Описание портала Microsoft Defender

  • 6 мин

Единая платформа операций по обеспечению безопасности — это полностью интегрированный набор инструментов, позволяющий отделам безопасности предотвращать, обнаруживать, исследовать и реагировать на угрозы во всей своей среде. Со стороны Майкрософт это означает предоставление наилучших возможностей SIEM, XDR, управления состоянием безопасности и проведения аналитики угроз с применением расширенного генеративного ИИ на единой платформе.

Посредством портала Microsoft Defender корпорация Майкрософт выполняет свое обязательство по предоставлению единой платформы операций по обеспечению безопасности, чтобы вы могли просматривать сведения о работоспособности системы безопасности вашей организации. На портале Microsoft Defender объединены возможности защиты, обнаружения, исследования и реагирования на угрозы во всей организации и всех ее подразделениях в едином центре.

Для доступа на портал Microsoft Defender требуется соответствующая роль в Microsoft Entra ID, например «Глобальный администратор», «Администратор безопасности», «Оператор безопасности» или «Читатель сведений о безопасности».

Портал Defender подчеркивает быстрый доступ к информации, более простым макетам и совместному использованию связанных сведений.

Снимок экрана домашней страницы портала Microsoft Defender.

На домашней странице портала Microsoft Defender отображаются многие распространенные карточки, необходимые командам безопасности. Набор доступных карточек и данных зависит от роли пользователя. Так как портал Microsoft Defender использует управление доступом на основе ролей, различные роли видят карточки, которые более значимы для своих повседневных заданий.

Портал Microsoft Defender позволяет настроить область навигации в соответствии с повседневными потребностями в работе. Вы можете настроить панель навигации для отображения или скрытия функций и служб на основе конкретных настроек. Настройка зависит от вас, поэтому другие администраторы не увидят эти изменения.

Область навигации слева обеспечивает простой доступ к набору служб XDR в Microsoft Defender. Вы также получаете доступ к Microsoft Sentinel и многим другим возможностям. В следующих разделах приведено краткое описание возможностей, доступных на левой панели навигации на портале Microsoft Defender.

Управление экспозицией

Microsoft Security Exposure Management — это решение для обеспечения безопасности, которое обеспечивает унифицированное представление о безопасности в ресурсах и рабочих нагрузках компании. Управление воздействием безопасности расширяет сведения о ресурсах с помощью контекста безопасности, который помогает заранее управлять поверхностями атак, защищать критически важные ресурсы и изучать и устранять риски риска.

С помощью управления рисками безопасности вы можете обнаруживать и отслеживать ресурсы, получать подробные аналитические сведения о безопасности, исследовать определенные области риска с помощью инициатив безопасности и отслеживать метрики в организации, чтобы повысить уровень безопасности.

Сокращение

Управление рисками безопасности автоматически создает пути атаки на основе данных, собранных в ресурсах и рабочих нагрузках. Он имитирует сценарии атак и определяет уязвимости и слабые места, которые злоумышленник может использовать.

Аналитика безопасности

Аналитика экспозиции в Службе управления безопасностью Майкрософт постоянно объединяет данные о безопасности и аналитические сведения о рабочих нагрузках и ресурсах в одном конвейере.

  • Инициативы предоставляют простой способ оценки готовности безопасности для определенной области безопасности или рабочей нагрузки, а также постоянно отслеживать и измерять риск воздействия для этой области или рабочей нагрузки с течением времени.
  • Метрики в microsoft Security Exposure Management измеряют безопасность для определенной области ресурсов или ресурсов в рамках инициативы безопасности.
  • Рекомендации помогут вам понять состояние соответствия для конкретной инициативы безопасности.
  • События помогают отслеживать изменения инициативы.

Оценка безопасности

Microsoft Secure Score, один из средств на портале Microsoft Defender, представляет собой состояние безопасности компании. Чем выше оценка, тем лучше защита. На централизованной панели мониторинга на портале Microsoft Defender организации могут отслеживать и работать над безопасностью удостоверений, приложений и устройств Microsoft 365.

Оценка безопасности обеспечивает разбивку оценки, действия по улучшению, которые могут повысить оценку организации и насколько хорошо оценка безопасности организации сравнивается с другими аналогичными организациями.

Соединители данных

С помощью соединителей данных можно подключать источники данных для более расширенного централизованного управления экспозицией.

Исследование и ответ

Вкладка "Расследование и ответ" включает доступ к инцидентам и оповещениям, охоте, действиям и отправке и каталогу партнеров.

Снимок экрана: портал Microsoft Defender с выбранными вариантами, доступными для исследования и ответа. Это инциденты и оповещения, охота, действия и отправки, а также каталог партнеров.

Инциденты и оповещения

Инцидент на портале Microsoft Defender представляет собой коллекцию связанных оповещений, активов, расследований и доказательств, чтобы дать вам полный обзор всей широты атаки. Он служит в качестве файла дела, который SOC может использовать для расследования этой атаки и управления, реализации и документирования ответа на него. Поскольку портал Microsoft Defender построен на единой платформе операций по обеспечению безопасности, вы получаете представление обо всех инцидентах, в том числе об описанных с использованием набора решений Microsoft Defender XDR, Microsoft Sentinel и других решений.

В инциденте вы анализируете оповещения, влияющие на вашу сеть, понять, что они означают, и обработать доказательства, чтобы вы могли разработать эффективный план исправления. Сведения, предоставленные для инцидента, включают:

  • Полная история атаки, включая все оповещения, ресурсы и действия по исправлению.
  • все оповещения, связанные с инцидентом;
  • Все ресурсы (устройства, пользователи, почтовые ящики и приложения), которые были идентифицированы как часть или связанные с инцидентом.
  • все автоматизированные исследования, инициированные оповещениями в инциденте;
  • все поддерживаемые доказательства и ответы.

