Microsoft Defender XDR in de Defender-portal
Microsoft Defender XDR in het geïntegreerde SecOps-platform van Microsoft verenigt en coördineert bedreigingsbeveiliging voor een breed scala aan assets, waaronder apparaten en eindpunten, identiteiten, e-mail, Microsoft 365-services en SaaS-apps.
Defender XDR consolideert bedreigingssignalen en gegevens over assets, zodat u beveiligingsrisico's vanaf één locatie in de Microsoft Defender-portal kunt bewaken en beheren.
Defender XDR combineert meerdere Microsoft-beveiligingsservices.
| Service | Details |
|---|---|
| Beschermen tegen e-mailbedreigingen met Defender voor Office 365 | Helpt bij het beveiligen van e-mail en Office 365 resources. |
| Apparaten beveiligen met Defender voor Eindpunt | Biedt preventieve beveiliging, detectie na inbreuk en geautomatiseerd onderzoek en reactie op apparaten. |
| Active Directory beveiligen met Defender for Identity | Maakt gebruik van Active Directory-signalen voor het identificeren, detecteren en onderzoeken van geavanceerde bedreigingen, gecompromitteerde identiteiten en schadelijke acties van insiders. |
| SaaS-cloud-apps beveiligen met Defender for Cloud Apps | Biedt uitgebreide zichtbaarheid, krachtige gegevensbeheer en verbeterde bescherming tegen bedreigingen voor SaaS- en PaaS-cloud-apps. |
| Beschermen tegen een breed scala aan bedreigingen met Microsoft Sentinel | Microsoft Sentinel integreert naadloos met Defender XDR om de mogelijkheden van beide producten te combineren in een geïntegreerd beveiligingsplatform voor detectie, onderzoek, opsporing en reactie op bedreigingen. |
Bedreigingen detecteren
Defender XDR biedt continue bedreigingsbewaking. Wanneer bedreigingen worden gedetecteerd, worden beveiligingswaarschuwingen gemaakt. Defender voegt automatisch gerelateerde waarschuwingen en beveiligingssignalen samen in beveiligingsincidenten.
Incidenten definiëren een volledig beeld van een aanval. Incidenten helpen SOC-teams om aanvallen te begrijpen en sneller te reageren. Incidenten verzamelen gerelateerde waarschuwingen, informatie over het bereik en de voortgang van aanvallen en de entiteiten en assets die bij een aanval betrokken zijn.
Eén incidentwachtrij in de Defender-portal biedt volledig inzicht in de nieuwste waarschuwingen en incidenten, en historische gegevens. U kunt zoeken en query's uitvoeren in de wachtrij voor incidenten en antwoorden prioriteren op basis van ernst.
Aanvallen met laterale beweging detecteren
Defender voor XDR bevat de mogelijkheid om door mensen bediende laterale bewegingen te detecteren, wat vaak wordt gebruikt bij veelvoorkomende aanvallen zoals ransomware en e-mailinbreuken.
De misleidingsmogelijkheid genereert lokmiddelen. Wanneer aanvallers met deze assets communiceren, genereert misleidingsmogelijkheid waarschuwingen met een hoge betrouwbaarheid die kunnen worden weergegeven op de pagina Waarschuwingen in de portal.
Bedreigingen automatisch verstoren
Defender XDR maakt gebruik van automatische aanvalsonderbreking om aanvallen te beperken, de impact op aanvallen te beperken en beveiligingsteams meer tijd te geven om te reageren.
Automatische onderbreking is afhankelijk van high-fidelity-signalen die worden geproduceerd door incidentcorrelatie tussen miljoen Defender-productsignalen en doorlopende onderzoeksinzichten van het beveiligingsonderzoeksteam van Microsoft, om een hoge signaal-ruisverhouding te garanderen.
Automatische onderbreking maakt gebruik van Defender XDR reactieacties wanneer er aanvallen worden gedetecteerd. Antwoorden omvatten het bevatten of uitschakelen van assets.
Onderbrekingen van aanvallen worden duidelijk gemarkeerd in de Defender XDR incidentwachtrij en op specifieke incidentpagina's.
Bedreigingen opsporen
Proactieve opsporing inspecteert en onderzoekt beveiligingsincidenten en -gegevens om bekende en potentiële beveiligingsrisico's te vinden.
Defender XDR biedt mogelijkheden voor het opsporen van bedreigingen in de Defender-portal.
Geavanceerde opsporing: SOC-teams kunnen geavanceerde opsporing met de Kusto-querytaal (KQL) in de portal gebruiken om aangepaste query's en regels te maken voor het opsporen van bedreigingen in de hele onderneming. Analisten kunnen zoeken naar indicatoren van inbreuk, afwijkingen en verdachte activiteiten in Defender XDR gegevensbronnen.
Als u niet bekend bent met KQL, biedt Defender XDR een begeleide modus om query's visueel te maken en vooraf gedefinieerde querysjablonen.
Aangepaste detectieregels: naast geavanceerde opsporing kunnen SOC-teams aangepaste detectieregels maken om proactief gebeurtenissen en systeemstatussen te bewaken en erop te reageren. Regels kunnen waarschuwingen of automatische reactieacties activeren.
Reageren op bedreigingen
Defender voor XDR biedt geautomatiseerde onderzoeks- en reactiemogelijkheden . Automatisering vermindert het aantal waarschuwingen dat handmatig moet worden verwerkt door SOC-teams.
Wanneer waarschuwingen incidenten genereren, produceren geautomatiseerde onderzoeken een oordeel dat bepaalt of er een bedreiging is gevonden. Wanneer verdachte en schadelijke bedreigingen worden geïdentificeerd, omvatten herstelacties het verzenden van een bestand in quarantaine, het stoppen van een proces, het blokkeren van een URL of het isoleren van een apparaat.
U kunt een overzicht van geautomatiseerde onderzoeken en antwoorden bekijken op de startpagina van de portal. Herstelacties die in behandeling zijn, worden verwerkt in het actiecentrum van de portal.