Opis portalu usługi Microsoft Defender

  • 6 min

Ujednolicona platforma operacji zabezpieczeń to w pełni zintegrowany zestaw narzędzi dla zespołów ds. zabezpieczeń, który umożliwia zapobieganie zagrożeniom, wykrywanie, badanie i reagowanie na nie w całym środowisku. W przypadku firmy Microsoft oznacza to dostarczanie najlepszych rozwiązań SIEM, XDR, zarządzania stanem i analizy zagrożeń dzięki zaawansowanej sztucznej inteligencji generującej jako jedną platformę.

Za pośrednictwem portalu Microsoft Defender firma Microsoft zapewnia obietnicę ujednoliconej platformy operacji zabezpieczeń, dzięki czemu można wyświetlić kondycję zabezpieczeń organizacji. Portal usługi Microsoft Defender łączy ochronę, wykrywanie, badanie i reagowanie na zagrożenia w całej organizacji i wszystkich jej składnikach w centralnym miejscu.

Aby uzyskać dostęp do portalu, musisz mieć przypisaną odpowiednią rolę, taką jak administrator globalny, administrator zabezpieczeń, operator zabezpieczeń lub czytelnik zabezpieczeń w usłudze Microsoft Entra ID, aby uzyskać dostęp do portalu usługi Microsoft Defender.

Portal usługi Defender podkreśla szybki dostęp do informacji, prostszych układów i łączenia powiązanych informacji w celu ułatwienia ich użycia.

Zrzut ekranu przedstawiający stronę główną portalu Usługi Microsoft Defender.

Strona główna portalu Microsoft Defender zawiera wiele typowych kart, których potrzebują zespoły ds. zabezpieczeń. Kompozycja kart i danych zależy od roli użytkownika. Ponieważ portal usługi Microsoft Defender używa kontroli dostępu opartej na rolach, różne role widzą karty, które są bardziej znaczące dla codziennych zadań.

Portal usługi Microsoft Defender umożliwia dostosowanie okienka nawigacji do codziennych potrzeb operacyjnych. Okienko nawigacji można dostosować, aby wyświetlać lub ukrywać funkcje i usługi na podstawie ich określonych preferencji. Dostosowanie jest specyficzne dla Ciebie, więc inni administratorzy nie zobaczą tych zmian.

Lewe okienko nawigacji zapewnia łatwy dostęp do pakietu usług Microsoft Defender XDR. Uzyskasz również dostęp do usługi Microsoft Sentinel i wielu innych funkcji W poniższych sekcjach podano krótki opis możliwości dostępnych na pasku nawigacyjnym po lewej stronie w portalu usługi Microsoft Defender.

Zarządzanie ekspozycjami

Microsoft Security Exposure Management to rozwiązanie zabezpieczeń, które zapewnia ujednolicony widok stanu zabezpieczeń między zasobami i obciążeniami firmy. Usługa Security Exposure Management wzbogaca informacje o zasobach z kontekstem zabezpieczeń, który ułatwia aktywne zarządzanie powierzchniami ataków, ochronę krytycznych zasobów oraz eksplorowanie i ograniczanie ryzyka narażenia.

Dzięki zarządzaniu ekspozycjami na zabezpieczenia można odnajdywać i monitorować zasoby, uzyskiwać szczegółowe informacje o zabezpieczeniach, badać określone obszary ryzyka przy użyciu inicjatyw związanych z zabezpieczeniami i śledzić metryki w całej organizacji, aby poprawić stan zabezpieczeń.

Powierzchnia ataku

Usługa Security Exposure Management automatycznie generuje ścieżki ataków na podstawie danych zebranych między zasobami i obciążeniami. Symuluje scenariusze ataku i identyfikuje luki w zabezpieczeniach i słabości, które może wykorzystać osoba atakująca.

Szczegółowe informacje o zabezpieczeniach

Szczegółowe informacje o ekspozycji w usłudze Microsoft Security Exposure Management stale agregują dane dotyczące stanu zabezpieczeń i szczegółowe informacje dotyczące obciążeń i zasobów w jednym potoku.

  • Inicjatywy umożliwiają prostą ocenę gotowości zabezpieczeń dla określonego obszaru zabezpieczeń lub obciążenia oraz ciągłe śledzenie i mierzenie ryzyka narażenia dla tego obszaru lub obciążenia w czasie.
  • Metryki w rozwiązaniu Microsoft Security Exposure Management mierzą narażenie na zabezpieczenia dla określonego zakresu zasobów lub zasobów w ramach inicjatywy zabezpieczeń.
  • Zalecenia pomagają zrozumieć stan zgodności dla określonej inicjatywy zabezpieczeń.
  • Zdarzenia ułatwiają monitorowanie zmian inicjatywy.

Wskaźnik bezpieczeństwa

Wskaźnik bezpieczeństwa firmy Microsoft, jeden z narzędzi w portalu usługi Microsoft Defender, jest reprezentacją stanu zabezpieczeń firmy. Im wyższy wynik, tym lepsza ochrona. Ze scentralizowanego pulpitu nawigacyjnego w portalu usługi Microsoft Defender organizacje mogą monitorować i pracować nad zabezpieczeniami tożsamości, aplikacji i urządzeń platformy Microsoft 365.

