Microsoft Defender for Identity w portalu Microsoft Defender
Dotyczy:
- Co to jest Microsoft Defender XDR?
- Microsoft Defender for Identity
Microsoft Defender for Identity jest częścią portalu Microsoft Defender, domu do monitorowania i zarządzania zabezpieczeniami w tożsamościach, danych, urządzeniach, aplikacjach i infrastrukturze firmy Microsoft. Portal Microsoft Defender umożliwia administratorom zabezpieczeń wykonywanie zadań zabezpieczeń w jednej lokalizacji, co upraszcza przepływy pracy i integruje funkcje innych usług Microsoft Defender XDR.
Microsoft Defender for Identity współtworzy informacje skoncentrowane na tożsamościach w zdarzeniach i alertach prezentowanych w portalu Microsoft Defender. Te informacje są kluczem do udostępniania kontekstu i korelowania alertów z innych produktów w ramach Microsoft Defender XDR.
Konwergentne środowiska w portalu Microsoft Defender
Portal Microsoft Defender łączy funkcje zabezpieczeń, które chronią, wykrywają, badają i reagują na zagrożenia związane z pocztą e-mail, współpracą, tożsamością i urządzeniami.
W poniższych sekcjach opisano ulepszone funkcje usługi Defender for Identity znajdujące się w portalu Microsoft Defender.
Uwaga
Klienci korzystający z klasycznego portalu usługi Defender for Identity są automatycznie przekierowywani do portalu Microsoft Defender bez możliwości powrotu do portalu klasycznego.
Konfiguracja i postawa
Obszar | Opis |
---|---|
Wykluczenia globalne | Wykluczenia globalne umożliwiają definiowanie niektórych jednostek, takich jak adresy IP, urządzenia lub domeny, które mają być wykluczone we wszystkich wykrywaniach tożsamości w usłudze Defender. Jeśli na przykład wykluczasz tylko urządzenie, wykluczenie dotyczy tylko wykrywania, które ma identyfikację urządzenia w ramach wykrywania. Aby uzyskać więcej informacji, zobacz Globalne wykluczone jednostki. |
Zarządzanie kontami akcji i usług katalogowych | Możesz odpowiedzieć użytkownikom, których bezpieczeństwo zostało naruszone, wyłączając ich konta lub resetując ich hasło. Podczas wykonywania jednej z tych akcji portal Microsoft Defender jest domyślnie skonfigurowany do korzystania z lokalnego konta systemowego. W związku z tym należy skonfigurować ustawienia akcji i konta usługi katalogowej tylko wtedy, gdy chcesz mieć większą kontrolę i zdefiniować inne konto użytkownika do wykonywania akcji korygowania użytkowników. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity konta akcji. |
Role uprawnień niestandardowych | Portal Microsoft Defender obsługuje niestandardowe role uprawnień. Aby uzyskać więcej informacji, zobacz Kontrola dostępu na podstawie ról w usłudze Microsoft Defender XDR. |
Wskaźnik bezpieczeństwa Microsoft | Ocena stanu zabezpieczeń usługi Defender for Identity jest dostępna w obszarze Wskaźnik bezpieczeństwa firmy Microsoft. Każda ocena to raport do pobrania z instrukcjami dotyczącymi użycia i narzędzi do tworzenia planu działania na potrzeby korygowania lub rozwiązywania problemu. Filtruj wskaźnik bezpieczeństwa firmy Microsoft według tożsamości , aby wyświetlić oceny usługi Defender for Identity. Aby uzyskać więcej informacji, zobacz oceny stanu zabezpieczeń Microsoft Defender for Identity. |
API | Użyj dowolnego z następujących interfejsów API Microsoft Defender XDR z usługą Defender for Identity: - Wykonywanie zapytań o działania za pośrednictwem interfejsu API - Zarządzanie alertami zabezpieczeń za pośrednictwem interfejsu API - Stream alerty zabezpieczeń i działania dotyczące Microsoft Sentinel Porada: portal Microsoft Defender przechowuje zaawansowane dane wyszukiwania zagrożeń tylko przez 30 dni. Jeśli potrzebujesz dłuższych okresów przechowywania, przesyłaj strumieniowo działania do Microsoft Sentinel lub innego systemu zarządzania informacjami o zabezpieczeniach i zdarzeniami partnera (SIEM). |
