Beschreiben des Microsoft Defender-Portals

  • 6 Minuten

Eine einheitliche Sicherheitsoperationsplattform ist ein vollständig integriertes Toolset für Sicherheitsteams, um Bedrohungen in ihrer gesamten Umgebung zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Für Microsoft bedeutet dies, das Beste aus SIEM, XDR, Haltungsmanagement und Bedrohungsintelligenz mit erweiterter generativer KI als einzelne Plattform zu bieten.

Über das Microsoft Defender-Portal bietet Microsoft die Zusage einer einheitlichen Sicherheitsoperationsplattform, damit Sie den Sicherheitsstatus Ihrer Organisation anzeigen können. Das Microsoft Defender-Portal kombiniert Schutz, Erkennung, Untersuchung und Reaktion auf Bedrohungen in Ihrer gesamten Organisation und alle zugehörigen Komponenten an einem zentralen Ort.

Um auf das Portal zuzugreifen, müssen Sie eine entsprechende Rolle wie globaler Administrator, Sicherheitsadministrator, Sicherheitsoperator oder Sicherheitsleser in Microsoft Entra ID zugewiesen sein, um auf das Microsoft Defender-Portal zuzugreifen.

Das Defender-Portal betont den schnellen Zugriff auf Informationen, einfachere Layouts und das Zusammenführen verwandter Informationen zur einfacheren Verwendung.

Screenshot der Startseite des Microsoft Defender-Portals.

Auf der Homepage des Microsoft Defender-Portals werden viele der allgemeinen Karten angezeigt, die von Sicherheitsteams benötigt werden. Die Zusammenstellung der Karten und Daten hängt von der Benutzerrolle ab. Weil im Microsoft Defender-Portal die rollenbasierte Zugriffssteuerung verwendet wird, werden für verschiedene Rollen die Karten angezeigt, welche für ihre tägliche Arbeit von Bedeutung sind.

Mit dem Microsoft Defender-Portal können Sie den Navigationsbereich an die täglichen betrieblichen Anforderungen anpassen. Sie können den Navigationsbereich so anpassen, dass Funktionen und Dienste basierend auf ihren spezifischen Einstellungen angezeigt oder ausgeblendet werden. Die Anpassung ist spezifisch für Sie, sodass diese Änderungen von anderen Administratoren nicht angezeigt werden.

Der linke Navigationsbereich bietet einfachen Zugriff auf die Suite von Microsoft Defender XDR-Diensten. Sie erhalten auch Zugriff auf Microsoft Sentinel und viele andere Funktionen Die folgenden Abschnitte enthalten eine kurze Beschreibung der Funktionen, die über die linke Navigationsleiste im Microsoft Defender-Portal zugänglich sind.

Gefährdungsmanagement

Microsoft Security Exposure Management ist eine Sicherheitslösung, die einen einheitlichen Überblick über die Sicherheitslage von Unternehmensressourcen und Workloads bietet. Security Exposure Management reichert Ressourceninformationen mit Sicherheitskontext an, die Ihnen helfen, Angriffsflächen proaktiv zu verwalten, wichtige Ressourcen zu schützen und Risiken zu untersuchen und zu mindern.

Mit Security Exposure Management können Sie Ressourcen ermitteln und überwachen, umfassende Sicherheitseinblicke erhalten, bestimmte Risikobereiche mit Sicherheitsinitiativen untersuchen und Metriken in der gesamten Organisation nachverfolgen, um den Sicherheitsstatus zu verbessern.

Verringerung der

Das Security Exposure Management generiert automatisch Angriffspfade basierend auf den Daten, die über Ressourcen und Workloads hinweg gesammelt werden. Es werden Angriffsszenarios simuliert und Sicherheitsrisiken und Schwachstellen identifiziert, die ein Angreifer ausnutzen könnte.

Sicherheitseinblicke

Expositionserkenntnisse in Microsoft Security Exposure Management aggregiert kontinuierlich Sicherheitsstatusdaten und Erkenntnisse über Workloads und Ressourcen hinweg in einer einzigen Pipeline.

  • Initiativen bieten eine einfache Möglichkeit, die Sicherheitsbereitschaft für einen bestimmten Sicherheitsbereich oder eine bestimmte Arbeitsauslastung zu bewerten und das Expositionsrisiko für diesen Bereich oder diese Arbeitsauslastung im Laufe der Zeit zu verfolgen und zu messen.
  • Metriken in Microsoft Security Exposure Management messen die Sicherheitsrisiken für einen bestimmten Umfang von Ressourcen oder Ressourcen innerhalb einer Sicherheitsinitiative.
  • Empfehlungen helfen Ihnen, den Compliancestatus für eine bestimmte Sicherheitsinitiative zu verstehen.
  • Ereignisse helfen Ihnen bei der Überwachung von Initiative-Änderungen.