Если ваша организация подключена к Microsoft to Security Copilot, вы также можете просмотреть сводку инцидентов, интерактивные ответы и многое другое.

Охота

Расширенная охота — это средство поиска угроз на основе запросов, которое позволяет исследовать до 30 дней необработанных данных из XDR в Microsoft Defender и Microsoft Sentinel. Вы можете заранее проверить события в сети, чтобы найти индикаторы угроз и сущности, используя запросы охоты. Запросы охоты можно создавать с помощью редактора запросов, если вы знакомы с язык запросов Kusto (KQL), с помощью построителя запросов или через Security Copilot. Для пользователей, подключенных к Microsoft Security Copilot, вы можете запросить или задать вопрос на естественном языке и Безопасности Copilot создает запрос KQL, соответствующий запросу.

Для создания пользовательских правил обнаружения можно использовать те же запросы охоты на угрозы. Эти правила запускаются автоматически для поиска предполагаемых нарушений, неправильно настроенных компьютеров и других фактов и последующего принятия соответствующих мер.

Снимок экрана: страница расширенной охоты на портале Microsoft Defender.

Действия и отправки

В едином Центре уведомлений объединены действия по исправлению в Microsoft Defender для конечной точки и Microsoft Defender для Office 365. В нем приводится список ожидающих и завершенных действий по исправлению для устройств, электронной почты и содержимого для совместной работы и удостоверений.

В организациях Microsoft 365 с почтовыми ящиками Exchange Online администраторы могут использовать страницу отправки на портале Microsoft Defender для отправки сообщений, URL-адресов и вложений в Корпорацию Майкрософт для анализа.

Каталог партнеров

В каталоге партнеров перечислены поддерживаемые технологические партнеры и профессиональные службы, которые могут помочь вашей организации усовершенствовать возможности обнаружения, изучения и анализа угроз платформы с помощью платформы.

Аналитика угроз

На вкладке "Аналитика угроз" пользователи получают доступ к Аналитика угроз Microsoft Defender. Дополнительные сведения см. в разделе "Описание Аналитика угроз Microsoft Defender".

Ресурсы

Вкладка "Активы" позволяет просматривать и управлять инвентаризацией защищенных и обнаруженных ресурсов организации (устройств и удостоверений).

В инвентаризации устройств отображается список устройств в сети, где были созданы оповещения. По умолчанию очередь отображает устройства, отображаемые за последние 30 дней. На первый взгляд вы увидите такие сведения, как домен, уровень риска, платформа ОС и другие сведения для легкой идентификации устройств, наиболее подверженных риску.

Инвентаризация удостоверений предоставляет комплексное представление всех корпоративных удостоверений, как облачных, так и локальных.

Microsoft Sentinel

Некоторые возможности Microsoft Sentinel, такие как единая очередь инцидентов, доступны через инциденты и страницу оповещений портала Defender, а также инциденты из других служб Microsoft Defender. В разделе Microsoft Sentinel на портале Defender доступно множество других возможностей Microsoft Sentinel.

Дополнительные сведения см. в модуле "Описание возможностей в Microsoft Sentinel", ссылка которого включена в сводку и единицу ресурсов.

Снимок экрана: узел Microsoft Sentinel на панели навигации портала Microsoft Defender.

Удостоверения

Узел удостоверений на левой панели навигации портала Microsoft Defender сопоставляется с функциональными возможностями, связанными с Microsoft Defender для удостоверений. Дополнительные сведения см. в разделе "Описание Microsoft Defender для удостоверений".

Снимок экрана: узел удостоверений на левой панели навигации портала Microsoft Defender.

Конечные точки

Узел Endpoints на левой панели навигации портала Microsoft Defender сопоставляется с функциональными возможностями, связанными с Microsoft Defender для конечной точки. Дополнительные сведения см. в разделе "Описание Microsoft Defender для конечной точки".

Снимок экрана: узел конечных точек на левой панели навигации портала Microsoft Defender.

Электронная почта и совместная работа

Узел электронной почты и совместной работы на левой панели навигации — это место, где вы найдете Microsoft Defender для Office 365 функциональные возможности, которые позволяют отслеживать и исследовать угрозы электронной почты пользователей, отслеживать кампании и многое другое. Дополнительные сведения см. в разделе "Описание Microsoft Defender для Office 365".

Снимок экрана: узел электронной почты и совместной работы на панели навигации портала Microsoft Defender.

Облачные приложения

Узел облачных приложений на левой панели навигации находится Microsoft Defender для облака функциональных возможностей приложений. Дополнительные сведения см. в разделе "Описание Microsoft Defender для облака приложений".

Снимок экрана: узел облачных приложений на панели навигации портала Microsoft Defender.

Оптимизация SOC

Команды центра безопасности (SOC) активно ищут возможности для оптимизации процессов и результатов.

Оптимизация SOC предоставляет возможности оптимизации элементов управления системой безопасности и тем самым более эффективного использования служб безопасности Майкрософт с течением времени.

Снимок экрана: страница оптимизации SOC на портале Microsoft Defender.

Отчеты

Отчеты унифицируются на портале Microsoft Defender. Администраторы могут начать с общего отчета о безопасности и ветви в конкретные отчеты о конечных точках, электронной почте и совместной работе, облачных приложениях, инфраструктуре и удостоверениях. Ссылки создаются динамически на основе конфигурации рабочей нагрузки.

Снимок экрана: страница отчетов на портале Microsoft Defender.

Центр обучения

Центр обучения ссылается на Microsoft Learn, где можно получить доступ к учебным курсам, руководствам, документации и другим соответствующим материалам.

Системные

Системный параметр на портале Defender включает выбор для настройки разрешений, просмотра работоспособности службы и общих параметров.