Обзор Microsoft Defender для конечной точки

  • 8 мин

Microsoft Defender для конечной точки — это корпоративная платформа обеспечения безопасности рабочих точек, разработанная для обнаружения, предотвращения и исследования сложных угроз корпоративными сетями, а также для реагирования на них.

Защитник Microsoft для конечной точки использует следующую комбинацию технологий, встроенных в Windows 10 и более поздних версий, и надежную облачную службу Microsoft:

  • Датчики поведения конечных точек. Windows 10 и 11 внедряют эти датчики. Они начинают со сбора и обработки поведенческих сигналов от операционной системы. Затем они отправляют эти данные датчиков в частный, изолированный облачный экземпляр Microsoft Defender для конечной точки.

  • Аналитика безопасности в облаке. Корпоративные облачные продукты (такие как Microsoft 365) и онлайн-ресурсы применяют большие данные, обучение устройств и уникальную оптику Microsoft во всей экосистеме Windows. Microsoft Defender для конечной точки затем преобразует поведенческие сигналы в аналитические сведения, обнаружения и рекомендуемые ответы на сложные угрозы.

  • Threat Intelligence. Специалисты по поиску угроз Майкрософт и группы безопасности создают аналитику угроз. Затем партнеры дополняют эту информацию с помощью собственной аналитики угроз. Аналитика угроз позволяет Microsoft Defender для конечной точки:

    • Определите инструменты, методы и процедуры злоумышленника.
    • Создание оповещений при наблюдении за ними в собранных данных датчика.

Архитектура Microsoft Defender для конечной точки

Microsoft Defender XDR обеспечивает единый интерфейс управления безопасностью для удостоверений, конечных точек, средств электронной почты и совместной работы, а также облачных приложений.

Примечание.

Microsoft 365 Defender теперь Microsoft Defender XDR (расширенное обнаружение и реагирование).

Набор Microsoft Defender XDR включает различные службы безопасности, такие как Microsoft Defender для конечной точки, Microsoft Defender для Office 365 и Microsoft Defender for Cloud Apps. На следующей схеме показаны службы, включенные в архитектуру Microsoft Defender для конечной точки.

Схема, показывающая ключевые службы, предоставляемые Microsoft Defender для конечной точки, которая является службой Microsoft Defender XDR.

Службы, отображаемые на этой схеме, интегрированные в архитектуру Microsoft Defender для конечной точки, включают:

  • Управление угрозами и уязвимостями. Эта встроенная возможность использует основанный на рисках подход к обнаружению, определению приоритетов и исправлению уязвимостей конечных точек и ошибок конфигурации.

  • Сокращение направлений атак Набор возможностей сокращения направлений атаки обеспечивает передовую линию обороны в стеке. Для поддержки этой функции организации должны убедиться, что параметры конфигурации правильно заданы и применять методы устранения рисков. Таким образом, возможности сокращения поверхности атаки могут противостоять атакам и эксплуатации. Возможности также включают защиту сети и веб-защиту. Эти функции регулируют доступ к вредоносным IP-адресам, доменам и URL-адресам.

  • Защита следующего поколения . Для большего усиления контроля вашей сети, Microsoft Defender для конечной точки использует средства защиты следующего поколения, рассчитанные на нейтрализацию новых угроз всех типов.

  • Обнаружение и нейтрализация атак на конечные точки. Эта функция обнаруживает, исследует и реагирует на сложные угрозы, которые зашли первые два основных элемента безопасности. Расширенная охота предоставляет средство охоты на угрозы на основе запросов, которое позволяет заранее находить нарушения и создавать пользовательские обнаружения.

  • Автоматическое исследование и исправление. Защитник Microsoft для конечной точки может быстро реагировать на сложные атаки. Он также предлагает возможности автоматического расследования и исправления, которые помогают сократить объем предупреждений за считанные минуты в масштабе.

  • Оценка безопасности (Майкрософт) для устройств. Microsoft Defender для конечной точки включает в себя службу "Оценка безопасности (Майкрософт)" для устройств. Эта функция помогает организациям:

    • динамически оценивать состояние безопасности корпоративной сети;
    • выявлять незащищенные системы;
    • Выполните рекомендуемые действия для повышения общей безопасности организации.

