Microsoft Defender 门户

位于 的 https://security.microsoft.com Microsoft Defender 门户将整个组织及其所有组件中的威胁的保护、检测、调查和响应组合在一个中心位置。 Defender 门户强调快速访问信息、简化布局以及将相关信息汇集在一起以便于使用。 其中包括：

• Microsoft Defender for Office 365 通过一组预防、检测、调查和搜寻功能帮助组织保护企业安全，以保护电子邮件和 Office 365 资源。
• Microsoft Defender for Endpoint 为组织中的设备提供预防性保护、违规后检测、自动调查和响应。
• Microsoft Defender for Identity 是一种基于云的安全解决方案，它使用本地 Active Directory 信号来识别、检测和调查针对组织的高级威胁、泄露的标识和恶意内部操作。
• Microsoft Defender for Cloud Apps 是一个全面的跨 SaaS 和 PaaS 解决方案，可让你的云应用实现深入的可见性、强大的数据控制和增强的威胁防护。
• Microsoft Sentinel 是一种云原生安全信息和事件管理 (SIEM) 解决方案，可提供主动的威胁检测、调查和响应。

重要

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全操作平台的一部分提供。 现在支持在生产中使用 Defender 门户中的 Microsoft Sentinel。 有关详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

观看此简短视频，了解 Defender 门户。

预期结果

Microsoft Defender 门户通过将来自不同工作负载的信号引入一组统一的体验，帮助安全团队调查和响应攻击：

• 事件和警报
• 搜寻
• 操作 & 提交
• 威胁分析
• 安全评分
• 学习中心
• 试验
• 合作伙伴目录

Microsoft Defender 门户强调 统一、清晰和共同的目标。

注意

在 Microsoft Defender 门户中，客户仅看到其订阅包含的安全功能。 例如，如果你有 Defender for Office 365，但没有 Defender for Endpoint，则会看到 Defender for Office 365 的特性和功能，但看不到设备保护。

事件和警报调查

集中安全信息可创建一个位置来调查整个组织及其所有组件的安全事件，包括：

• 混合标识
• 终结点
• 云应用
• 业务应用
• 电子邮件和文档
• IoT
• 网络
• 业务应用程序
• OT) 操作技术 (
• 基础结构和云工作负载

主要示例是“事件”下的“事件 & 警报”。

选择事件名称将显示一个页面，其中展示了集中安全信息的价值，因为你可以更好地了解威胁（从电子邮件到标识到终结点）的完整扩展。

花时间查看环境中的事件，向下钻取每个警报，并练习了解如何访问信息并确定分析中的后续步骤。

有关详细信息，请参阅 Microsoft Defender 门户中的事件。

搜寻

可以生成自定义检测规则并搜寻环境中的特定威胁。 搜寻 使用基于查询的威胁搜寻工具，可让你主动检查组织中的事件，以查找威胁指示器和实体。 这些规则会自动运行，以检查并响应可疑的违规活动、错误配置的计算机和其他发现。

有关详细信息，请参阅 在 Microsoft Defender XDR 中使用高级搜寻主动搜寻威胁。

改进的流程

通用控件和内容要么出现在同一位置，要么压缩为一个数据馈送，以便于查找。 例如，在 “设置” 和“权限”下的“ 权限”下查找统一设置。

统一设置

权限

使用 Microsoft Entra 全局角色或使用自定义角色配置对 Microsoft Defender XDR 的访问权限。

• 详细了解如何 管理对 Microsoft Defender XDR 的访问
• 详细了解如何在 Microsoft Defender XDR 中创建自定义角色

对于 Microsoft Sentinel，在将 Microsoft Sentinel 连接到 Defender 门户后，现有的 Azure 基于角色的访问控制 (RBAC) 权限允许你使用有权访问的 Microsoft Sentinel 功能。 继续从 Azure 门户管理 Microsoft Sentinel 用户的角色和权限。 任何 Azure RBAC 更改都反映在 Defender 门户中。 有关 Microsoft Sentinel 权限的详细信息，请参阅：

• Microsoft Sentinel 中的角色和权限 |Microsoft Learn
• 按资源管理对 Microsoft Sentinel 数据的访问权限 |Microsoft Learn

集成报表

Microsoft Defender XDR 中也统一了报表。 管理员可以从常规安全报告开始，并分支到有关终结点、电子邮件 & 协作的特定报表。 此处的链接基于工作负载配置动态生成。

快速查看 Microsoft 365 环境

主页显示安全团队所需的许多常用卡片。 卡片和数据的组合取决于用户角色。 由于 Defender 门户使用基于角色的访问控制，因此不同的角色会看到对日常作业更有意义的卡片。

此概览信息可帮助你了解组织中的最新活动。 Microsoft Defender XDR 将来自不同源的信号汇集在一起，提供 Microsoft 365 环境的整体视图。

可以根据需要添加和删除不同的卡片。

全局搜索

重要

某些信息与预发布的产品有关，在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。 搜索栏位于页面顶部。 键入时，会提供建议，以便更轻松地查找实体。 增强的搜索结果页集中所有实体的结果。