Dołączanie | Dołączanie usługi Defender for Identity jest teraz automatyczne dla nowych klientów bez konieczności konfigurowania obszaru roboczego. Jeśli chcesz usunąć wystąpienie, otwórz zgłoszenie do pomocy technicznej firmy Microsoft. |
Dochodzenie
Obszar | Opis |
---|---|
Obszar Tożsamości | W portalu Microsoft Defender rozwiń obszar Tożsamości, aby wyświetlić pulpit nawigacyjny wykresów i widżetów z często używanymi danymi, stronę Problemy z kondycją, listę wszystkich problemów z kondycją wdrożenia usługi Defender for Identity oraz stronę Narzędzia z linkami do często używanych narzędzi i dokumentacji. Aby uzyskać więcej informacji, zobacz Wyświetlanie pulpitu nawigacyjnego ITDR i problemów z kondycją usługi Defender for Identity. |
Strona tożsamości | Strona szczegółów tożsamości portalu Microsoft Defender udostępnia dane inkluzywne dotyczące każdej tożsamości, takie jak: — Wszystkie skojarzone alerty — Kontrola konta usługi Active Directory - Ryzykowne ścieżki ruchu bocznego — Oś czasu działań i alertów - Szczegóły dotyczące obserwowanych lokalizacji, urządzeń i grup. Aby uzyskać więcej informacji, zobacz Badanie użytkowników w portalu Microsoft Defender. |
Strona urządzenia | Dowód alertu portalu Microsoft Defender zawiera listę wszystkich urządzeń i użytkowników połączonych z każdym podejrzanym działaniem. Zbadaj dokładniej, wybierając określone urządzenie w alercie, aby uzyskać dostęp do strony szczegółów urządzenia. Aby uzyskać więcej informacji, zobacz Badanie urządzeń na liście urządzeń Ochrona punktu końcowego w usłudze Microsoft Defender. |
Zaawansowane wyszukiwanie zagrożeń | Portal Microsoft Defender pomaga aktywnie wyszukiwać zagrożenia i złośliwe działania przy użyciu zaawansowanych zapytań wyszukiwania zagrożeń. Te zaawansowane zapytania mogą służyć do lokalizowania i przeglądania wskaźników zagrożeń i jednostek dla znanych i potencjalnych zagrożeń. Twórz niestandardowe reguły wykrywania z zaawansowanych zapytań wyszukiwania zagrożeń, aby ułatwić proaktywne watch dla zdarzeń, które mogą wskazywać na działanie naruszenia zabezpieczeń i nieprawidłowo skonfigurowane urządzenia. Aby uzyskać więcej informacji, zobacz Proaktywne wyszukiwanie zagrożeń z zaawansowanym wyszukiwaniem zagrożeń w portalu Microsoft Defender. |
Wyszukiwanie globalne | Użyj paska wyszukiwania w górnej części strony portalu Microsoft Defender, aby wyszukać dowolną jednostkę monitorowaną przez Microsoft Defender XDR, w tym tożsamości, punkty końcowe, dane Office 365, grupy usługi Active Directory (wersja zapoznawcza) i inne. Wybierz wyniki bezpośrednio z listy rozwijanej wyszukiwania lub wybierz pozycję Wszyscy użytkownicy lub Wszystkie urządzenia , aby wyświetlić wszystkie jednostki skojarzone z danym terminem wyszukiwania. |
Ścieżki ruchu bocznego | Portal Microsoft Defender udostępnia dane ścieżki ruchu bocznego na stronie Zaawansowane wyszukiwanie zagrożeń i oceny zabezpieczeń ścieżki ruchu poprzecznego, a także kartę Ścieżki ruchu poprzecznego na stronie szczegółów użytkownika. Aby uzyskać więcej informacji, zobacz Understand and investigate lateral movement paths (LMPs) with Microsoft Defender for Identity (Omówienie i badanie bocznych ścieżek przenoszenia przy użyciu Microsoft Defender for Identity). |
Wykrywanie i reagowanie
Obszar | Opis |
---|---|
