Портал Microsoft Defender
Единая платформа SecOps корпорации Майкрософт для обеспечения безопасности объединяет службы безопасности Майкрософт на портале Microsoft Defender.
Портал предоставляет единое расположение для мониторинга, управления и настройки безопасности перед взломом и после нарушения безопасности в локальных и многооблачных ресурсах.
- Безопасность до нарушения безопасности. Упреждающая визуализация, оценка, исправление и мониторинг состояния безопасности организации для снижения рисков безопасности и направлений атак.
- Безопасность после нарушения безопасности. Непрерывно отслеживайте, выявляйте, исследуйте и реагируйте на угрозы кибербезопасности в реальном времени и возникающие угрозы кибербезопасности для ресурсов организации.
Службы портала
Портал Defender объединяет в себе множество служб безопасности Майкрософт.
| Служба | Сведения |
|---|---|
|
Microsoft Defender XDR Обнаружение угроз кибербезопасности и реагирование на них. |
Defender XDR включает набор служб, объединенных на портале Defender для обеспечения единой защиты от угроз на предприятии. Defender XDR службы собирают, сопоставляют и анализируют данные об угрозах и сигналы для конечных точек и устройств, удостоверений, электронной почты, приложений и ресурсов OT/IoT. На портале можно просматривать оповещения и инциденты системы безопасности и реагировать на них, автоматически прерывать атаки и упреждающе искать угрозы. Дополнительные сведения о Defender XDR см. на портале Defender. |
|
Microsoft Sentinel Собирайте, анализируйте данные безопасности и управляйте ими в большом масштабе с помощью автоматизации и оркестрации. |
Microsoft Sentinel полностью интегрируется с Defender XDR на портале Defender, предоставляя дополнительные возможности защиты от угроз, такие как нарушение атак, унифицированные сущности и инциденты, а также оптимизация SOC. Дополнительные сведения см. в разделе Microsoft Sentinel на портале Defender. |
|
Аналитика угроз Microsoft Defender Интеграция аналитики угроз в операции SOC. |
Платформа аналитики угроз Defender расширяет возможности аналитики угроз, которые включены в Defender XDR и Microsoft Sentinel. Соберите данные из нескольких источников, чтобы предоставить пул сигналов и данных аналитики угроз. Группы безопасности используют эти данные для анализа действий злоумышленников, анализа атак и поиска угроз безопасности. |
|
Управление рисками Microsoft Security Упреждающее снижение рисков безопасности. |
Используйте Управление рисками, чтобы уменьшить количество направлений атак организации и исправить состояние безопасности. Непрерывное обнаружение ресурсов и данных для получения комплексного представления о безопасности в бизнес-ресурсах. С помощью дополнительного контекста данных, который предоставляет Управление рисками, вы можете четко визуализировать, анализировать и устранять слабые области безопасности. |
|
Microsoft Defender для облака Защита облачных рабочих нагрузок. |
Defender для облака улучшает состояние многооблачной безопасности и защищает облачные рабочие нагрузки от угроз. Defender для облака интегрируется с порталом Defender для предоставления единого представления оповещений системы безопасности в облаке и единого расположения для исследований. |
Доступ к порталу
На странице Разрешения на портале Defender используйте следующие методы для настройки доступа пользователей:
| Методы | Сведения |
|---|---|
| Роли глобального Microsoft Entra | Учетные записи со следующими глобальными ролями Microsoft Entra могут получать доступ к Microsoft Defender XDR функциям и данным:
|
| Пользовательские роли | Разрешить доступ к определенным данным, задачам и функциям с помощью пользовательских ролей. Пользовательские роли управляют детальным доступом и могут использоваться вместе с Microsoft Entra глобальными ролями. |
| Унифицированный RBAC | Единое управление доступом на основе ролей (RBAC) предоставляет модель управления разрешениями для управления разрешениями пользователей на портале Defender и между службами на портале. |
разрешения Microsoft Sentinel
При подключении к единой платформе SecOps корпорации Майкрософт существующие разрешения Azure RBAC используются для работы с Microsoft Sentinel функциями на портале Defender.
- Управление ролями и разрешениями для Microsoft Sentinel пользователей в портал Azure.
- Все изменения Azure RBAC отражаются на портале Defender.
