Microsoft Defender XDR nel portale di Defender
Microsoft Defender XDR nella piattaforma SecOps unificata Microsoft unifica e coordina la protezione dalle minacce in un'ampia gamma di asset, tra cui dispositivi ed endpoint, identità, posta elettronica, servizi Microsoft 365 e app SaaS.
Defender XDR consolida i segnali di minaccia e i dati tra gli asset, in modo da poter monitorare e gestire le minacce alla sicurezza da un'unica posizione nel portale di Microsoft Defender.
Defender XDR combina più servizi di sicurezza Microsoft.
| Servizio | Dettagli |
|---|---|
| Protezione dalle minacce alla posta elettronica con Defender per Office 365 | Consente di proteggere la posta elettronica e le risorse Office 365. |
| Proteggere i dispositivi con Defender per endpoint | Offre protezione preventiva, rilevamento post-violazione e analisi e risposta automatizzate per i dispositivi. |
| Proteggere Active Directory con Defender per identità | Usa i segnali di Active Directory per identificare, rilevare e analizzare le minacce avanzate, le identità compromesse e le azioni insider dannose. |
| Proteggere le app cloud SaaS con Defender for Cloud Apps | Offre visibilità avanzata, controlli dati avanzati e protezione avanzata dalle minacce per le app cloud SaaS e PaaS. |
| Proteggere da un'ampia gamma di minacce con Microsoft Sentinel | Microsoft Sentinel si integra perfettamente con Defender XDR per combinare le funzionalità di entrambi i prodotti in una piattaforma di sicurezza unificata per il rilevamento delle minacce, l'analisi, la ricerca e la risposta. |
Rilevamento delle minacce
Defender XDR fornisce il monitoraggio continuo delle minacce. Quando vengono rilevate minacce, vengono creati avvisi di sicurezza . Defender aggrega automaticamente avvisi e segnali di sicurezza correlati in eventi imprevisti di sicurezza.
Gli eventi imprevisti definiscono un quadro completo di un attacco. Gli eventi imprevisti aiutano i team soc a comprendere gli attacchi e a rispondere più rapidamente. Gli eventi imprevisti raccolgono avvisi correlati, informazioni sull'ambito e lo stato di avanzamento dell'attacco e le entità e gli asset coinvolti in un attacco.
Una singola coda di eventi imprevisti nel portale di Defender offre visibilità completa sugli avvisi e gli eventi imprevisti più recenti e sui dati cronologici. È possibile cercare ed eseguire query sulla coda degli eventi imprevisti e assegnare priorità alle risposte in base alla gravità.
Rilevamento degli attacchi di spostamento laterale
Defender per XDR include funzionalità di inganno per rilevare il movimento laterale gestito dall'uomo, che viene spesso usato in attacchi comuni come ransomware e compromissione della posta elettronica.
La funzionalità di inganno genera asset di esca. Quando gli utenti malintenzionati interagiscono con questi asset, la funzionalità di inganno genera avvisi ad alta attendibilità che possono essere visualizzati nella pagina Avvisi del portale.
Interruzione automatica delle minacce
Defender XDR usa l'interruzione automatica degli attacchi per contenere gli attacchi in corso, limitare l'impatto degli attacchi e concedere più tempo ai team di sicurezza per rispondere.
L'interruzione automatica si basa su segnali ad alta fedeltà generati dalla correlazione degli eventi imprevisti tra milioni di segnali dei prodotti Defender e informazioni dettagliate sulle indagini continue del team di ricerca sulla sicurezza di Microsoft, per garantire un elevato rapporto segnale-rumore.
L'interruzione automatica usa Defender XDR azioni di risposta quando vengono rilevati attacchi. Le risposte includono la visualizzazione o la disabilitazione degli asset.
Le interruzioni degli attacchi sono chiaramente contrassegnate nella coda degli eventi imprevisti Defender XDR e in pagine specifiche degli eventi imprevisti.
Ricerca di minacce
La ricerca proattiva esamina e analizza gli eventi e i dati di sicurezza per individuare le minacce alla sicurezza note e potenziali.
Defender XDR offre funzionalità di ricerca delle minacce nel portale di Defender.
Ricerca avanzata: i team SOC possono usare la ricerca avanzata con il Linguaggio di query Kusto (KQL) nel portale per creare query e regole personalizzate per la ricerca delle minacce nell'organizzazione. Gli analisti possono cercare indicatori di compromissione, anomalie e attività sospette in Defender XDR origini dati.
Se non si ha familiarità con KQL, Defender XDR offre una modalità guidata per creare query visivamente e modelli di query predefiniti.
Regole di rilevamento personalizzate: oltre alla ricerca avanzata, i team SOC possono creare regole di rilevamento personalizzate per monitorare e rispondere in modo proattivo a eventi e stati di sistema. Le regole possono attivare avvisi o azioni di risposta automatica.
Risposta alle minacce
Defender per XDR offre funzionalità automatizzate di analisi e risposta . L'automazione riduce il volume di avvisi che devono essere gestiti manualmente dai team soc.
Quando gli avvisi creano eventi imprevisti, le indagini automatizzate generano un verdetto che determina se è stata rilevata una minaccia. Quando vengono identificate minacce sospette e dannose, le azioni correttive includono l'invio di un file in quarantena, l'arresto di un processo, il blocco di un URL o l'isolamento di un dispositivo.
È possibile visualizzare un riepilogo delle indagini automatizzate e delle risposte nella home page del portale. Le azioni di correzione in sospeso vengono gestite nel Centro notifiche del portale.