Microsoft Defender 门户

项目
2024/11/28

Microsoft的统一安全 SecOps 平台在 Microsoft Defender 门户中结合了Microsoft安全服务。

门户提供单一位置，用于监视、管理和配置本地和多云资产的入侵前和违规后安全性。

入侵前安全性：主动可视化、评估、修正和监视组织安全状况，以减少安全风险和攻击面。
违规后安全性：持续监视、检测、调查和响应针对组织资产的实时和新出现的网络安全威胁。

门户服务

Defender 门户结合了许多Microsoft安全服务。

服务	详细信息
Microsoft Defender XDR 检测和响应网络安全威胁。	Defender XDR包括一套服务，这些服务在 Defender 门户中结合在一起，在整个企业中提供统一的威胁防护。 Defender XDR服务跨终结点和设备、标识、电子邮件、应用以及 OT/IoT 资产收集、关联和分析威胁数据和信号。在门户中，可以查看、调查和响应安全警报和事件，自动中断攻击，并主动搜寻威胁。在 Defender 门户中详细了解Defender XDR。
Microsoft Sentinel 使用自动化和业务流程大规模收集、分析和管理安全数据。	Microsoft Sentinel与 Defender 门户中的 Defender XDR 完全集成，提供其他威胁防护功能，例如攻击中断、统一实体和事件以及 SOC 优化。有关详细信息，请参阅 Defender 门户中的Microsoft Sentinel。
Microsoft Defender 威胁智能将威胁情报集成到 SOC 操作中。	Defender 威胁情报平台扩展了Defender XDR和Microsoft Sentinel中包含的威胁情报功能。从多个源收集数据，以提供威胁情报信号和数据池。安全团队使用此数据来了解攻击者的活动、分析攻击和搜寻安全威胁。
Microsoft 安全风险管理主动降低安全风险。	使用安全风险管理来减少组织攻击面并修正安全状况。持续发现资产和数据，以全面了解业务资产的安全性。借助安全风险管理提供的其他数据上下文，可以清楚地可视化、分析和修正安全薄弱领域。
Microsoft Defender for Cloud 保护云工作负载。	Defender for Cloud 改进了多云安全态势，并保护云工作负载免受威胁。 Defender for Cloud 集成到 Defender 门户中，以提供云安全警报的统一视图，以及用于调查的单个位置。

访问门户

在 Defender 门户权限页中，使用以下方法来配置用户访问：

方法	详细信息
全局Microsoft Entra角色	具有以下全局Microsoft Entra角色的帐户可以访问Microsoft Defender XDR功能和数据：全局管理员安全管理员安全操作员全局读取者安全读取者
自定义角色	允许使用自定义角色访问特定数据、任务和功能。自定义角色控制精细访问，可与Microsoft Entra全局角色一起使用。
统一 RBAC	统一的基于角色的访问控制 (RBAC) 提供了一种权限管理模型，用于控制 Defender 门户中的用户权限以及门户中的跨服务的权限。

Microsoft Sentinel权限

加入到 Microsoft 的统一 SecOps 平台时，现有 Azure RBAC 权限用于使用 Defender 门户中Microsoft Sentinel功能。

管理Azure 门户中Microsoft Sentinel用户的角色和权限。
任何 Azure RBAC 更改都反映在 Defender 门户中。

有关详细信息，请参阅 Microsoft Sentinel 中的角色和权限。

在门户中工作

在主页上，视图由订阅中包含的服务决定。访问设置基于门户权限。

功能	详细信息
主页	“主页”提供了环境安全状态的视图。查看活动威胁、面临风险的资源，以及全面安全状况的摘要。使用仪表板获取最新快照，并根据需要向下钻取详细信息。
门户通知	门户通知让你随时了解重要信息，包括更新、事件、完成或正在进行的操作以及警告和错误。通知在通知面板中按生成时间排序，最近时间先显示。有关详细信息，请参阅配置警报通知。
搜索	搜索门户时，结果会按与搜索词相关的部分进行分类。搜索提供门户内、Microsoft Tech Community和Microsoft Learn 文档中的结果。搜索历史记录存储在浏览器中，可访问 30 天。
导游	获取管理终结点安全性或管理电子邮件和协作安全性的引导式教程。
新增功能	从 Microsoft Defender XDR 博客中了解最新更新。
社区	在技术社区 Microsoft安全讨论空间中向其他人学习。
添加卡片	自定义主页以获取对你最重要的信息。