Wskaźnik bezpieczeństwa zawiera podział oceny, akcje poprawy, które mogą zwiększyć ocenę organizacji i jak dobrze wskaźnik bezpieczeństwa organizacji jest porównywany z innymi podobnymi organizacjami.

Łączniki danych

Za pomocą łączników danych można łączyć źródła danych w celu uzyskania bogatszego, bardziej scentralizowanego środowiska zarządzania ekspozycją.

Badanie i odpowiedź

Karta Badanie i reagowanie zawiera dostęp do zdarzeń i alertów, wyszukiwania zagrożeń, akcji i przesyłania oraz wykazu partnerów.

Zrzut ekranu przedstawiający portal usługi Microsoft Defender z opcjami dostępnymi do badania i odpowiedzi. Są to zdarzenia i alerty, wyszukiwanie zagrożeń, akcje i przesyłanie oraz wykaz partnerów.

Zdarzenia i alerty

Zdarzenie w portalu usługi Microsoft Defender to zbiór powiązanych alertów, zasobów, dochodzeń i dowodów, które umożliwiają kompleksowe przyjrzenie się całemu zakresowi ataku. Służy jako plik przypadku, którego soc może użyć do zbadania tego ataku i zarządzania, implementowania i dokumentowania odpowiedzi na nie. Ponieważ portal Usługi Microsoft Defender jest oparty na ujednoliconej platformie operacji zabezpieczeń, można uzyskać wgląd we wszystkie zdarzenia, w tym zdarzenia generowane z pakietu rozwiązań Microsoft Defender XDR, Microsoft Sentinel i innych rozwiązań.

W ramach zdarzenia analizujesz alerty wpływające na sieć, rozumiesz, co oznaczają, i sortujesz dowody, aby można było opracować skuteczny plan korygowania. Informacje podane dla zdarzenia obejmują:

  • Pełna historia ataku, w tym wszystkie alerty, zasoby i podjęte akcje korygowania.
  • Wszystkie alerty związane ze zdarzeniem.
  • Wszystkie zasoby (urządzenia, użytkownicy, skrzynki pocztowe i aplikacje), które zostały zidentyfikowane jako część zdarzenia lub powiązane z tym zdarzeniem.
  • Wszystkie zautomatyzowane badania wyzwalane przez alerty w zdarzeniu.
  • Wszystkie obsługiwane dowody i odpowiedź.

Jeśli Twoja organizacja jest dołączona do rozwiązania Security Copilot, możesz również wyświetlić podsumowanie zdarzeń, odpowiedzi z przewodnikiem i nie tylko.

Wyszukiwanie zagrożeń

Zaawansowane wyszukiwanie zagrożeń to narzędzie do wyszukiwania zagrożeń oparte na zapytaniach, które umożliwia eksplorowanie do 30 dni nieprzetworzonych danych z usług Microsoft Defender XDR i Microsoft Sentinel. Możesz aktywnie sprawdzać zdarzenia w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki za pomocą zapytań wyszukiwania zagrożeń. Zapytania wyszukiwania zagrożeń można tworzyć za pośrednictwem edytora zapytań, jeśli znasz język zapytań Kusto (KQL), za pomocą konstruktora zapytań lub za pośrednictwem narzędzia Security Copilot. W przypadku użytkowników dołączonych do aplikacji Microsoft Security Copilot możesz wysłać żądanie lub zadać pytanie w języku naturalnym, a rozwiązanie Security Copilot generuje zapytanie KQL odpowiadające żądaniu.

Do tworzenia niestandardowych reguł wykrywania można użyć tych samych zapytań dotyczących wyszukiwania zagrożeń. Te reguły są uruchamiane automatycznie w celu sprawdzenia, a następnie reagowania na podejrzane działania związane z naruszeniem zabezpieczeń, nieprawidłowo skonfigurowane maszyny i inne ustalenia.

Zrzut ekranu przedstawiający stronę zaawansowanego wyszukiwania zagrożeń w portalu usługi Microsoft Defender.

Akcje i przesłania

Ujednolicone centrum akcji łączy akcje korygowania między Ochrona punktu końcowego w usłudze Microsoft Defender i Ochrona usługi Office 365 w usłudze Microsoft Defender. Wyświetla listę oczekujących i zakończonych akcji korygowania dla urządzeń, zawartości poczty e-mail i współpracy oraz tożsamości w jednej lokalizacji.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi usługi Exchange Online administratorzy mogą przesyłać wiadomości, adresy URL i załączniki do firmy Microsoft na potrzeby analizy za pomocą strony Przesyłanie w portalu usługi Microsoft Defender.

Wykaz partnerów

Wykaz partnerów zawiera listę obsługiwanych partnerów technologicznych i profesjonalnych usług, które mogą pomóc organizacji w ulepszaniu możliwości wykrywania, badania i analizy zagrożeń platformy.

Analiza zagrożeń

Na karcie Analiza zagrożeń użytkownicy uzyskują dostęp do usługi Microsoft Defender Threat Intelligence. Aby uzyskać więcej informacji, zobacz jednostkę "Opisywanie analizy zagrożeń w usłudze Microsoft Defender".

