Microsoft Defender门户中的Microsoft Defender for Endpoint
注意
想要体验Microsoft Defender XDR? 详细了解如何评估和试点Microsoft Defender XDR。
适用于:
本文介绍 Microsoft Defender 门户中的 Defender for Endpoint 体验, (https://security.microsoft.com) 。 以前,Defender for Endpoint 客户使用 Microsoft Defender 安全中心 (https://securitycenter.windows.com 或 https://securitycenter.microsoft.com) 。
快速参考
下图和下表列出了Microsoft Defender 安全中心和Microsoft Defender门户之间的导航更改。
| Microsoft Defender 安全中心 | Microsoft Defender门户 |
|---|---|
仪表板
|
家庭版
|
| 事件 | 事件和警报 |
| 设备清单 | 设备清单 |
| 警报队列 | 事件和警报 |
| 自动调查 | 操作中心 |
| 高级搜寻 | 搜寻 |
| 报表 | 报表 |
| 合作伙伴 & API | 合作伙伴 & API |
| Microsoft Defender 漏洞管理 | 漏洞管理 |
| 评估和教程 | 评估 & 教程 |
| 配置管理 | 配置管理 |
| 设置 | 设置 |
改进的Microsoft Defender门户https://security.microsoft.com结合了安全功能,可保护、检测、调查和响应电子邮件、协作、标识和设备威胁。 这汇集了现有 Microsoft 安全门户的功能,包括Microsoft Defender 安全中心和Office 365安全 & 合规中心。
如果熟悉Microsoft Defender 安全中心,本文可帮助介绍Microsoft Defender门户中的一些更改和改进。 但是,需要注意一些新的和更新的元素。
从历史上看,Microsoft Defender 安全中心一直是Microsoft Defender for Endpoint的家。 企业安全团队使用它来监视和帮助响应潜在高级持续威胁活动或数据泄露的警报。 为了帮助减少门户数量,Microsoft Defender门户将成为监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的主页。
Microsoft Defender门户中的Microsoft Defender for Endpoint支持以Microsoft Defender 安全中心中授予访问权限的相同方式授予对托管安全服务提供商 (MSSP ) 的访问权限。
重要
在Microsoft Defender门户中看到的内容取决于当前订阅。 例如,如果没有Microsoft Defender for Office 365的许可证,则不会显示“Email &协作”部分。
注意
Microsoft Defender XDR不完全可用于:
- 美国政府社区云 (GCC)
- 美国政府社区云高 (GCC 高)
- 美国国防部
- 具有商业许可证的所有美国政府机构
- 在此处查看上述环境的可用性:美国政府客户的Microsoft Defender for Endpoint
在 Microsoft Defender 门户中https://security.microsoft.com查看 。
详细了解优势:Microsoft Defender XDR概述
更改内容
此表是Microsoft Defender 安全中心和Microsoft Defender门户之间更改的快速参考。
警报和操作
| 领域 | 更改说明 |
|---|---|
| 事件 & 警报 | 在 Microsoft Defender 门户中,可以跨所有终结点、电子邮件和标识管理事件和警报。 我们整合了体验,帮助你更轻松地查找相关事件。 有关详细信息,请参阅 事件概述。 |
| 搜寻 | 修改在 Microsoft Defender for Endpoint 中创建的自定义检测规则以包含标识表和电子邮件表,这些规则会自动将其移动到Microsoft Defender门户。 其相应的警报也会显示在Microsoft Defender门户中。 有关这些更改的更多详细信息,请阅读 迁移自定义检测规则。 高级 DeviceAlertEvents搜寻表在Microsoft Defender门户中不可用。 若要在 Microsoft Defender 门户中查询特定于设备的警报信息,可以使用 AlertInfo 和 AlertEvidence 表来容纳来自各种源集的详细信息。 按照 不使用 DeviceAlertEvents 的编写查询,创建下一个与设备相关的查询。 |
| 操作中心 | Lists在自动调查和修正操作后执行的挂起和已完成的操作。 以前,Microsoft Defender 安全中心中的操作中心仅列出针对设备上采取的修正操作的挂起和已完成操作,而“自动调查”则列出警报和状态。 在改进的 Microsoft Defender 门户中,操作中心将跨电子邮件、设备和用户的修正操作和调查汇集在一个位置。 |
| 威胁分析 | 移动到导航栏顶部,以便更轻松地发现和使用。 现在包括终结点和电子邮件和协作的威胁信息。 |
终结点
| 领域 | 更改说明 |
|---|---|
