Descrever o portal do Microsoft Defender
Uma plataforma unificada de operações de segurança é um conjunto de ferramentas totalmente integrado para as equipes de segurança prevenirem, detetarem, investigarem e responderem a ameaças em todo o ambiente. Para a Microsoft, isso significa oferecer o melhor do SIEM, XDR, gerenciamento de postura e inteligência de ameaças com IA generativa avançada como uma única plataforma.
Através do portal Microsoft Defender, a Microsoft cumpre a promessa de uma plataforma unificada de operações de segurança para que possa ver o estado de funcionamento da segurança da sua organização. O portal do Microsoft Defender combina proteção, deteção, investigação e resposta a ameaças em toda a organização e em todos os seus componentes, em um local central.
Para acessar o portal, você deve receber uma função apropriada, como Administrador Global, Administrador de Segurança, Operador de Segurança ou Leitor de Segurança na ID do Microsoft Entra para acessar o portal do Microsoft Defender.
O portal Defender enfatiza o acesso rápido às informações, layouts mais simples e a reunião de informações relacionadas para facilitar o uso.
A home page do portal Microsoft Defender mostra muitos dos cartões comuns de que as equipas de segurança necessitam. A composição de cartões e dados depende da função do usuário. Como o portal do Microsoft Defender usa controle de acesso baseado em função, diferentes funções veem cartões que são mais significativos para seus trabalhos diários.
O portal do Microsoft Defender permite que você personalize o painel de navegação para atender às necessidades operacionais diárias. Você pode personalizar o painel de navegação para mostrar ou ocultar funções e serviços com base em suas preferências específicas. A personalização é específica para você, portanto, outros administradores não verão essas alterações.
O painel de navegação esquerdo fornece acesso fácil ao conjunto de serviços Microsoft Defender XDR. Você também tem acesso ao Microsoft Sentinel e muitos outros recursos As seções a seguir fornecem uma breve descrição dos recursos acessíveis a partir da barra de navegação esquerda no portal do Microsoft Defender.
Gestão da exposição
O Microsoft Security Exposure Management é uma solução de segurança que fornece uma visão unificada da postura de segurança em todos os ativos e cargas de trabalho da empresa. O Gerenciamento de Exposição de Segurança enriquece as informações de ativos com contexto de segurança que ajuda você a gerenciar proativamente superfícies de ataque, proteger ativos críticos e explorar e mitigar o risco de exposição.
Com o Gerenciamento de Exposição de Segurança, você pode descobrir e monitorar ativos, obter informações de segurança avançadas, investigar áreas de risco específicas com iniciativas de segurança e rastrear métricas em toda a organização para melhorar a postura de segurança.
Superfície de ataque
O Security Exposure Management gera automaticamente caminhos de ataque com base nos dados coletados entre ativos e cargas de trabalho. Ele simula cenários de ataque e identifica vulnerabilidades e fraquezas que um invasor pode explorar.
Informações de segurança
Os insights de exposição no Microsoft Security Exposure Management agregam continuamente dados e insights de postura de segurança em cargas de trabalho e recursos, em um único pipeline.
- As iniciativas fornecem uma maneira simples de avaliar a prontidão de segurança para uma área de segurança ou carga de trabalho específica e de rastrear e medir constantemente o risco de exposição para essa área ou carga de trabalho ao longo do tempo.
- As métricas no Microsoft Security Exposure Management medem a exposição à segurança para um escopo específico de ativos ou recursos dentro de uma iniciativa de segurança.
- As recomendações ajudam a entender o estado de conformidade de uma iniciativa de segurança específica.
- Os eventos ajudam-no a monitorizar as alterações da iniciativa.
Classificação de segurança
O Microsoft Secure Score, uma das ferramentas do portal Microsoft Defender, é uma representação da postura de segurança de uma empresa. Quanto maior a pontuação, melhor a sua proteção. A partir de um painel centralizado no portal do Microsoft Defender, as organizações podem monitorar e trabalhar na segurança de suas identidades, aplicativos e dispositivos do Microsoft 365.
O Secure Score fornece um detalhamento da pontuação, as ações de melhoria que podem aumentar a pontuação da organização e quão bem o Secure Score da organização se compara a outras organizações semelhantes.
Conectores de dados
Usando conectores de dados, você pode conectar fontes de dados para uma experiência de gerenciamento de exposição mais rica e centralizada.
Investigação e resposta
A guia de investigação e resposta inclui acesso a incidentes e alertas, caça, ações e envios e um catálogo de parceiros.
Incidentes e alertas
Um incidente no portal do Microsoft Defender é uma coleção de alertas, ativos, investigações e evidências relacionados para fornecer uma visão abrangente de toda a amplitude de um ataque. Ele serve como um arquivo de caso que seu SOC pode usar para investigar esse ataque e gerenciar, implementar e documentar a resposta a ele. Como o portal do Microsoft Defender é construído sobre uma plataforma unificada de operações de segurança, você obtém uma visão de todos os incidentes, incluindo incidentes gerados a partir do pacote de soluções Microsoft Defender XDR, Microsoft Sentinel e outras soluções.
Dentro de um incidente, você analisa os alertas que afetam sua rede, entende o que eles significam e reúne as evidências para que possa elaborar um plano de correção eficaz. As informações fornecidas para um incidente incluem:
- A história completa do ataque, incluindo todos os alertas, ativos e ações de remediação tomadas.
- Todos os alertas relacionados com o incidente.
