Microsoft Defender XDR w portalu Microsoft Defender
Portal Microsoft Defender w witrynie https://security.microsoft.com łączy ochronę, wykrywanie, badanie i reagowanie na zagrożenia w całej organizacji i wszystkich jej składnikach w centralnym miejscu. Portal usługi Defender podkreśla szybki dostęp do informacji, prostsze układy i łączenie powiązanych informacji w celu łatwiejszego użycia. Obejmuje ona Microsoft Defender XDR i funkcje oraz możliwości innych rozwiązań zabezpieczeń firmy Microsoft, do których masz aprowizowany dostęp.
Aby dowiedzieć się więcej o usługach należących do portalu Microsoft Defender, zobacz następujące zasoby:
- Ochrona punktu końcowego w usłudze Microsoft Defender w portalu Microsoft Defender
- Ochrona usługi Office 365 w usłudze Microsoft Defender w portalu Microsoft Defender
- Microsoft Defender for Identity w portalu Microsoft Defender
- Microsoft Defender for Cloud Apps w portalu Microsoft Defender
- Microsoft Defender dla alertów i zdarzeń w chmurze w portalu Microsoft Defender
- Ochrona przed utratą danych w Microsoft Purview alertów w portalu Microsoft Defender
- Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w portalu Microsoft Defender
- Microsoft Security Copilot osadzone środowisko w portalu Microsoft Defender
- Microsoft Defender monitorowania przedsiębiorstwA IoT w portalu Microsoft Defender
- Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
Ważna
Microsoft Sentinel jest ogólnie dostępna w ramach ujednoliconej platformy operacji zabezpieczeń firmy Microsoft w portalu Microsoft Defender. W wersji zapoznawczej Microsoft Sentinel jest dostępna w portalu usługi Defender bez Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu Microsoft Defender.
Obejrzyj ten krótki film wideo, aby dowiedzieć się więcej o portalu usługi Defender.
Czego się spodziewać
Microsoft Defender XDR koreluje sygnały z różnych rozwiązań zabezpieczeń firmy Microsoft w portalu Microsoft Defender, aby ułatwić zespołom ds. zabezpieczeń badanie ataków i reagowanie na nie w ramach zestawu ujednoliconych środowisk:
- Zdarzenia & alerty
- Polowanie
- Akcje & przesłania
- Analiza zagrożeń
Portal Microsoft Defender podkreśla jedność, przejrzystość i wspólne cele. Wyszukiwanie jednostek i powiadomień jest również ujednolicone w portalu.
Uwaga
W portalu Microsoft Defender klienci widzą tylko funkcje zabezpieczeń, które obejmuje ich subskrypcja. Jeśli na przykład masz Ochrona usługi Office 365 w usłudze Defender, ale nie usługę Defender for Endpoint, zobaczysz funkcje i możliwości dla Ochrona usługi Office 365 w usłudze Defender, ale nie dla ochrony urządzenia.
Badania dotyczące incydentów i alertów
Microsoft Defender XDR koreluje alerty i zdarzenia ze wszystkich rozwiązań zabezpieczeń firmy Microsoft we wszystkich zasobach w całej organizacji z zdarzeniami. Zdarzenia to zbiór alertów związanych z pojedynczym zagrożeniem lub atakiem. Zdarzenia są traktowane priorytetowo na podstawie ważności zagrożenia i potencjalnego wpływu na organizację.
Wybranie nazwy zdarzenia powoduje wyświetlenie strony, która pokazuje wartość scentralizowania informacji o zabezpieczeniach w miarę uzyskiwania lepszych informacji na temat pełnego rozszerzenia zagrożenia, od poczty e-mail, przez tożsamość, po punkty końcowe.
Poświęć czas na przejrzenie zdarzeń w środowisku, przejście do szczegółów każdego alertu i przećwicz poznanie sposobu uzyskiwania dostępu do informacji i określania kolejnych kroków analizy.