  • Эксперты Microsoft по угрозам . Новая управляемая служба поиска угроз Microsoft Defender для конечной точки обеспечивает упреждающий поиск, определение приоритетов и другие контекстные и аналитические сведения. Эти функции дополнительно расширяют возможности центров безопасности (SOC) для быстрого и точного выявления угроз и реагирования на них. Клиенты Microsoft Defender для конечной точки должны подать заявку на управляемую службу поиска угроз Microsoft Threat Experts, чтобы получать упреждающие уведомления о целевых атаках и сотрудничать с экспертами по запросу. Эта служба является дополнительным компонентом. После того как функция эксперты Майкрософт по угрозам примет вас в свою управляемую службу охоты на угрозы, она всегда включает в себя уведомления о целевых атаках. Пользователям, которые еще не зарегистрировались в эксперты Майкрософт по угрозам, но хотели бы воспользоваться его преимуществами, перейдите в раздел Параметры, Общие, Дополнительные функции, а затем эксперты Майкрософт по угрозам применить. После принятия вы получите преимущества уведомлений о целевых атаках. Вы также начинаете 90-дневную пробную версию экспертов по запросу. Обратитесь к представителю Microsoft, чтобы получить полную подписку "Эксперты по запросу".

  • Централизованная настройка и администрирование, API . Интеграция Microsoft Defender для конечной точки в существующие рабочие процессы.

  • Интеграция с решениями Microsoft . Защитник Microsoft для конечной точки напрямую интегрируется с различными решениями Microsoft, в том числе:

    • Microsoft Defender для облака
    • Microsoft Sentinel
    • Microsoft Intune
    • Microsoft Defender for Cloud Apps
    • Microsoft Defender для удостоверений
    • Microsoft Defender для Office 365
    • Skype для бизнеса

Дополнительный просмотр . Выберите следующую ссылку, чтобы просмотреть короткое видео об архитектуре Microsoft Defender для конечной точки.

Сравните планы Microsoft Defender для конечной точки

Защитник Microsoft для конечной точки обеспечивает расширенную защиту от угроз. Эта функция включает в себя защиту от вирусов, вредоносных программ, защиту от программ-вымогателей и многое другое, а также централизованное управление и отчетность. Доступны два плана. В следующей таблице перечислены функции, предоставляемые в каждом плане на высоком уровне.

Microsoft Defender для конечной точки (план 1) Microsoft Defender для конечной точки (план 2)
Защита нового поколения

Сокращение направлений атак

Ответные действия, выполняющиеся вручную

Централизованное управление

Отчеты о безопасности

Интерфейсы API		 Microsoft Defender для конечной точки план 1, а также:

Обнаружение устройств

Управление уязвимостями

Аналитика угроз

Автоматическое исследование и реагирование

Расширенная охота

Обнаружение и нейтрализация атак на конечные точки

Эксперты Майкрософт по угрозам

Лицензирование Microsoft Defender для конечной точки

В следующем списке указаны варианты лицензирования для Microsoft Defender для конечной точки 1 и 2.

  • Microsoft Defender для конечной точки, план 1 . Защитник Microsoft для конечной точки (план 1) доступен в виде лицензии на отдельную пользовательскую подписку для коммерческих и образовательных клиентов. Microsoft 365 E3/A3 также включает его.

  • Microsoft Defender для конечной точки, план 2 . Защитник Microsoft для конечной точки (план 2) доступен как отдельная лицензия и как часть следующих планов:

    • Windows 11 Корпоративная E5/A5
    • Windows 10 Корпоративная E5/A5
    • Microsoft 365 E5/A5/G5 (включая Windows 10 или Windows 11 Корпоративная E5)
    • Безопасность Microsoft 365 E5/A5/G5/F5
    • Соответствие требованиям безопасности Microsoft 365 F5

Планирование развертывания Microsoft Defender для конечной точки

Администраторы должны планировать развертывание Microsoft Defender для конечной точки, чтобы максимально расширить возможности безопасности в наборе. В свою очередь, они могут лучше защитить свои компании от киберугроз.

Планирование развертывания Microsoft Defender для конечной точки также предоставляет организациям рекомендации по следующим способам:

  • Определите архитектуру среды.
  • Выберите тип средства развертывания, который наилучшим образом соответствует их потребностям.
  • Настройка возможностей.

Схема, показывающая, как определить архитектуру вашей среды, выбрать инструмент развертывания и настроить возможности.

Проверка знаний

Выберите наилучший ответ на каждый из вопросов ниже.

Проверьте свои знания

1.

Какие возможности Microsoft Defender для конечной точки обеспечивают передовую линию обороны в стеке?