Дополнительные сведения см. в разделе Роли и разрешения в Microsoft Sentinel.
Работа на портале
На домашней странице представление определяется службами, включенными в подписки. Параметры доступа зависят от разрешений портала.
| Функция | Сведения |
|---|---|
| Домашняя страница | На домашней странице отображается состояние безопасности вашей среды. Просмотрите активные угрозы, ресурсы, подверженные риску, и сводку по состоянию безопасности. Используйте панель мониторинга для актуальной snapshot и при необходимости детализировать подробные сведения. |
| Уведомления портала | Уведомления портала позволяют получать актуальные сведения, включая обновления, события, выполненные или выполняемые действия, а также предупреждения и ошибки. Уведомления сортируются по времени их создания на панели уведомлений, при этом в первую очередь отображается последнее. Дополнительные сведения см. в разделе Настройка уведомлений об оповещениях. |
| Поиск | При поиске на портале результаты классифицируются по разделам, связанным с вашими условиями поиска. Поиск предоставляет результаты на портале, из Microsoft Tech Community и из документации Microsoft Learn. Журнал поиска хранится в браузере и доступен в течение 30 дней. |
| Экскурсия | Получите интерактивный обзор по управлению безопасностью конечных точек или управлению безопасностью электронной почты и совместной работы. |
| Новые возможности | Узнайте о последних обновлениях в блоге Microsoft Defender XDR. |
| Сообщество | Учитесь у других пользователей в местах обсуждения безопасности Майкрософт в Tech Community. |
| Добавление карточек | Настройте домашнюю страницу для получения наиболее важных для вас сведений. |
Управление экспозицией
В разделе Управление экспозицией просмотрите общее состояние состояния безопасности, воздействия и риска.
| Функция | Сведения |
|---|---|
| Общие сведения об управлении экспозицией | Эта панель мониторинга позволяет быстро просмотреть устройства и облачные ресурсы, включая устройства с выходом в Интернет и критически важные ресурсы. Узнайте, насколько хорошо выполняются ваши ключевые инициативы по обеспечению безопасности, и подробно изучите основные метрики для ценных уязвимостей. Получение уровней уязвимости для различных типов ресурсов и отслеживание хода выполнения безопасности с течением времени. |
| Области атак | Визуализация данных о воздействии с помощью карты направлений атаки. Изучите ресурсы и подключения на карте и выполните детализацию, чтобы сосредоточиться на конкретных ресурсах. На панели мониторинга управления путями атаки просмотрите потенциальные пути атаки в организации, которые могут использовать злоумышленники, а также точки задуша и критически важные ресурсы в пути. |
| Аналитика экспозиции | Просмотрите и изучите агрегированные данные о безопасности и аналитические сведения о ресурсах и рабочих нагрузках. Оцените состояние и готовность к наиболее важным проектам безопасности и отслеживайте метрики проекта с течением времени. Получите рекомендации по безопасности для устранения проблем с уязвимостью. |
| Оценка безопасности | Просмотрите метрики состояния на основе оценки безопасности Майкрософт. |
| Соединители данных | Подключите сторонние продукты к Управление рисками и запросите новые соединители. |
Дополнительные сведения см. в разделе Управление рисками Microsoft Security.
Исследование и реагирование
Раздел "Исследование и реагирование " предоставляет единое расположение для изучения инцидентов безопасности и реагирования на угрозы на предприятии.
Исследование инцидентов и оповещений
Управление инцидентами безопасности и их расследование в одном расположении и из одной очереди на портале Defender. В очередях инцидентов и оповещений отображаются текущие инциденты безопасности и оповещения в службах.
| Функция | Сведения |
|---|---|
| Инциденты | На панели мониторинга Инциденты просмотрите список последних инцидентов и приорите приоритеты тех, которые отмечены как инциденты с высоким уровнем серьезности. Каждая группа инцидентов связана с оповещениями и связанными данными, которые составляют атаку. Детализация инцидента, чтобы получить полную историю атаки, включая сведения о связанных оповещениях, устройствах, пользователях, расследованиях и доказательствах. |
| Оповещения | На панели мониторинга Оповещений просмотрите оповещения. Оповещения — это сигналы, выдаваемые службами портала в ответ на действия по обнаружению угроз. В очереди унифицированных оповещений отображаются новые и неосуществимые оповещения за последние семь дней с самыми последними оповещениями в верхней части. Фильтрация оповещений для изучения при необходимости. |
Дополнительные сведения см. в разделе Инциденты и оповещения на портале Microsoft Defender.