Aby uzyskać więcej informacji, zobacz Incydenty w portalu Microsoft Defender.
Polowanie
Można tworzyć niestandardowe reguły wykrywania i wyszukiwać określone zagrożenia w środowisku. Wyszukiwanie zagrożeń używa narzędzia do wyszukiwania zagrożeń opartego na zapytaniach, które umożliwia proaktywne sprawdzanie zdarzeń w organizacji w celu zlokalizowania wskaźników zagrożeń i jednostek. Te reguły są uruchamiane automatycznie w celu sprawdzenia, a następnie reagowania na działania związane z podejrzeniem naruszenia zabezpieczeń, nieprawidłowo skonfigurowane maszyny i inne ustalenia.
Aby uzyskać więcej informacji, zobacz Proaktywne wyszukiwanie zagrożeń z zaawansowanym wyszukiwaniem zagrożeń w Microsoft Defender XDR.
Akcje i przesłania
Akcje to zadania wykonywane na jednostkach w portalu Microsoft Defender. Akcje mogą być wykonywane na zasobie, takim jak urządzenie lub użytkownik, mogą być wykonywane w jednej jednostce lub na wielu jednostkach jednocześnie i wykonywane ręcznie lub automatycznie.
Zautomatyzowane akcje to funkcje w ramach Microsoft Defender XDR, które ułatwiają automatyczne i szybkie reagowanie na ataki w przypadku alertów i zdarzeń. Akcje zautomatyzowane obejmują:
Te akcje można przeglądać i zarządzać nimi na stronie Centrum akcji w portalu Microsoft Defender.
Możesz przesyłać pliki, wiadomości e-mail i załączniki do wiadomości e-mail, adresy URL lub wiadomości usługi Teams na stronie Przesyłanie do firmy Microsoft w celu dalszej analizy. Aby uzyskać więcej informacji, zobacz Przewodnik przesyłania.
Analiza zagrożeń
Analiza zagrożeń to rozwiązanie do analizy zagrożeń Microsoft Defender XDR od ekspertów badaczy zabezpieczeń firmy Microsoft. Jest ona zaprojektowana tak, aby pomóc zespołom ds. zabezpieczeń, aby były jak najbardziej wydajne w obliczu pojawiających się zagrożeń, takich jak:
- Aktywni aktorzy zagrożeń i ich kampanie
- Popularne i nowe techniki ataków
- Krytyczne luki w zabezpieczeniach
- Typowe powierzchnie ataków
- Powszechnie stosowane złośliwe oprogramowanie
ustawienia Microsoft Defender XDR
Ustawieniami Microsoft Defender XDR można zarządzać na stronie Ustawienia > Microsoft Defender XDR w portalu Microsoft Defender. Na stronie ustawień można skonfigurować następujące elementy:
- Email powiadomienia dotyczące zdarzeń, akcji reagowania i raportów analizy zagrożeń.
- Uprawnienia i role
- Interfejs API przesyłania strumieniowego
- Zarządzanie regułami zasobów
- Dostrajanie alertów
- Krytyczne zarządzanie zasobami
Ujednolicone wyszukiwanie i powiadomienia
Wyszukiwanie globalne
Funkcja wyszukiwania portalu Microsoft Defender znajduje się w górnej części strony. Podczas wpisywania sugestie są udostępniane, aby łatwiej było znaleźć jednostki. Strona rozszerzonych wyników wyszukiwania scentralizuje wyniki ze wszystkich jednostek.
Wyniki wyszukiwania są podzielone na kategorie według sekcji związanych z wyszukiwanymi terminami. W portalu Microsoft Defender można wyszukiwać następujące jednostki:
- Urządzenia — obsługiwane w usłudze Defender for Endpoint, Defender for Identity, Defender for Cloud i Microsoft Sentinel.
- Użytkownicy — obsługiwane w usłudze Defender for Endpoint, Defender for Identity, Defender for Cloud Apps i Microsoft Sentinel.
