什么是 Microsoft 365 Defender？

注意

希望体验 Microsoft 365 Defender？ 详细了解如何评估和试点Microsoft 365 Defender。

适用于：

• Microsoft 365 Defender

Microsoft 365 Defender 是一款统一的漏洞前和漏洞后企业防御套件，结合检测、预防、调查和应急为一体，可针对终结点、标识、电子邮件和应用程序提供集成的保护，抵御复杂的攻击。

下面是Microsoft 365 Defender协调的不同Microsoft 365 Defender产品和解决方案的列表：

• Microsoft Defender for Endpoint
• Microsoft Defender for Office 365
• Microsoft Defender for Identity
• Microsoft Defender for Cloud Apps
• Microsoft Defender 漏洞管理
• Azure Active Directory Identity Protection
• Microsoft 数据丢失防护
• 应用治理

请注意，从 Azure Active Directory 标识保护 (AAD IP) 到Microsoft 365 Defender的警报的协调处于公共预览状态，在商业发布之前，可能会进行大量修改。 仅当客户已有Microsoft 365 Defender时，才可使用 AAD IP。

借助集成的Microsoft 365 Defender解决方案，安全专业人员可以将每个产品接收的威胁信号拼凑在一起，并确定威胁的全部范围和影响;威胁进入环境的方式、影响内容以及当前对组织的影响。 Microsoft 365 Defender采取自动操作来防止或停止攻击，并自我修复受影响的邮箱、终结点和用户标识。

Microsoft 365 Defender交互式指南

在本交互式指南中，你将了解如何使用Microsoft 365 Defender保护组织。 你将了解Microsoft 365 Defender如何帮助你检测安全风险、调查对组织的攻击，以及自动防止有害活动。

请查看交互指南

Microsoft 365 Defender保护

Microsoft 365 Defender服务保护：

• 使用 Defender for Endpoint 的终结点 - Defender for Endpoint 是一个统一的终结点平台，用于预防性保护、违规后检测、自动调查和响应。
• 使用 Defender 漏洞管理的资产 - Microsoft Defender 漏洞管理提供持续的资产可见性、基于风险的智能评估和内置修正工具，以帮助安全和 IT 团队确定优先级，并解决组织中的关键漏洞和错误配置。
• 与 Defender for Office 365 进行Email和协作 - Defender for Office 365保护组织免受电子邮件、链接 (URL) 和协作工具构成的恶意威胁。
• 使用 Defender for Identity 和 Azure Active Directory (Azure AD) Identity Protection 的标识 - Microsoft Defender for Identity是一种基于云的安全解决方案，利用本地 Active Directory 用于识别、检测和调查针对组织的高级威胁、泄露的标识和恶意内部操作的信号。 Azure AD 标识保护使用 Microsoft 在组织中通过 Azure AD、使用 Microsoft 帐户的消费者空间和使用 Xbox 玩游戏中获取的学习来保护用户。
• 具有Microsoft Defender for Cloud Apps的应用程序 - Microsoft Defender for Cloud Apps是一种全面的跨 SaaS 解决方案，为云应用带来深入的可见性、强大的数据控制和增强的威胁防护。

Microsoft 365 Defender独特的跨产品层增强了各个服务组件，以便：

• 通过信号共享和自动操作，帮助防范攻击并协调整个服务的防御响应。
• 通过将警报、可疑事件和受影响资产的数据加入到“事件”中，为安全团队讲述有关产品警报、行为和上下文的攻击的完整故事。
• 通过自动修正触发受影响资产的自我修复，自动响应入侵。
• 使安全团队能够跨终结点和 Office 数据执行详细而有效的威胁搜寻。

下面是Microsoft 365 Defender门户如何将产品中的所有相关警报关联到单个事件的示例。

下面是事件相关警报列表的示例。

下面是基于电子邮件和终结点原始数据进行查询搜寻的示例。

Microsoft 365 Defender跨产品功能包括：

• Microsoft 365 Defender门户中的跨产品单一管理平台 - Microsoft 365 Defender门户中单个队列和单个窗格中所有有关检测、受影响资产、自动操作和相关证据的信息的中心视图。

• 合并事件队列 - 通过确保整个攻击范围、受影响的资产和自动修正操作组合在一起并及时显示，帮助安全专业人员专注于关键内容。

• 威胁的自动响应 - 关键威胁信息在Microsoft 365 Defender产品之间实时共享，以帮助阻止攻击的发展。

  例如，如果在受 Defender for Endpoint 保护的终结点上检测到恶意文件，则会指示Defender for Office 365扫描并删除所有电子邮件中的文件。 整个 Microsoft 365 安全套件会在看到文件时阻止该文件。

• 对受损设备、用户标识和邮箱进行自我修复 - Microsoft 365 Defender使用 AI 支持的自动操作和 playbook 将受影响的资产修正回安全状态。 Microsoft 365 Defender利用套件产品的自动修正功能，以确保尽可能自动修正与事件相关的所有受影响的资产。

• 跨产品威胁搜寻 - 安全团队可以通过针对各种保护产品收集的原始数据创建自己的自定义查询，利用其独特的组织知识来搜寻入侵迹象。 Microsoft 365 Defender跨终结点和Defender for Office 365数据提供对 30 天的历史原始信号和警报数据的基于查询的访问。

入门

Microsoft 365 Defender必须满足许可要求，然后才能在 Microsoft 365 Defender 门户中https://security.microsoft.com启用该服务，有关详细信息，请参阅：

• 许可要求
• 打开 Microsoft 365 Defender