Microsoft Defender 门户的搜索功能位于页面顶部。 键入时，会提供建议，以便更轻松地查找实体。 增强的搜索结果页集中所有实体的结果。

搜索结果按与搜索词相关的部分进行分类。 可以在 Microsoft Defender 门户中搜索以下实体：

• 设备 - 支持 Defender for Endpoint、Defender for Identity、Defender for Cloud 和 Microsoft Sentinel (预览版) 。

• 用户 - 支持 Defender for Endpoint、Defender for Identity、Defender for Cloud Apps 和 Microsoft Sentinel (Preview) 。

• 文件、IP 和 URL - 与 Defender for Endpoint 中的功能相同。

  注意

  IP 和 URL 搜索完全匹配，不会显示在搜索结果页中 ， 它们直接指向实体页。

• MDVM - 与 Defender for Endpoint 中的功能相同， (漏洞、软件和建议) 。

搜索还提供来自 Microsoft 技术社区门户中相关链接的结果、Microsoft Learn 中的相关文档、门户中的导航项以及可在其中提供反馈的链接。 搜索历史记录存储在浏览器中，可在接下来的 30 天内访问。

通知

通知是通知你有关 Defender 门户中重要事件或更新的消息。 它们可帮助你随时了解安全任务和警报。

通知位于门户用户界面的顶部栏中。 可以通过单击通知图标来访问它们，该图标看起来像一个钟声。 图标上的数字表示你有该数量的未读通知。

通知可以告知你各种类型的事件或更新：

• 成功：当操作或任务成功完成时，例如扫描设备或应用策略。
• 正在进行：操作正在进行时。
• 信息：当你发现一些有用的信息时。
• 警告：当存在潜在问题或风险时，应注意设备不合规或需要更新的策略。
• 错误：当出现需要注意的错误或失败时，例如删除或合并事件、失败的扫描或无法应用的策略。

每个通知都有一个标题和内容，提供事件或更新的相关信息。 每个通知还有一个时间戳，用于显示通知的生成时间。

可以在视图中隐藏通知。 可以通过单击通知右侧的 x 图标来消除单个通知。 还可以使用通知面板顶部的“ 全部消除 ”，只需单击一下即可消除列表中的所有通知。

消除通知不会将其从门户中删除。 始终可以通过选择通知面板底部的“ 显示已消除 ”来查看已消除的通知。

通知在通知面板中按生成时间排序，并首先显示最近的通知。 可以滚动浏览通知列表以查看较旧的通知。

威胁分析

使用以下 Microsoft Defender XDR 威胁分析跟踪和响应新出现的威胁：威胁分析是 Microsoft 安全专家提供的 Microsoft Defender XDR 威胁情报解决方案。 它旨在帮助安全团队尽可能高效地应对新出现的威胁，例如：

• 活动威胁执行组件及其活动
• 热门和新的攻击技术
• 严重漏洞
• 常见攻击面
• 流行的恶意软件

合作伙伴目录

Microsoft Defender XDR 支持两种类型的合作伙伴：

• 第三方集成可帮助在终结点、漏洞管理、电子邮件、标识和云应用等各种安全领域通过有效的威胁防护、检测、调查和响应来保护用户。
• 专业服务，组织可在其中增强平台的检测、调查和威胁情报功能。

向我们发送反馈

我们需要你的反馈。 如果想要查看某些内容， 请观看此视频，了解如何信任我们阅读你的反馈。

了解 Defender 门户提供的功能

继续探索 Defender 门户中的特性和功能：

• 管理事件和警报
• 通过威胁分析跟踪和响应新兴威胁
• 操作中心
• 跨设备、电子邮件、应用和标识搜索威胁
• 自定义检测规则
• 电子邮件和协作警报
• 创建网络钓鱼攻击模拟 并 创建有效负载来训练团队

若要了解与统一安全操作平台中的 Microsoft Sentinel 与 Microsoft Defender XDR 集成相关的功能，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

针对安全分析师的培训

通过 Microsoft Learn 的此学习路径，可以了解 Microsoft Defender XDR 及其如何帮助识别、控制和修正安全威胁。

培训：	使用 Microsoft Defender XDR 缓解威胁
	使用 Microsoft Defender XDR 中的内置业务流程和自动化分析跨域的威胁数据并快速修正威胁。 此学习路径与考试 SC-200：Microsoft 安全运营分析师保持一致。 9 小时 31 分钟 - 学习路径 - 11 个模块

开始 >

另请参阅

• Microsoft Defender XDR 中的新增功能
• Microsoft Defender 门户中的 Microsoft Defender for Office 365
• Microsoft Defender 门户中的 Microsoft Defender for Endpoint
• Microsoft Defender 门户中的 Microsoft Defender for Identity
• Microsoft Defender XDR 中的 Microsoft Defender for Cloud Apps
• Microsoft Defender 门户中的 Microsoft Defender for Cloud
• Microsoft Defender 门户中的 Microsoft Sentinel

提示

想要了解更多信息？ 在技术社区：Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动。