曝光管理

在 “风险管理”中，查看安全状况、风险和风险的总体状态。

功能	详细信息
曝光管理概述	此仪表板提供设备和云资源的快速视图，包括面向 Internet 的设备和关键资产。了解关键安全计划的执行情况，并深入了解高价值漏洞的顶级指标。获取不同类型的资源的公开级别，并跟踪一段时间内的安全进度。
攻击面	使用攻击面图可视化暴露数据。浏览地图上的资源和连接，并向下钻取以专注于特定资产。在攻击路径管理仪表板，查看攻击者可能利用的整个组织的潜在攻击路径，以及路径中的扼流点和关键资产。
曝光见解	跨资源和工作负载查看和浏览聚合的安全态势数据和见解。评估最重要的安全项目的态势和就绪情况，并跟踪一段时间内的项目指标。获取安全建议以修正暴露问题。
安全分数	根据安全评分Microsoft查看态势指标。
数据连接器	将第三方产品连接到安全风险管理，并请求新的连接器。

有关详细信息，请参阅 Microsoft 安全风险管理。

调查和响应

“ 调查和响应 ”部分提供了一个位置，用于调查安全事件以及响应整个企业的威胁。

调查事件和警报

在 Defender 门户中的单个位置和单个队列中管理和调查安全事件。事件和警报队列显示服务中的当前安全事件和警报。

功能	详细信息
事件	在“事件”仪表板，查看最新事件列表，并确定标记为高严重性的事件的优先级。每个事件对构成攻击的相关警报和关联数据进行分组。向下钻取事件以获取完整的攻击案例，包括有关关联警报、设备、用户、调查和证据的信息。
警告	在“警报仪表板，查看警报。警报是由门户服务为响应威胁检测活动而发出的信号。统一警报队列显示过去 7 天内的新警报和正在进行的警报，最近的警报位于顶部。根据需要筛选要调查的警报。

有关详细信息，请参阅 Microsoft Defender 门户中的事件和警报。

搜寻威胁

通过搜寻区域，可以主动检查安全事件和数据，以查找已知和潜在威胁。

功能	详细信息
高级搜寻	浏览和查询最多 30 天的原始数据。可以使用引导式查询工具进行查询、使用示例查询，或使用 Kusto 查询语言 (KQL) 来生成自己的查询。
自定义检测规则	创建自定义检测规则，以主动监视和响应事件和系统状态。使用自定义检测规则触发安全警报或自动响应操作。

有关详细信息，请参阅使用高级搜寻主动搜寻威胁和自定义检测概述。

查看挂起的威胁修正

威胁防护活动会导致执行修正威胁的操作。操作可以是自动操作，也可以是手动操作。操作中心提供了需要审批或手动干预 的操作。

功能	详细信息
操作中心	查看需要注意的操作列表。一次批准或拒绝一个操作，或批量批准或拒绝操作。可以查看操作历史记录以跟踪修正。
提交	将可疑的垃圾邮件、URL、电子邮件问题等提交到Microsoft。

有关详细信息，请参阅自动调查和响应和操作中心。

合作伙伴目录

合作伙伴目录部分提供有关 Defender 合作伙伴的信息。

Defender 门户支持以下类型的合作伙伴集成：

第三方集成 ，可帮助保护用户有效的威胁防护。
增强检测、调查和威胁情报功能的专业服务。

威胁智能

在门户的“ 威胁情报 ”部分中，直接了解当前和正在进行的威胁活动，并访问 Defender 威胁情报平台提供的威胁情报信息。

功能	详细信息
威胁分析	了解组织中当前与哪些威胁相关。评估威胁严重性，向下钻取到特定的威胁报告，以及要采取的标识操作。提供不同类型的威胁分析报告。
Intel 配置文件	查看按威胁参与者、工具和已知漏洞组织的特选威胁情报内容。
Intel Explorer	查看威胁情报信息，并向下钻取以搜索和调查。
Intel 项目	查看并创建项目，以组织调查中的兴趣指标和妥协指标。项目包括关联的项目以及名称、说明、协作者和监视配置文件的详细历史记录。

有关详细信息，请参阅威胁分析。

资产

“ 资产 ”页提供已发现和受保护资产（包括设备、用户、邮箱和应用）的统一视图。查看每种类型的资产总数，并向下钻取到特定的资产详细信息。

功能	详细信息
Devices	在“ 设备清单 ”页上，大致了解你有权访问的每个租户中发现的设备。按类型查看设备，并专注于高风险或关键设备。通过为上下文添加标记，以逻辑方式对设备进行分组，并排除不想评估的设备。启动设备的自动调查。
身份	获取用户和帐户清单的摘要。