- Todos os ativos (dispositivos, usuários, caixas de correio e aplicativos) que foram identificados como parte ou relacionados ao incidente.
- Todas as investigações automatizadas desencadeadas pelos alertas no incidente.
- Todas as provas e respostas apoiadas.
Se a sua organização estiver integrada à Microsoft ao Security Copilot, também pode ver um resumo de incidentes, respostas guiadas e muito mais.
- Incidentes
- Página de Detalhes do incidente
Investigação
A caça avançada é uma ferramenta de caça a ameaças baseada em consulta que permite explorar até 30 dias de dados brutos, do Microsoft Defender XDR e do Microsoft Sentinel. Você pode inspecionar proativamente eventos em sua rede para localizar indicadores de ameaça e entidades, por meio de consultas de caça. As consultas de caça podem ser criadas através do editor de consultas, se você estiver familiarizado com Kusto Query Language (KQL), usando um construtor de consultas, ou através do Security Copilot. Para usuários integrados ao Microsoft Security Copilot, você pode fazer uma solicitação ou fazer uma pergunta em linguagem natural e o Security Copilot gera uma consulta KQL que corresponde à solicitação.
Você pode usar as mesmas consultas de caça a ameaças para criar regras de deteção personalizadas. Essas regras são executadas automaticamente para verificar e, em seguida, responder a suspeitas de atividade de violação, máquinas mal configuradas e outras descobertas.
Ações e apresentações
A Central de Ações unificada reúne ações de correção no Microsoft Defender for Endpoint e no Microsoft Defender for Office 365. Ele lista ações de correção pendentes e concluídas para seus dispositivos, conteúdo de e-mail ou colaboração e identidades em um único local.
Em organizações do Microsoft 365 com caixas de correio do Exchange Online, os administradores podem usar a página Envios no portal do Microsoft Defender para enviar mensagens, URLs e anexos à Microsoft para análise.
Catálogo de parceiros
O catálogo de parceiros lista parceiros de tecnologia suportados e serviços profissionais que podem ajudar sua organização a aprimorar os recursos de deteção, investigação e inteligência de ameaças da plataforma.
Informações sobre ameaças
Na guia Inteligência de ameaças, os usuários acessam o Microsoft Defender Threat Intelligence. Para obter mais informações, consulte a unidade "Descrever o Microsoft Defender Threat Intelligence".
Ativos
A guia Ativos permite que você visualize e gerencie o inventário de ativos protegidos e descobertos (dispositivos e identidades) da sua organização.
O inventário de dispositivos mostra uma lista dos dispositivos na sua rede onde os alertas foram gerados. Por padrão, a fila exibe dispositivos vistos nos últimos 30 dias. De relance, você vê informações como domínio, nível de risco, plataforma do sistema operacional e outros detalhes para facilitar a identificação dos dispositivos de maior risco.
O inventário de identidades fornece uma visão abrangente de todas as identidades corporativas, tanto na nuvem quanto no local.
Microsoft Sentinel
Alguns recursos do Microsoft Sentinel, como a fila de incidentes unificada, são acessados por meio da página de incidentes e alertas do portal Defender, juntamente com incidentes de outros serviços do Microsoft Defender. Muitos outros recursos do Microsoft Sentinel estão disponíveis na seção Microsoft Sentinel do portal do Defender.
Para obter mais informações, consulte o módulo "Descrever os recursos no Microsoft Sentinel", cujo link está incluído na unidade de resumo e recursos.
Identidades
O nó Identidades no painel de navegação esquerdo do portal do Microsoft Defender mapeia para a funcionalidade associada ao Microsoft Defender for Identity. Para obter mais informações, consulte a unidade "Descrever o Microsoft Defender for Identity".
Pontos finais
O nó Pontos de extremidade no painel de navegação esquerdo do portal do Microsoft Defender mapeia para a funcionalidade associada ao Microsoft Defender for Endpoints. Para obter mais informações, consulte a unidade "Descrever o Microsoft Defender para pontos de extremidade".
Email e colaboração
O nó de email e colaboração no painel de navegação esquerdo é onde você encontra a funcionalidade do Microsoft Defender para Office 365 que permite rastrear e investigar ameaças ao email de seus usuários, rastrear campanhas e muito mais. Para obter mais informações, consulte a unidade "Descrever o Microsoft Defender para Office 365".
Aplicações na cloud
O nó Aplicativos de nuvem no painel de navegação esquerdo é onde você encontra a funcionalidade do Microsoft Defender for Cloud Apps. Para obter mais informações, consulte a unidade "Descrever o Microsoft Defender for Cloud Apps".
Otimização SOC
As equipes do centro de operações de segurança (SOC) procuram ativamente oportunidades para otimizar processos e resultados.
A otimização SOC apresenta maneiras de otimizar os seus controlos de segurança, ganhando mais valor dos serviços Microsoft Security com o passar do tempo.
Relatórios
Os relatórios são unificados no portal do Microsoft Defender. Os administradores podem começar com um relatório de segurança geral e ramificar em relatórios específicos sobre endpoints, colaboração de e-mail ou colaboração, aplicativos na nuvem, infraestrutura e identidades. Os links aqui são gerados dinamicamente com base na configuração da carga de trabalho.
Hub de formação
O hub de aprendizagem vincula você ao Microsoft Learn onde você pode obter acesso a cursos de treinamento, tutoriais, documentação e outros materiais relevantes.
Sistema
A opção de sistema no portal do Defender inclui seleções para configurar permissões, exibir a integridade do serviço e configurações gerais.