Microsoft Defender 入口網站中的 適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 是 Microsoft Defender 入口網站的一部分,可為安全性小組提供統一的體驗來管理事件和警示、搜捕威脅,以及自動化調查和回應。 Microsoft Defender 入口網站 (https://security.microsoft.com) 結合保護資產的安全性功能,以及偵測、調查及回應威脅。
膝上型電腦、手機、平板電腦、路由器和防火牆等端點是您網路的進入點。 適用於端點的 Microsoft Defender 可藉由提供網路上活動的可見度,以及偵測和回應進階威脅,協助您保護這些端點。
本指南說明在入口網站中執行 適用於端點的 Microsoft Defender 時,Microsoft Defender 預期的情況。
開始之前的須知事項
若要在 Microsoft Defender 入口網站中使用 適用於端點的 Microsoft Defender,您必須擁有 適用於端點的 Microsoft Defender 授權。 如需詳細資訊,請參閱 適用於端點的 Microsoft Defender 授權。
此外,請確認您在硬體和軟體、瀏覽器、網路連線能力,以及與 Microsoft Defender 防病毒軟體的相容性方面有需求。 如需詳細資訊,請參閱 適用於端點的 Microsoft Defender 最低需求。
您也需要具備必要的許可權,才能存取 Microsoft Defender 入口網站。 如需詳細資訊,請 參閱使用基本許可權來存取入口網站。
預期的情況
調查和回應
Microsoft Defender 入口網站中的調查和回應功能可協助您調查及回應事件和警示。 事件是彼此相關的警示群組。
事件和警示
事件涉及的裝置會顯示在事件的頁面 攻擊案例、事件圖表和 資產 索引標籤中。您可以檢視事件的詳細數據,包括涉及的裝置、觸發事件的警示,以及採取的動作。 您可以將動作套用至事件,例如隔離裝置、收集調查套件等等。
![[資產] 索引標籤的螢幕快照,其中醒目提示與事件相關的裝置。](/zh-tw/defender/media/portal/mde-in-portal/incident-assets-devices.png#lightbox)
個別警示會顯示在 [警示] 頁面中。 您可以檢視警示的詳細數據,包括涉及的裝置、警示所屬的事件,以及採取的動作。 您也可以將動作套用至警示頁面中的警示。
搜捕
使用進階搜捕查詢來主動搜尋端點、Office 365 信箱等的威脅、惡意程式碼和惡意活動。 這些功能強大的查詢可用來找出並檢閱已知和潛在威脅的威脅指標和實體。
您可以從進階搜捕查詢建置自定義偵測規則,以協助您主動 watch 可能表示入侵活動和裝置設定錯誤的事件。
控制中心和提交
控制中心會顯示自動化調查和回應功能所建立的調查。 Microsoft Defender 入口網站中的這個自動化自我修復可透過自動回應特定事件來協助安全性小組。 您可以檢視套用至裝置的動作、動作的狀態,以及核准或拒絕自動化動作。 流覽至 [ 調查 & 回應 > 動作 & 提交 > 控制中心下的 [控制中心] 頁面。
您可以將檔案、電子郵件附件和 URL 提交至 Microsoft Defender,以在提交入口網站中進行分析。 您也可以檢視提交狀態和分析結果。 流覽至 [調查 & 回應>動作 & 提交>] 底下的 [子群組] 頁面。
威脅情報
您可以在 [威脅 情報 ] 頁面中檢視新興的威脅、新的攻擊技術、普遍存在的惡意代碼,以及威脅執行者和活動的相關信息。 存取 威脅分析 儀錶板,以檢視最新的威脅情報和深入解析。 您也可以透過 分析師報告來檢視讀取並瞭解如何防範特定威脅。
流覽至 [威脅 情報 > 威脅分析] 底下的 [威脅分析] 頁面。
裝置庫存
[ 資產 > 裝置] 頁面包含 裝置清查,其中列出組織中產生警示的所有裝置。 您可以檢視裝置的詳細數據,包括IP位址、重要性層級、裝置類別和裝置類型。
![Microsoft Defender 入口網站中 [裝置清查] 頁面的螢幕快照。](/zh-tw/defender/media/portal/mde-in-portal/device-inventory-mde.png#lightbox)