有关详细信息，请参阅设备实体页和用户实体页。

Microsoft Sentinel

在 Defender 门户中访问Microsoft Sentinel功能。

功能	详细信息
搜索	跨日志搜索，并访问过去的搜索。
威胁管理	使用工作簿可视化和监视连接数据。调查事件并使用实体对警报进行分类。主动搜寻威胁并使用笔记本为调查提供支持。将威胁情报集成到威胁检测中，并在分析和事件中使用 MITRE ATT&CK 框架。
内容管理	从内容中心发现并安装现 (OOTB) 内容。使用 Microsoft Sentinel 存储库连接到外部源系统以持续集成和交付 (CI/CD) ，而不是手动部署和更新自定义内容。
配置	使用数据连接器引入数据。创建监视列表以关联和组织数据源。设置分析规则以查询和分析收集的数据。自动执行威胁响应。

有关详细信息，请参阅 Microsoft Defender 门户中的Microsoft Sentinel和Microsoft Sentinel。

身份

在 Defender 门户的 “标识 ”部分中，监视用户和帐户运行状况，并使用 Defender for Identity 主动管理与标识相关的风险。

功能	详细信息
ITDR 仪表板	在“标识威胁检测和响应 (ITDR) 仪表板中，获取有关用户和帐户安全状态的见解和实时数据。仪表板包括有关 Defender for Identity 部署的信息、有关高特权标识的信息以及有关标识相关事件的信息。如果 Defender for Identity 工作区出现问题，则会在 “运行状况问题”页上引发该问题。
运行状况问题	此页上会显示任何 Defender for Identity 全局或基于传感器的运行状况问题。
工具	访问有助于管理 Defender for Identity 的常用工具。

有关详细信息，请参阅 Microsoft Defender for Identity。

终结点

在门户的“终结点”部分中，使用 Microsoft Defender 漏洞管理监视和管理资产漏洞。

功能	详细信息
漏洞管理	查看仪表板中的漏洞状态。根据设备的漏洞评估获取建议，并根据需要进行修正。查看组织软件清单，包括易受攻击的组件、证书和硬件。查看 CVE 和安全公告。查看事件时间线以确定漏洞的影响。使用安全基线评估根据安全基准评估设备。
已连接的应用程序	获取有关连接到 Defender for Endpoint 的Microsoft Entra应用程序的信息。
API 资源管理器	使用 API 资源管理器可以构造和运行 API 查询，测试和发送可用的 Defender for Endpoint API 终结点的请求。

有关详细信息，请参阅Microsoft Defender 漏洞管理和Microsoft Defender for Endpoint。

Email和协作

在“Email &协作”部分中，使用 Microsoft Defender for Office 365 监视、调查和管理对电子邮件和协作应用的安全威胁和响应。

功能	详细信息
调查	运行并查看自动调查。
资源管理器	搜寻、调查和探索对电子邮件和文档的威胁。向下钻取特定类型的威胁，包括恶意软件、网络钓鱼和活动。
审阅	管理隔离项目和受限发件人。
活动	分析针对组织的协调攻击。
威胁跟踪器	查看已保存和跟踪的查询，并关注趋势市场活动。
策略和规则	配置和管理安全策略以防范威胁，并接收活动警报。

有关详细信息，请参阅 Microsoft Defender for Office 365。

云应用

在“云应用”部分中，查看安全性，以使用 Microsoft Defender for Cloud Apps 将风险和风险降到最低。

功能	详细信息
云发现	使用发现报告大致了解云应用安全性。查看示例报表，并创建新报表。
云应用目录	大致了解已知的云应用及其相关风险。你可以根据需要批准和取消批准应用。
OAuth 应用	了解 OAuth 应用。查看应用并筛选设置以向下钻取。
活动日志	按云名称、IP 地址和相关设备查看连接的应用活动。
治理日志	查看治理操作。
策略	为云应用配置安全策略。

有关详细信息，请参阅 Microsoft Defender for Cloud Apps。

SOC 优化

在 SOC 优化 页中，加强安全控制以缩小威胁覆盖差距，并根据高保真度和可操作的建议提高数据引入率。 SOC 优化是针对你的环境并根据当前覆盖范围和威胁形势定制的。

有关详细信息，请参阅优化安全操作。

报表

在 “报表 ”页中，查看所有区域、资产和工作负载的安全报告。可用报表取决于有权访问的安全服务。

试验

在 “试用 ”页中，查看试用版解决方案，旨在帮助你做出有关升级和购买的决策。

通过