Microsoft Defender XDR i Defender-portalen
Microsoft Defender XDR i Microsoft unified SecOps-plattformen forener og koordinerer trusselbeskyttelse på tvers av et bredt spekter av ressurser, inkludert enheter og endepunkter, identiteter, e-post, Microsoft 365-tjenester og SaaS-apper.
Defender XDR konsoliderer trusselsignaler og data på tvers av ressurser, slik at du kan overvåke og administrere sikkerhetstrusler fra ett enkelt sted i Microsoft Defender-portalen.
Defender XDR kombinerer flere Microsoft-sikkerhetstjenester.
| Tjeneste | Detaljer |
|---|---|
| Beskytt mot e-posttrusler med Defender for Office 365 | Bidrar til å beskytte e-post og Office 365 ressurser. |
| Beskytt enheter med Defender for endepunkt | Leverer forebyggende beskyttelse, oppdagelse etter brudd og automatisert undersøkelse og respons for enheter. |
| Beskytt Active Directory med Defender for identitet | Bruker Active Directory-signaler til å identifisere, oppdage og undersøke avanserte trusler, kompromitterte identiteter og ondsinnede insiderhandlinger. |
| Beskytt SaaS-skyapper med Defender for Cloud Apps | Gir dyp synlighet, sterke datakontroller og forbedret trusselbeskyttelse for SaaS- og PaaS-skyapper. |
| Beskytt mot et bredt spekter av trusler med Microsoft Sentinel | Microsoft Sentinel integreres sømløst med Defender XDR for å kombinere egenskapene til begge produktene i en enhetlig sikkerhetsplattform for trusselregistrering, undersøkelse, jakt og respons. |
Oppdage trusler
Defender XDR gir kontinuerlig trusselovervåking. Når trusler oppdages, opprettes sikkerhetsvarsler . Defender aggregerer automatisk relaterte varsler og sikkerhetssignaler til sikkerhetshendelser.
Hendelser definerer et fullstendig bilde av et angrep. Hendelser hjelper SOC-team med å forstå angrep og reagere raskere. Hendelser samler sammen relaterte varsler, informasjon om angrepsomfang og fremdrift, og enhetene og ressursene som er involvert i et angrep.
En enkelt hendelsekø i Defender-portalen gir full innsyn i de nyeste varslene og hendelsene og historiske data. Du kan søke etter og spørre i hendelseskøen og prioritere svar basert på alvorsgrad.
Oppdage laterale bevegelsesangrep
Defender for XDR inkluderer bedrag evne til å oppdage menneskelig-operert lateral bevegelse, som ofte brukes i vanlige angrep som ransomware og e-post kompromiss.
Bedrag evne genererer lokkemidler. Når angripere samhandler med disse ressursene, øker bedragsfunksjonen varsler med høy visshet som kan vises på Varsler-siden i portalen.
Forstyrrer trusler automatisk
Defender XDR bruker automatisk angrepsforstyrrelse for å inneholde angrep som pågår, begrense angrepsinnvirkning og gi sikkerhetsteamene mer tid til å svare.
Automatisk forstyrrelse avhenger av signaler med høy gjengivelse som produseres av hendelseskorrelasjon på tvers av millioner av Defender-produktsignaler og kontinuerlig undersøkelsesinnsikt fra Microsofts sikkerhetsforskningsteam, for å sikre et høyt signal-til-støy-forhold.
Automatisk forstyrrelse bruker Defender XDR responshandlinger når angrep oppdages. Svarene omfatter å inneholde eller deaktivere ressurser.
Angrepsforstyrrelser er tydelig merket i Defender XDR hendelseskø, og på bestemte hendelsessider.
Jakt etter trusler
Proaktiv jakt inspiserer og undersøker sikkerhetshendelser og data for å finne kjente og potensielle sikkerhetstrusler.
Defender XDR gir trusseljaktfunksjoner i Defender-portalen.
Avansert jakt: SOC-team kan bruke avansert jakt med Kusto Query Language (KQL) i portalen for å opprette egendefinerte spørringer og regler for trusseljakt på tvers av virksomheten. Analytikere kan søke etter indikatorer på kompromisser, avvik og mistenkelige aktiviteter på tvers av Defender XDR datakilder.
Hvis du ikke er kjent med KQL, gir Defender XDR en veiledet modus for å opprette spørringer visuelt og forhåndsdefinerte spørringsmaler.
Egendefinerte gjenkjenningsregler: I tillegg til avansert jakt kan SOC-team opprette egendefinerte gjenkjenningsregler for proaktivt å overvåke og svare på hendelser og systemtilstander. Regler kan utløse varsler eller automatiske svarhandlinger.
Svare på trusler
Defender for XDR gir automatiserte undersøkelses- og svarfunksjoner . Automatisering reduserer volumet av varsler som må håndteres manuelt av SOC-team.
Etter hvert som varsler skaper hendelser, produserer automatiserte undersøkelser en dom som avgjør om det ble funnet en trussel. Når mistenkelige og skadelige trusler identifiseres, omfatter utbedringshandlinger å sende en fil til karantene, stoppe en prosess, blokkere en nettadresse eller isolere en enhet.
Du kan vise et sammendrag av automatiserte undersøkelser og svar på hjemmesiden for portalen. Ventende utbedringshandlinger håndteres i portalens handlingssenter.