Zasoby

Karta Zasoby umożliwia wyświetlanie spisu chronionych i odnalezionych zasobów w organizacji oraz zarządzanie nimi (urządzenia i tożsamości).

Spis urządzeń zawiera listę urządzeń w sieci, w których zostały wygenerowane alerty. Domyślnie kolejka wyświetla urządzenia widoczne w ciągu ostatnich 30 dni. Na pierwszy rzut oka zobaczysz informacje, takie jak domena, poziom ryzyka, platforma systemu operacyjnego i inne szczegóły ułatwiające identyfikację urządzeń najbardziej zagrożonych.

Spis tożsamości zapewnia kompleksowy widok wszystkich tożsamości firmowych, zarówno w chmurze, jak i w środowisku lokalnym.

Microsoft Sentinel

Niektóre funkcje usługi Microsoft Sentinel, takie jak ujednolicona kolejka zdarzeń, są dostępne za pośrednictwem strony zdarzeń i alertów w portalu usługi Defender oraz zdarzeń z innych usług Microsoft Defender. Wiele innych funkcji usługi Microsoft Sentinel jest dostępnych w sekcji Microsoft Sentinel w portalu usługi Defender.

Aby uzyskać więcej informacji, zobacz moduł "Opis możliwości w usłudze Microsoft Sentinel", którego link znajduje się w jednostce podsumowania i zasobów.

Zrzut ekranu przedstawiający węzeł usługi Microsoft Sentinel na panelu nawigacyjnym portalu usługi Microsoft Defender.

Tożsamości

Węzeł Tożsamości na lewym panelu nawigacyjnym portalu Microsoft Defender jest mapowy na funkcje skojarzone z usługą Microsoft Defender for Identity. Aby uzyskać więcej informacji, zobacz jednostkę "Opisywanie usługi Microsoft Defender for Identity".

Zrzut ekranu przedstawiający węzeł tożsamości w panelu nawigacyjnym po lewej stronie portalu usługi Microsoft Defender.

Punkty końcowe

Węzeł Punkty końcowe na lewym panelu nawigacyjnym portalu usługi Microsoft Defender jest mapowy na funkcje skojarzone z Ochrona punktu końcowego w usłudze Microsoft Defender. Aby uzyskać więcej informacji, zobacz w lekcji "Opis Ochrona punktu końcowego w usłudze Microsoft Defender s".

Zrzut ekranu przedstawiający węzeł punktów końcowych w panelu nawigacyjnym po lewej stronie portalu usługi Microsoft Defender.

Poczta e-mail i współpraca

Węzeł poczty e-mail i współpracy na lewym panelu nawigacyjnym to miejsce, w którym można znaleźć Ochrona usługi Office 365 w usłudze Microsoft Defender funkcje, które umożliwiają śledzenie i badanie zagrożeń dla poczty e-mail użytkowników, śledzenie kampanii i nie tylko. Aby uzyskać więcej informacji, zobacz jednostkę "Opisywanie Ochrona usługi Office 365 w usłudze Microsoft Defender".

Zrzut ekranu przedstawiający węzeł poczty e-mail i współpracy na panelu nawigacyjnym portalu usługi Microsoft Defender.

Aplikacje w chmurze

Węzeł Aplikacje w chmurze na lewym panelu nawigacyjnym to miejsce, w którym można znaleźć funkcje Microsoft Defender dla Chmury Apps. Aby uzyskać więcej informacji, zobacz jednostkę "Opisywanie aplikacji Microsoft Defender dla Chmury".

Zrzut ekranu przedstawiający węzeł aplikacje w chmurze na panelu nawigacyjnym portalu usługi Microsoft Defender.

Optymalizacja SOC

Zespoły centrum operacji zabezpieczeń (SOC) aktywnie szukają możliwości optymalizacji procesów i wyników.

Optymalizacja SOC przedstawia sposoby optymalizacji kontroli zabezpieczeń, dzięki czemu rozwiązania zabezpieczające firmy Microsoft zyskują na wartości w miarę upływu czasu.

Zrzut ekranu przedstawiający stronę optymalizacji SOC w portalu usługi Microsoft Defender.

Raporty

Raporty są ujednolicone w portalu usługi Microsoft Defender. Administratorzy mogą zacząć od ogólnego raportu zabezpieczeń i rozgałęzić je w określonych raportach dotyczących punktów końcowych, poczty e-mail i współpracy, aplikacji w chmurze, infrastruktury i tożsamości. Linki tutaj są dynamicznie generowane na podstawie konfiguracji obciążenia.

Zrzut ekranu przedstawiający stronę raportów w portalu usługi Microsoft Defender.

Centrum nauki

Centrum szkoleniowe zawiera linki do witryny Microsoft Learn, gdzie można uzyskać dostęp do kursów szkoleniowych, samouczków, dokumentacji i innych odpowiednich materiałów.

System

Opcja systemowa w portalu usługi Defender obejmuje opcje konfigurowania uprawnień, wyświetlania kondycji usługi i ustawień ogólnych.