Korelacja alertów i zdarzeń | Alerty usługi Defender for Identity są teraz uwzględniane w kolejce alertów portalu Microsoft Defender, udostępniając je funkcji automatycznej korelacji zdarzeń. Wyświetl wszystkie alerty w jednym miejscu i określ zakres naruszenia jeszcze szybciej niż wcześniej. Aby uzyskać więcej informacji, zobacz Badanie alertów usługi Defender for Identity w portalu Microsoft Defender. |
Wykluczenia alertów | Interfejs alertów portalu Microsoft Defender jest bardziej przyjazny dla użytkownika i zawiera funkcję wyszukiwania i wykluczenia globalne, co oznacza, że można wykluczyć dowolną jednostkę ze wszystkich alertów generowanych przez usługę Defender for Identity. Aby uzyskać więcej informacji, zobacz Konfigurowanie wykluczeń wykrywania tożsamości w usłudze Defender w Microsoft Defender XDR. |
Dostrajanie alertów | Dostrajanie alertów, znane wcześniej jako pomijanie alertów, umożliwia dostosowywanie i optymalizowanie alertów. Dostrajanie alertów zmniejsza liczbę wyników fałszywie dodatnich, umożliwiając zespołom SOC skupienie się na alertach o wysokim priorytecie i zwiększenie zasięgu wykrywania zagrożeń w całym systemie. W Microsoft Defender XDR utwórz warunki reguły na podstawie typów dowodów, a następnie zastosuj regułę do dowolnego typu reguły zgodnego z warunkami. Aby uzyskać więcej informacji, zobacz Dostrajanie alertu. |
Działania naprawcze | Akcje korygowania usługi Defender for Identity, takie jak wyłączanie kont lub wymaganie resetowania hasła, są dostępne na stronie szczegółów użytkownika portalu Microsoft Defender. Aby uzyskać więcej informacji, zobacz Akcje korygowania w Microsoft Defender for Identity. |
Szybkie informacje dla starszych użytkowników portalu
W poniższej tabeli wymieniono zmiany w nawigacji między Microsoft Defender for Identity a portalem Microsoft Defender.
Defender dla Tożsamość | Portal Microsoft Defender |
---|---|
Oś czasu | — Microsoft Defender portalu — alerty/kolejka zdarzeń |
Raporty | Następujące typy raportów są dostępne na > stroniezarządzania raportamitożsamości raportów> w portalu Microsoft Defender w celu natychmiastowego pobrania lub zaplanowanego okresowego dostarczania wiadomości e-mail: — Podsumowanie raportów dotyczących alertów i problemów zdrowotnych, które należy rozwiązać. - Lista każdej modyfikacji w poufnych grupach. — lista haseł do komputera źródłowego i konta, które są wykrywane jako wysyłane w postaci zwykłego tekstu. — Lista poufnych kont uwidoczniona w bocznych ścieżkach przenoszenia. Aby uzyskać więcej informacji, zobacz Zarządzanie raportami. |
Strona tożsamości | strona szczegółów użytkownika portalu Microsoft Defender |
Strona urządzenia | strona szczegółów urządzenia portalu Microsoft Defender |
Strona grupy | okienko po stronie grup portalu Microsoft Defender |
Strona alertu | strona szczegółów alertu portalu Microsoft Defender Porada: Użyj dostrajania alertów, aby zoptymalizować alerty widoczne w portalu Microsoft Defender. |
Szukać | wyszukiwanie globalne portalu Microsoft Defender |
Problemy z kondycją | Problemy z kondycją tożsamości > w portalu Microsoft Defender |
Działania jednostki |
-
Zaawansowane wyszukiwanie zagrożeń — Oś czasu strony > urządzenia — Karta Oś czasu strony > tożsamości - KartaOś czasu okienka > grupy |
Ustawienia | Ustawienia —>tożsamości |
Użytkownicy i konta | Zasoby —>tożsamości |
Stan zabezpieczeń tożsamości | Oceny stanu bezpieczeństwa Microsoft Defender for Identity |
Dołączanie nowego obszaru roboczego | Ustawienia —>tożsamości (automatycznie) |
Około | Ustawienia > tożsamości > — informacje |
Następne kroki
Więcej informacji można znaleźć w następujących artykułach:
- Powiązane filmy wideo dotyczące Microsoft Defender for Identity
- Microsoft Defender XDR
- Microsoft Defender for Identity
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.