Охота на угрозы
Область охоты позволяет упреждающе проверять события безопасности и данные для обнаружения известных и потенциальных угроз.
| Функция | Сведения |
|---|---|
| Расширенная охота | Изучите необработанные данные и запрашивайте их в течение 30 дней. Вы можете выполнять запросы с помощью средства интерактивного запроса, использовать примеры запросов или использовать язык запросов Kusto (KQL) для создания собственных запросов. |
| Правила настраиваемого обнаружения | Создание настраиваемых правил обнаружения для упреждающего мониторинга событий и состояния системы и реагирования на них. Используйте настраиваемые правила обнаружения для активации оповещений системы безопасности или действий автоматического реагирования. |
Дополнительные сведения см. в разделах Упреждающая охота на угрозы с помощью расширенной охоты и Обзор пользовательских обнаружений.
Просмотр ожидающих исправлений угроз
Действия по защите от угроз приводят к действиям по устранению угроз. Действия могут выполняться автоматически или вручную. Действия, требующие утверждения или вмешательства вручную, доступны в центре уведомлений.
| Функция | Сведения |
|---|---|
| Центр уведомлений | Просмотрите список действий, требующих внимания. Утверждение или отклонение действий по одному за раз или в пакетном режиме. Вы можете просмотреть журнал действий для отслеживания исправлений. |
| сданные работы. | Отправляйте в корпорацию Майкрософт подозрительные спам, URL-адреса, проблемы с электронной почтой и многое другое. |
Дополнительные сведения см. в разделах Автоматизированное исследование и реагирование и Центр уведомлений.
Каталог партнеров
В разделе Каталог партнеров содержатся сведения о партнерах Defender.
Портал Defender поддерживает следующие типы интеграции партнеров:
- Интеграция сторонних разработчиков, помогающая защитить пользователей с помощью эффективной защиты от угроз.
- Профессиональные службы , которые расширяют возможности обнаружения, исследования и аналитики угроз.
Аналитика угроз
В разделе Аналитика угроз на портале получите прямую видимость активных и текущих кампаний по угрозам, а также получите доступ к информации аналитики угроз, предоставляемой платформой Аналитики угроз Defender.
| Функция | Сведения |
|---|---|
| Аналитика угроз | Узнайте, какие угрозы в настоящее время актуальны в вашей организации. Оценка серьезности угроз, детализация конкретных отчетов об угрозах и действия по идентификации. Доступны различные типы отчетов по аналитике угроз. |
| Профили аналитики | Просмотрите курированное содержимое аналитики угроз, упорядоченное по субъектам угроз, инструментам и известным уязвимостям. |
| Intel Обозреватель | Просмотрите сведения об аналитике угроз и детализируйте поиск и исследование. |
| Проекты аналитики | Анализ и создание проектов для организации индикаторов интереса и индикаторов компрометации из исследования. Проект включает связанные артефакты и подробный журнал имен, описаний, участников совместной работы и профилей мониторинга. |
Дополнительные сведения см. в статье Аналитика угроз.
Ресурсы
На странице Активы представлено единое представление обнаруженных и защищенных ресурсов, включая устройства, пользователей, почтовые ящики и приложения. Просмотрите общее количество ресурсов каждого типа и детализировать сведения о конкретных ресурсах.
| Функция | Сведения |
|---|---|
| Устройства | На странице Инвентаризация устройств получите общие сведения об обнаруженных устройствах в каждом клиенте, к которому у вас есть доступ. Просмотрите устройства по типам и сосредоточьтесь на устройствах с высоким риском или критических устройствах. Группируйте устройства логически, добавив теги для контекста, и исключите устройства, которые вы не хотите оценивать. Запустите автоматическое исследование для устройств. |
| Удостоверения | Получите сводку инвентаризации пользователей и учетных записей. |
Дополнительные сведения см. в разделах Страница сущности устройства и Страница сущности Пользователя.