Sicherheitsbewertung

Die Microsoft-Sicherheitsbewertung, ein Tool im Microsoft Defender-Portal, ist eine Darstellung des Sicherheitsstatus eines Unternehmens. Je höher das Ergebnis der Bewertung ausfällt, desto besser ist Ihr Schutz. Über ein zentrales Dashboard im Microsoft Defender-Portal können Organisationen die Sicherheit ihrer Microsoft 365-Identitäten, -Anwendungen und -Geräte überwachen und bearbeiten.

Secure Score bietet eine Aufschlüsselung der Bewertung und der Verbesserungsmaßnahmen, mit denen die Bewertung der Organisation gesteigert werden kann. Es wird auch gezeigt, wie gut die Secure Score-Bewertung des Unternehmens im Vergleich mit ähnlichen Unternehmen abschneidet.

Datenconnectors

Mithilfe von Datenconnectors können Sie Datenquellen für eine umfassendere, zentralisiertere Belichtungsverwaltung verbinden.

Untersuchung und Reaktion

Die Registerkarte "Untersuchung und Antwort" umfasst den Zugriff auf Vorfälle und Warnungen, Suche, Aktionen und Übermittlungen sowie einen Partnerkatalog.

Screenshot des Microsoft Defender-Portals mit den für Untersuchung und Antwort verfügbaren Auswahl. Sie sind Vorfälle und Warnungen, Suche, Aktionen und Übermittlungen sowie Partnerkatalog.

Incidents und Warnungen

Ein Vorfall im Microsoft Defender-Portal ist eine Sammlung verwandter Warnungen, Ressourcen, Untersuchungen und Nachweise, um Ihnen einen umfassenden Überblick über den gesamten Umfang eines Angriffs zu geben. Es dient als Falldatei, die Ihr SOC verwenden kann, um diesen Angriff zu untersuchen und zu verwalten, zu implementieren und zu dokumentieren, um die Antwort darauf zu dokumentieren. Da das Microsoft Defender-Portal auf einer Unified Security Operations Platform basiert, erhalten Sie eine Übersicht über alle Incidents, einschließlich Incidents, die aus der Suite von Microsoft Defender XDR-Lösungen, Microsoft Sentinel oder anderen Lösungen generiert wurden.

Innerhalb eines Vorfalls analysieren Sie die Warnungen, die sich auf Ihr Netzwerk auswirken, verstehen, was sie bedeuten, und ordnen sie die Beweise zusammen, damit Sie einen effektiven Wartungsplan entwickeln können. Die für einen Incident bereitgestellten Informationen umfassen Folgendes:

  • Die vollständige Geschichte des Angriffs, einschließlich aller Warnungen, Ressourcen und der durchgeführten Abhilfemaßnahmen.
  • Alle Warnungen im Zusammenhang mit dem Incident.
  • Alle Ressourcen (Geräte, Benutzer, Postfächer und Apps), die als Teil des Vorfalls oder im Zusammenhang mit dem Vorfall identifiziert wurden.
  • Alle automatisierten Untersuchungen, die von den Warnungen im Incident ausgelöst wurden.
  • Alle unterstützten Beweise und Reaktionen.

Wenn Ihre Organisation Microsoft Security Copilot integriert hat, können Sie auch eine Vorfallzusammenfassung, geführte Antworten und vieles mehr anzeigen.

Hunting

Die erweiterte Bedrohungssuche ist ein abfragebasiertes Tool zur Bedrohungssuche, mit dem Sie bis zu 30 Tage Rohdaten aus Microsoft Defender XDR und Microsoft Sentinel erkunden können. Sie können Ereignisse in Ihrem Netzwerk proaktiv prüfen, um Bedrohungsindikatoren und Entitäten über Suchabfragen zu finden. Suchabfragen können über den Abfrage-Editor erstellt werden, wenn Sie mit Kusto Query Language (KQL) vertraut sind, mit einem Abfrage-Generator oder über Security Copilot. Für Benutzer, die in Microsoft Security Copilot integriert sind, können Sie eine Anfrage stellen oder eine Frage in natürlicher Sprache stellen und Security Copilot generiert eine KQL-Abfrage, die der Anforderung entspricht.

Sie können dieselben Bedrohungssuche-Abfragen verwenden, um benutzerdefinierte Erkennungsregeln zu erstellen. Diese Regeln werden automatisch ausgeführt, um nach vermuteten Sicherheitsverletzungsaktivitäten, falsch konfigurierten Computern und anderen Ergebnissen zu suchen und darauf zu reagieren.

Screenshot der Seite

Aktionen und Übermittlungen

Das einheitliche Info-Center vereint Wartungsaktionen in Microsoft Defender für Endpunkt und Microsoft Defender für Office 365. Es listet ausstehende und abgeschlossene Wartungsaktionen für Ihre Geräte, E-Mails und Zusammenarbeitsinhalte und Identitäten an einem Ort auf.

In Microsoft 365-Organisationen mit Exchange Online-Postfächern können Administratoren die Seite "Übermittlungen" im Microsoft Defender-Portal verwenden, um Nachrichten, URLs und Anlagen zur Analyse an Microsoft zu senden.