-
Pliki, adresy IP i adresy URL — takie same możliwości jak w usłudze Defender for Endpoint.
Uwaga
Wyszukiwania adresów IP i adresów URL są oparte na dokładnym dopasowaniu i nie są wyświetlane na stronie wyników wyszukiwania — prowadzą bezpośrednio do strony jednostki.
- Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender — takie same możliwości jak w usłudze Defender for Endpoint (luki w zabezpieczeniach, oprogramowanie i zalecenia).
Wyszukiwanie zawiera również wyniki z odpowiednich linków w portalu Microsoft Tech Community, odpowiedniej dokumentacji w usłudze Microsoft Learn, elementów nawigacji w portalu oraz linku, w którym można przekazać opinię. Historia wyszukiwania jest przechowywana w przeglądarce i jest dostępna przez następne 30 dni.
Powiadomienia
Powiadomienia to komunikaty informujące o ważnych zdarzeniach lub aktualizacjach w portalu usługi Defender. Pomagają one na bieżąco z zadaniami zabezpieczeń i alertami.
Powiadomienia znajdują się na górnym pasku interfejsu użytkownika portalu. Możesz uzyskać do nich dostęp, klikając ikonę powiadomienia, która wygląda jak dzwonek. Liczba na ikonie wskazuje, że masz tę liczbę nieprzeczytanych powiadomień.
Powiadomienia mogą dawać informacje o różnych typach zdarzeń lub aktualizacji:
- Powodzenie: po pomyślnym wykonaniu akcji lub zadania, takiej jak skanowanie urządzenia lub stosowanie zasad.
- Trwa: gdy akcja jest w toku.
- Informacje: jeśli istnieją pewne informacje, które mogą okazać się przydatne.
- Ostrzeżenie: jeśli istnieje potencjalny problem lub ryzyko, o którym należy pamiętać, na przykład o urządzeniu, które jest niezgodne, lub zasadach, które należy zaktualizować.
- Błąd: w przypadku wystąpienia błędu lub błędu, który wymaga twojej uwagi, jak zdarzenie jest usuwane lub scalane, skanowanie, które nie powiodło się lub zasady, których nie można zastosować.
Każde powiadomienie ma tytuł i zawartość, które zawierają istotne informacje o zdarzeniu lub aktualizacji. Każde powiadomienie ma również sygnaturę czasową, która pokazuje, kiedy powiadomienie zostało wygenerowane.
Powiadomienia można ukryć w widoku. Możesz odrzucić pojedyncze powiadomienie, klikając ikonę x po prawej stronie powiadomienia. Możesz również odrzucić wszystkie powiadomienia na liście jednym kliknięciem, używając opcji odrzuć wszystkie w górnej części panelu powiadomień.
Odrzucenie powiadomienia nie powoduje usunięcia go z portalu. Możesz zawsze wyświetlać odrzucone powiadomienia, wybierając pozycję Pokaż odrzucone w dolnej części panelu powiadomień.
Powiadomienia są sortowane według czasu wygenerowanego w panelu powiadomień, a najnowsze są wyświetlane jako pierwsze. Możesz przewijać listę powiadomień, aby wyświetlić starsze.
Szkolenia dla analityków zabezpieczeń
Korzystając z tej ścieżki szkoleniowej z usługi Microsoft Learn, można zrozumieć, Microsoft Defender XDR i jak może pomóc w identyfikowaniu, kontrolowaniu i korygowanie zagrożeń bezpieczeństwa.
| Szkolenie: | Eliminowanie zagrożeń przy użyciu Microsoft Defender XDR |
|---|---|
|
Analizowanie danych zagrożeń w domenach i szybkie korygowanie zagrożeń za pomocą wbudowanej orkiestracji i automatyzacji w Microsoft Defender XDR. Ta ścieżka szkoleniowa jest zgodna z egzaminem SC-200: Microsoft Security Operations Analyst. 9 godz. 31 min — ścieżka szkoleniowa — 11 modułów |
Zobacz też
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.