| 搜索 | 搜索栏位于页面顶部。 键入时会提供建议。 可以在 Defender for Endpoint 和 Defender for Identity 中搜索以下实体: - 设备 - 支持 Defender for Endpoint 和 Defender for Identity。 甚至可以使用搜索运算符,例如,可以使用“contains”来搜索主机名的一部分。 - 用户 - 支持 Defender for Endpoint 和 Defender for Identity。 - 文件、IP 和 URL - 与 Defender for Endpoint 中的功能相同。 注意:*IP 和 URL 搜索完全匹配,不会显示在搜索结果页中 , 它们直接指向实体页。 - MDVM - 与 Defender for Endpoint 中的功能相同, (漏洞、软件和建议) 。 增强的搜索结果页集中所有实体的结果。 |
| 仪表板 | 这是安全操作仪表板。 请参阅已触发的活动警报数、有风险的设备、有风险的用户以及警报、设备和用户的严重性级别的概述。 还可以查看是否有任何设备存在传感器问题、整体服务运行状况以及如何检测到任何未解决的警报。 |
| 设备清单 | 无更改。 |
| 漏洞管理 | 名称已缩短以适合导航窗格。 它与“Microsoft Defender 漏洞管理”部分相同,所有页面都位于下方。 |
| 合作伙伴和 API | 无更改。 |
| 评估 & 教程 | 新的测试和学习功能。 |
| 配置管理 | 无更改。 |
注意
自动调查和修正 现在是事件的一部分。 可以在“事件>调查”选项卡中看到自动调查和修正事件。
提示
设备搜索是通过终结点搜索完成的 > 。
访问和报告
| 领域 | 更改说明 |
|---|---|
| 报表 | 请参阅有关终结点和电子邮件 & 协作的报告,包括威胁防护、设备运行状况和合规性以及易受攻击的设备。 |
| 运行状况 | 当前链接到Microsoft 365 管理中心中的“服务运行状况”页面。 |
| 设置 | 管理Microsoft Defender门户、终结点、Email &协作、标识和设备发现的设置。 |
Microsoft 365 安全导航和功能
左侧导航栏或快速启动栏将看起来熟悉。 但是,Microsoft Defender门户中有一些新的和更新的元素。
事件和警报
将跨电子邮件、设备和标识的事件和警报管理结合起来。 警报页通过组合攻击信号来构造详细故事,从而提供警报的完整上下文。 全新的统一体验现在汇集了跨工作负荷的一致警报视图。 您可以快速分案、调查,以及采取有效措施。
搜寻
通过使用 高级搜索查询来在终结点、Office 365 邮箱等位置主动搜索威胁、恶意软件和恶意。 这些功能强大的查询可用于查找和查看已知威胁和潜在威胁的威胁指标和实体。
自定义检测规则可以从高级搜寻查询生成,以帮助主动watch可能指示违规活动和错误配置设备的事件。
操作中心
操作中心显示自动调查和响应功能创建调查。 Microsoft Defender门户中的这种自动自我修复功能可以通过自动响应特定事件来帮助安全团队。
威胁分析
从 Microsoft 安全研究人员获取威胁智能。 威胁分析可帮助安全团队在面对新兴威胁时更有效率。 威胁分析包括:
- Microsoft Defender for Office 365 的与电子邮件相关的检测和缓解措施。 除了从 Microsoft Defender for Endpoint 中可用的终结点数据外,还有一个终结点数据。
- 与威胁相关的事件视图。
- 增强的体验,可快速识别和使用报告中的可操作信息。
可以从Microsoft Defender门户的左上角导航栏访问威胁分析,也可以从显示组织首要威胁的专用仪表板 卡访问威胁分析。
详细了解如何使用 威胁分析跟踪和响应新出现的威胁。
终结点部分
查看和管理组织中终结点的安全性。 如果你使用过Microsoft Defender 安全中心,它看起来会很熟悉。
访问和报告
查看报表、更改设置和修改用户角色。
SIEM API 连接
如果使用 Defender for Endpoint SIEM API,可以继续执行此操作。 我们在 API 有效负载上添加了新链接,这些链接指向 Microsoft 365 安全门户中的警报页或事件页。 新的 API 字段包括 LinkToMTP 和 IncidentLinkToMTP。 有关详细信息,请参阅将帐户从 Microsoft Defender for Endpoint 重定向到 Microsoft Defender 门户。
Email警报
可以继续使用 Defender for Endpoint 的电子邮件警报。 我们在电子邮件中添加了指向“Microsoft Defender”门户中的警报页或事件页的新链接。 有关详细信息,请参阅将帐户从 Microsoft Defender for Endpoint 重定向到 Microsoft Defender 门户。
托管安全服务提供商 (MSSP)
统一门户中目前不支持在同一浏览会话中同时登录到多个租户。 可以通过还原到以前的 Microsoft Defender for Endpoint 门户来选择退出自动重定向,以在问题得到解决之前保持此功能。
相关信息
- Microsoft Defender XDR
- Microsoft Defender门户中的Microsoft Defender for Endpoint
- 将帐户从 Microsoft Defender for Endpoint 重定向到 Microsoft Defender 门户
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