Partnerkatalog

Der Partnerkatalog listet unterstützte Technologiepartner und professionelle Dienste auf, die Ihrer Organisation helfen können, die Funktionen zur Erkennung, Untersuchung und Bedrohungserkennung der Plattform zu verbessern.

Threat Intelligence

Auf der Registerkarte "Threat Intelligence" greifen Benutzer auf Microsoft Defender Threat Intelligence zu. Weitere Informationen finden Sie in der Lektion "Beschreiben von Microsoft Defender Threat Intelligence".

Objekte

Auf der Registerkarte "Objekte" können Sie das Inventar ihrer Organisation von geschützten und ermittelten Objekten (Geräte und Identitäten) anzeigen und verwalten.

Im Gerätebestand wird eine Liste der Geräte in Ihrem Netzwerk angezeigt, auf denen Warnungen generiert wurden. Standardmäßig zeigt die Warteschlange Geräte an, die in den letzten 30 Tagen angezeigt wurden. Auf einen Blick sehen Sie Informationen wie Domäne, Risikostufe, Betriebssystemplattform und weitere Details zur einfachen Identifizierung von Geräten, die am häufigsten gefährdet sind.

Das Identitätsinventar bietet eine umfassende Übersicht über alle Unternehmensidentitäten, sowohl cloud- als auch lokal.

Microsoft Sentinel

Auf einige Microsoft Sentinel-Funktionen wie die einheitliche Vorfallwarteschlange wird über die Seite "Vorfälle und Warnungen" des Defender-Portals zugegriffen, zusammen mit Vorfällen aus anderen Microsoft Defender-Diensten. Viele andere Microsoft Sentinel-Funktionen sind im Abschnitt Microsoft Sentinel des Defender-Portals verfügbar.

Weitere Informationen finden Sie im Modul "Beschreiben der Funktionen in Microsoft Sentinel", deren Link in der Zusammenfassungs- und Ressourceneinheit enthalten ist.

Screenshot des Microsoft Sentinel-Knotens im Navigationsbereich des Microsoft Defender-Portals.

Identities

Der Knoten "Identitäten" im linken Navigationsbereich des Microsoft Defender-Portals ist der Funktionalität zugeordnet, die Microsoft Defender for Identity zugeordnet ist. Weitere Informationen finden Sie in der Lektion "Beschreiben von Microsoft Defender for Identity".

Screenshot des Knotens

Endpunkte

Der Knoten "Endpunkte" im linken Navigationsbereich des Microsoft Defender-Portals ist den Funktionen zugeordnet, die Microsoft Defender für Endpunkten zugeordnet sind. Weitere Informationen finden Sie in der Lektion "Beschreiben von Microsoft Defender für Endpunkte".

Screenshot des Endpunktknotens im linken Navigationsbereich des Microsoft Defender-Portals.

E-Mail und Zusammenarbeit

Der Knoten "E-Mail und Zusammenarbeit" im linken Navigationsbereich ist der Ort, an dem Sie Microsoft Defender für Office 365-Funktionen finden, mit denen Sie Bedrohungen für die E-Mails Ihrer Benutzer nachverfolgen und untersuchen können, Kampagnen nachverfolgen und vieles mehr. Weitere Informationen finden Sie in der Lektion "Beschreiben von Microsoft Defender für Office 365".

Screenshot des Knotens

Cloud-Apps

Der Knoten "Cloud-Apps" im linken Navigationsbereich befindet sich in der Funktion "Microsoft Defender für Cloud Apps". Weitere Informationen finden Sie in der Lektion "Beschreiben von Microsoft Defender für Cloud-Apps".

Screenshot des Knotens

SOC-Optimierung

Security Operations Center (SOC)-Teams suchen aktiv nach Möglichkeiten zur Optimierung von Prozessen und Ergebnissen.

SOC-Optimierungen zeigen Möglichkeiten auf, wie Sie Ihre Sicherheitskontrollen optimieren und langfristig mehr Nutzen aus Microsoft-Sicherheitsdiensten ziehen können.

Screenshot der SOC-Optimierungsseite im Microsoft Defender-Portal.

Berichte

Berichte werden im Microsoft Defender-Portal vereinheitlicht. Administratoren können mit einem allgemeinen Sicherheitsbericht beginnen und zu bestimmten Berichten zu Endpunkten, E-Mails und Zusammenarbeit, Cloud-Apps, Infrastruktur und Identitäten verzweigen. Die hier aufgeführten Links werden dynamisch basierend auf der Workloadkonfiguration generiert.

Screenshot der Berichtsseite im Microsoft Defender-Portal.

Lernhub

Der Lernhub verknüpft Sie mit Microsoft Learn, wo Sie Zugriff auf Schulungskurse, Lernprogramme, Dokumentationen und andere relevante Materialien erhalten können.

System

Die Systemoption im Defender-Portal enthält Auswahlmöglichkeiten zum Konfigurieren von Berechtigungen, Anzeigen des Dienststatus und allgemeinen Einstellungen.