弱點管理和端點設定管理的 Microsoft Defender
您可以在 [端點>弱點管理] 底下找到 Microsoft Defender 弱點管理 儀錶板。 適用於弱點管理的 Defender 可協助您探索、排定優先順序,並修復網路中的弱點。 深入瞭解必要條件和許可權,以及如何將裝置上線以 Defender 弱點管理。
裝置設定儀錶板位於 [端點 > 設定管理 > 儀錶板] 中。 您可以檢視裝置安全性、透過 Microsoft Intune和 適用於端點的 Microsoft Defender 上線、Web 保護涵蓋範圍,以及攻擊面管理一目了然。
安全性系統管理員可以根據端點設定管理>端點安全策略,將端點>安全策略部署到組織中的裝置。 深入瞭解 端點安全策略。
報表
您可以在 [報告] 頁面中檢視裝置健全狀況、易受攻擊的裝置、每月安全性摘要、Web 保護、防火牆、裝置控制和受攻擊面縮小規則 報告 。
![醒目提示入口網站中端點相關報表的 [報表] 頁面螢幕快照 Microsoft Defender。](/zh-tw/defender/media/portal/mde-in-portal/reports-mde.png#lightbox)
一般設定
裝置探索
在 [ 設定 > 裝置探索 ] 頁面中,您可以設定裝置探索設定,包括探索方法、排除專案、啟用企業 IOT (存取相依) ,以及設定已驗證的掃描排程。 如需詳細資訊,請參閱 裝置探索。
![Microsoft Defender 入口網站中 [裝置探索] 頁面的螢幕快照。](/zh-tw/defender/media/portal/mde-in-portal/device-discovery-mde.png#lightbox)
端點設定
流覽至 [設定>端點] 頁面,以設定 適用於端點的 Microsoft Defender 的設定,包括進階功能、電子郵件通知、許可權等等。
![Microsoft Defender 入口網站中 [設定] 頁面的螢幕快照,其中已醒目提示端點設定。](/zh-tw/defender/media/portal/mde-in-portal/settings-mde.png#lightbox)
電子郵件通知
您可以針對特定裝置、警示嚴重性和弱點建立規則,以將電子郵件通知傳送給特定使用者或群組。 如需詳細資訊,請參閱下列資訊:
權限與角色
若 要管理 端點的角色、許可權和裝置群組,請流覽至 [ 設定 > 端點] 下的 [許可權]。 您可以在 [角色 ] 底下 建立和定義角色並指派許可權,然後在 [ 裝置群組] 底下將裝置建立並組織成群組。
或者,您可以在 [系統>許可權] 頁面中流覽至 [端點角色 & 群組。
API 和 MSSP
Microsoft Defender 全面偵測回應 警示 API 是官方 API,可讓客戶使用單一整合來處理所有 Defender 全面偵測回應 產品的警示。 如需詳細資訊,請參閱從 MDE SIEM API 移轉至 Microsoft Defender 全面偵測回應 警示 API。
若要授權受控安全性服務提供者 (MSSP) 存取接收警示,您必須提供 MSSP 的應用程式和租使用者識別碼。 如需詳細資訊,請參閱 MSSP 整合。
規則
您可以建立規則和原則來管理指標、篩選 Web 內容、管理自動化上傳和自動化資料夾排除專案等等。 若要建立這些規則,請流覽至 [設定>端點] 下的 [規則]。 如需管理這些規則的詳細資訊,請參閱下列連結:
安全性設定管理
在 [設定>端點設定>管理>強制執行] 範圍中,您可以允許 適用於端點的 Microsoft Defender 強制執行 Microsoft Intune 安全性設定。 如需詳細資訊,請參閱使用 Microsoft Intune 來設定和管理 Microsoft Defender 防病毒軟體。
裝置管理
您可以將裝置上線或離線,並在 [ 設定 > 端點 > 裝置管理 ] 頁面中執行裝置偵測測試。 請參閱上線以 適用於端點的 Microsoft Defender 瞭解將裝置上線的步驟。 若要將裝置離線,請參閱 將裝置脫機。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。