Microsoft Defender门户中的Microsoft Defender for Endpoint
Microsoft Defender for Endpoint是Microsoft Defender门户的一部分,为安全团队提供统一的体验,用于管理事件和警报、搜寻威胁以及自动执行调查和响应。 Microsoft Defender门户 (https://security.microsoft.com) 结合了安全功能,可保护资产以及检测、调查和响应威胁。
笔记本电脑、手机、平板电脑、路由器和防火墙等终结点是网络入口点。 Microsoft Defender for Endpoint通过提供对网络上活动的可见性以及检测和响应高级威胁来帮助保护这些终结点。
本指南介绍了在 Microsoft Defender 门户中运行Microsoft Defender for Endpoint时会发生什么。
在开始之前了解
若要在Microsoft Defender门户中使用Microsoft Defender for Endpoint,需要具有Microsoft Defender for Endpoint许可证。 有关详细信息,请参阅Microsoft Defender for Endpoint许可。
此外,确认你对硬件和软件、浏览器、网络连接以及与 Microsoft Defender 防病毒的兼容性有要求。 有关详细信息,请参阅Microsoft Defender for Endpoint最低要求。
还需要具有访问Microsoft Defender门户所需的权限。 有关详细信息,请参阅 使用基本权限访问门户。
预期结果
调查和响应
Microsoft Defender门户中的调查和响应功能可帮助你调查和响应事件和警报。 事件是彼此相关的警报组。
事件和警报
事件涉及的设备显示在事件的页面 攻击故事、事件图和 资产 选项卡中。可以查看事件的详细信息,包括涉及的设备、触发事件的警报以及执行的操作。 你可以对事件应用操作,例如隔离设备、收集调查包等。
单个警报显示在“警报”页中。 可以查看警报的详细信息,包括涉及的设备、警报所属的事件以及执行的操作。 还可以在警报页中对警报应用操作。
搜寻
通过使用 高级搜索查询来在终结点、Office 365 邮箱等位置主动搜索威胁、恶意软件和恶意。 这些功能强大的查询可用于查找和查看已知威胁和潜在威胁的威胁指标和实体。
自定义检测规则可以从高级搜寻查询生成,以帮助主动watch可能指示违规活动和错误配置设备的事件。
操作中心和提交
操作中心显示自动调查和响应功能创建的调查。 Microsoft Defender门户中的这种自动自我修复可以通过自动响应特定事件来帮助安全团队。 可以查看应用于设备的操作、操作的状态,以及批准或拒绝自动操作。 导航到“ 调查 & 响应 > 操作 & 提交 > 操作中心”下的“操作中心”页。
可以在提交门户中将文件、电子邮件附件和 URL 提交到Microsoft Defender进行分析。 还可以查看提交状态和分析结果。 导航到“调查 & 响应>操作 & 提交>”下的“子项”页。
威胁智能
可以在“威胁 情报 ”页中查看新出现的威胁、新的攻击技术、流行的恶意软件以及有关威胁参与者和市场活动的信息。 访问威胁分析仪表板以查看最新的威胁情报和见解。 还可以通过 分析报告查看阅读内容并了解如何防范某些威胁。
导航到“威胁情报>威胁分析”下的“威胁分析”页。
设备清单
“ 资产 > 设备 ”页包含 设备清单,其中列出了组织中生成警报的所有设备。 可以查看设备的详细信息,包括 IP 地址、严重性级别、设备类别和设备类型。
漏洞管理和终结点配置管理的Microsoft Defender
可以在“终结点>漏洞管理”下找到Microsoft Defender 漏洞管理仪表板。 Defender for Vulnerability Management 可帮助你发现、确定网络漏洞的优先级并修正漏洞。 详细了解先决条件和权限以及如何将设备载入Defender 漏洞管理。
设备配置仪表板位于终结点>配置管理>仪表板中。 你可以一目了然地查看设备安全性、通过Microsoft Intune和Microsoft Defender for Endpoint加入、Web 防护覆盖范围和攻击面管理。
安全管理员可以在“终结点配置>管理”“终结点安全策略”下将终结点>安全策略部署到组织中的设备。 详细了解 终结点安全策略。
报表
可以在“ 报告 ”页中查看设备运行状况、易受攻击的设备、每月安全摘要、Web 保护、防火墙、设备控制和攻击面减少规则报告。
常规设置
设备发现
在“设置设备发现”>页中,可以配置设备发现设置,包括发现方法、排除项、启用企业 IOT (访问依赖) ,以及配置经过身份验证的扫描计划。 有关详细信息,请参阅 设备发现。
终结点设置
导航到“设置终结点”>页,为Microsoft Defender for Endpoint配置设置,包括高级功能、电子邮件通知、权限等。
电子邮件通知
可以为特定设备、警报严重性和漏洞创建规则,以便将电子邮件通知发送给特定用户或组。 有关详细信息,请参阅以下信息:
权限和角色
若要管理终结点的角色、权限和设备组,请导航到“设置终结点”>下的“权限”。 可以在“角色 ” 下创建和定义角色并分配权限,并在“ 设备组”下创建设备并将其组织成组。
或者,可以在“系统>权限”页中导航到“终结点角色 & 组”。
API 和 MSSP
Microsoft Defender XDR警报 API 是官方 API,使客户能够使用单个集成处理所有Defender XDR产品的警报。 有关详细信息,请参阅从 MDE SIEM API 迁移到Microsoft Defender XDR警报 API。
若要授权托管安全服务提供商 (MSSP) 访问接收警报,需要提供 MSSP 的应用程序和租户 ID。 有关详细信息,请参阅 MSSP 集成。
Rules
可以创建规则和策略来管理指示器、筛选 Web 内容、管理自动化上传和自动化文件夹排除等。 若要创建这些规则,请导航到“设置终结点”>下的“规则”。 有关管理这些规则的详细信息,请参阅以下链接:
安全设置管理
在“设置>终结点>配置管理>强制范围”中,可以允许Microsoft Defender for Endpoint强制实施Microsoft Intune安全设置。 有关详细信息,请参阅使用 Microsoft Intune 配置和管理防病毒Microsoft Defender。
设备管理
可以在 “设置 > 终结点 > 设备管理 ”页中加入或卸载设备并运行设备检测测试。 请参阅载入到Microsoft Defender for Endpoint了解载入设备的步骤。 若要卸载设备,请参阅 卸载设备。
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。