Microsoft Defender XDR w portalu usługi Defender
Microsoft Defender XDR na ujednoliconej platformie SecOps firmy Microsoft ujednolica i koordynuje ochronę przed zagrożeniami w szerokim zakresie zasobów, w tym urządzeń i punktów końcowych, tożsamości, poczty e-mail, usług Platformy Microsoft 365 i aplikacji SaaS.
Defender XDR konsoliduje sygnały zagrożeń i dane między zasobami, dzięki czemu można monitorować zagrożenia bezpieczeństwa i zarządzać nimi z jednej lokalizacji w portalu Microsoft Defender.
Defender XDR łączy wiele usług zabezpieczeń firmy Microsoft.
| Usługa | Szczegóły |
|---|---|
| Ochrona przed zagrożeniami poczty e-mail za pomocą Ochrona usługi Office 365 w usłudze Defender | Pomaga chronić pocztę e-mail i zasoby Office 365. |
| Ochrona urządzeń za pomocą usługi Defender for Endpoint | Zapewnia ochronę zapobiegawczą, wykrywanie po naruszeniu zabezpieczeń oraz zautomatyzowane badanie i reagowanie na urządzenia. |
| Ochrona usługi Active Directory za pomocą usługi Defender for Identity | Używa sygnałów usługi Active Directory do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości z naruszonymi zabezpieczeniami i złośliwych akcji wewnętrznych. |
| Ochrona aplikacji w chmurze SaaS za pomocą Defender for Cloud Apps | Zapewnia głęboką widoczność, silne mechanizmy kontroli danych i rozszerzoną ochronę przed zagrożeniami dla aplikacji SaaS i PaaS w chmurze. |
| Ochrona przed szeroką gamą zagrożeń przy użyciu Microsoft Sentinel | Microsoft Sentinel bezproblemowo integruje się z Defender XDR, aby połączyć możliwości obu produktów w ujednoliconą platformę zabezpieczeń do wykrywania zagrożeń, badania, wyszukiwania zagrożeń i reagowania. |
Wykrywanie zagrożeń
Defender XDR zapewnia ciągłe monitorowanie zagrożeń. Po wykryciu zagrożeń są tworzone alerty zabezpieczeń . Usługa Defender automatycznie agreguje powiązane alerty i sygnały zabezpieczeń w zdarzenia związane z zabezpieczeniami.
Zdarzenia definiują pełny obraz ataku. Zdarzenia pomagają zespołom SOC zrozumieć ataki i szybciej reagować. Zdarzenia zbierają powiązane alerty, informacje o zakresie i postępie ataków oraz jednostki i zasoby biorące udział w ataku.
Pojedyncza kolejka zdarzeń w portalu usługi Defender zapewnia pełny wgląd w najnowsze alerty i zdarzenia oraz dane historyczne. Możesz wyszukiwać i wykonywać zapytania dotyczące kolejki zdarzeń oraz ustalać priorytety odpowiedzi na podstawie ważności.
Wykrywanie ataków ruchu bocznego
Usługa Defender for XDR obejmuje możliwość wykrywania ruchów bocznych obsługiwanych przez człowieka, która jest często używana w typowych atakach, takich jak oprogramowanie wymuszające okup i naruszenia zabezpieczeń poczty e-mail.
Możliwość oszustwa generuje zasoby wabika. Gdy osoby atakujące wchodzą w interakcje z tymi zasobami, możliwość oszustwa zwiększa poziom ufności alertów, które można wyświetlić na stronie Alerty w portalu.
Automatyczne zakłócanie zagrożeń
Defender XDR używa automatycznych zakłóceń ataków w celu powstrzymania ataków w toku, ograniczania wpływu ataków i zapewniania zespołom zabezpieczeń więcej czasu na reagowanie.
Automatyczne zakłócenia opierają się na sygnałach o wysokiej wierności, które są generowane przez korelację zdarzeń między milionami sygnałów produktu Defender i ciągłym badaniem szczegółowych informacji od zespołu badawczego ds. zabezpieczeń firmy Microsoft, aby zapewnić wysoki stosunek sygnału do szumu.
Automatyczne zakłócenia korzystają z Defender XDR akcji reagowania po wykryciu ataków. Odpowiedzi obejmują zawierające lub wyłączające zasoby.
Zakłócenia w atakach są wyraźnie oznaczone w kolejce Defender XDR zdarzeniach i na określonych stronach zdarzeń.
Wyszukiwanie zagrożeń
Proaktywne wyszukiwanie zagrożeń sprawdza i bada zdarzenia zabezpieczeń i dane w celu zlokalizowania znanych i potencjalnych zagrożeń bezpieczeństwa.
Defender XDR zapewnia możliwości wyszukiwania zagrożeń w portalu usługi Defender.
Zaawansowane wyszukiwanie zagrożeń: zespoły SOC mogą używać zaawansowanego wyszukiwania zagrożeń przy użyciu język zapytań Kusto (KQL) w portalu, aby tworzyć niestandardowe zapytania i reguły dotyczące wyszukiwania zagrożeń w całym przedsiębiorstwie. Analitycy mogą wyszukiwać wskaźniki naruszenia zabezpieczeń, anomalii i podejrzanych działań w Defender XDR źródłach danych.
Jeśli nie znasz języka KQL, Defender XDR udostępnia tryb z przewodnikiem umożliwiający wizualne tworzenie zapytań i wstępnie zdefiniowanych szablonów zapytań.
Niestandardowe reguły wykrywania: oprócz zaawansowanego wyszukiwania zagrożeń zespoły SOC mogą tworzyć niestandardowe reguły wykrywania w celu proaktywnego monitorowania zdarzeń i stanów systemu oraz reagowania na nie. Reguły mogą wyzwalać alerty lub akcje automatycznej odpowiedzi.
Reagowanie na zagrożenia
Usługa Defender for XDR zapewnia możliwości zautomatyzowanego badania i reagowania . Automatyzacja zmniejsza liczbę alertów, które muszą być obsługiwane ręcznie przez zespoły SOC.
Gdy alerty tworzą zdarzenia, zautomatyzowane badania generują werdykt, który określa, czy znaleziono zagrożenie. Po zidentyfikowaniu podejrzanych i złośliwych zagrożeń akcje korygujące obejmują wysyłanie pliku do kwarantanny, zatrzymywanie procesu, blokowanie adresu URL lub izolowanie urządzenia.
Podsumowanie zautomatyzowanych badań i odpowiedzi można wyświetlić na stronie głównej portalu. Oczekujące akcje korygowania są obsługiwane w centrum akcji portalu.