。
快速查看 Microsoft 365 环境
主页显示安全团队所需的许多常用卡片。 卡片和数据的组合取决于用户角色。 由于 Defender 门户使用基于角色的访问控制,因此不同的角色会看到对日常作业更有意义的卡片。
此概览信息可帮助你了解组织中的最新活动。 Microsoft Defender XDR将来自不同源的信号汇集在一起,提供 Microsoft 365 环境的整体视图。
可以根据需要添加和删除不同的卡片。
跨实体搜索 (预览版)
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。 搜索栏位于页面顶部。 键入时,会提供建议,以便更轻松地查找实体。 增强的搜索结果页集中所有实体的结果。
可以在 Defender for Endpoint 和 Defender for Identity 中搜索以下实体:
设备 - 支持 Defender for Endpoint 和 Defender for Identity。 支持使用搜索运算符。
用户 - 支持 Defender for Endpoint、Defender for Identity 和 Defender for Cloud Apps。
文件、IP 和 URL - 与 Defender for Endpoint 中的功能相同。
注意
IP 和 URL 搜索完全匹配,不会显示在搜索结果页中 , 它们直接指向实体页。
MDVM - 与 Defender for Endpoint 中的功能相同, (漏洞、软件和建议) 。
威胁分析
使用以下Microsoft Defender XDR威胁分析跟踪和响应新出现的威胁:威胁分析是 Microsoft 安全专家提供Microsoft Defender XDR威胁情报解决方案。 它旨在帮助安全团队尽可能高效地应对新出现的威胁,例如:
- 活动威胁执行组件及其活动
- 热门和新的攻击技术
- 严重漏洞
- 常见攻击面
- 流行的恶意软件
合作伙伴目录
Microsoft Defender XDR支持两种类型的合作伙伴:
- 第三方集成可帮助在终结点、漏洞管理、电子邮件、标识和云应用等各种安全领域通过有效的威胁防护、检测、调查和响应来保护用户。
- 专业服务,组织可在其中增强平台的检测、调查和威胁情报功能。
向我们发送反馈
我们需要你的反馈。 如果想要查看的内容,watch此视频,了解如何信任我们阅读你的反馈。
了解 Defender 门户提供的功能
继续探索 Defender 门户中的特性和功能:
若要了解与统一安全操作平台 (预览版) 中的 Microsoft Sentinel 与 Microsoft Defender XDR 集成相关的功能,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
针对安全分析师的培训
通过 Microsoft Learn 的此学习路径,可以了解Microsoft Defender XDR以及它如何帮助识别、控制和修正安全威胁。
| 培训: | 使用Microsoft Defender XDR缓解威胁 |
|---|---|
 |
跨域分析威胁数据,并在 Microsoft Defender XDR 中使用内置的业务流程和自动化快速修正威胁。 此学习路径与考试 SC-200:Microsoft 安全运营分析师保持一致。 9 小时 31 分钟 - 学习路径 - 11 个模块 |
另请参阅
- Microsoft Defender XDR 中的新增功能
- Microsoft Defender门户中的Microsoft Defender for Office 365
- Microsoft Defender门户中Microsoft Defender for Endpoint
- Microsoft Defender门户中的Microsoft Defender for Identity
- Microsoft Defender XDR中的Microsoft Defender for Cloud Apps
- Microsoft Defender门户中的 Microsoft Defender for Cloud
- Microsoft Defender门户中的 Microsoft Sentinel
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