Microsoft Sentinel
Получите доступ к возможностям Microsoft Sentinel на портале Defender.
| Функция | Сведения |
|---|---|
| Поиск | Поиск по журналам и доступ к прошлым поискам. |
| Управление угрозами | Визуализация и мониторинг подключенных данных с помощью книг. Анализ инцидентов и классификация оповещений с помощью сущностей. Упреждающее поиск угроз и использование записных книжек для проведения расследований. Интегрируйте аналитику угроз в обнаружение угроз и используйте платформу MITRE ATT&CK в аналитике и инцидентах. |
| Управление содержимым | Обнаружение и установка исходного содержимого (OOTB) из центра содержимого. Используйте репозитории Microsoft Sentinel для подключения к внешним исходным системам для непрерывной интеграции и доставки (CI/CD), а не развертывать и обновлять пользовательское содержимое вручную. |
| Конфигурация | Прием данных с помощью соединителей данных. Создание списков отслеживания для сопоставления и упорядочения источников данных. Настройте правила аналитики для запроса и анализа собранных данных. Автоматизация реагирования на угрозы. |
Дополнительные сведения см. в разделе Microsoft Sentinel и Microsoft Sentinel на портале Microsoft Defender.
Удостоверения
В разделе Удостоверения портала Defender отслеживайте работоспособность пользователей и учетных записей и заблаговременно управляйте рисками, связанными с удостоверениями, с помощью Defender для удостоверений.
| Функция | Сведения |
|---|---|
| Панель мониторинга ITDR | На панели мониторинга Обнаружения удостоверений и реагирования на угрозы (ITDR) получите аналитические сведения и данные в режиме реального времени о состоянии безопасности пользователей и учетных записей. Панель мониторинга содержит сведения о развертывании Defender для удостоверений, сведения о удостоверениях с высоким уровнем привилегий и сведения об инцидентах, связанных с удостоверениями. Если возникла проблема с рабочей областью Defender для удостоверений, она возникает на странице Проблемы работоспособности. |
| Проблемы с работоспособностью | На этой странице отображаются все глобальные проблемы работоспособности Defender для удостоверений или на основе датчиков. |
| Средства | Получите доступ к общим средствам для управления Defender для удостоверений. |
Дополнительные сведения см. в разделе Microsoft Defender для удостоверений.
Конечные точки
В разделе Конечные точки портала отслеживайте уязвимости ресурсов и управляйте ими с помощью Управление уязвимостями Microsoft Defender.
| Функция | Сведения |
|---|---|
| Управление уязвимостями | Проверьте состояние уязвимости на панели мониторинга. Получите рекомендации на основе оценки уязвимостей устройств и исправьте их по мере необходимости. Проверьте инвентаризацию программного обеспечения организации, включая уязвимые компоненты, сертификаты и оборудование. Ознакомьтесь с cvEs и рекомендациями по безопасности. Просмотрите временная шкала события, чтобы определить влияние уязвимостей. Используйте оценку базовых показателей безопасности для оценки устройств по тестам безопасности. |
| Подключенные приложения | Получите сведения о приложениях Microsoft Entra, подключенных к Defender для конечной точки. |
| Обозреватель API | Используйте обозреватель API для создания и выполнения запросов API, тестирования и отправки запросов для доступных конечных точек API Defender для конечной точки. |
Дополнительные сведения см. в разделе Управление уязвимостями Microsoft Defender и Microsoft Defender для конечной точки.
Email и совместная работа
В разделе Email & совместной работы отслеживайте, изучайте угрозы безопасности и ответы на сообщения электронной почты и приложения для совместной работы, а также управляйте ими с помощью Microsoft Defender для Office 365.
| Функция | Сведения |
|---|---|
| Исследования | Выполнение и проверка автоматизированных исследований. |
| Обозреватель | Поиск, исследование и изучение угроз электронной почты и документов. Подробные сведения о конкретных типах угроз, включая вредоносные программы, фишинг и кампании. |
| Проверка | Управление элементами, помещенными в карантин, и ограниченными отправителями. |
| Кампании | Анализ скоординированных атак на организацию. |
| Средство отслеживания угроз | Просмотрите сохраненные и отслеживаемые запросы и следите за популярными кампаниями. |
| Политики и правила | Настройка политик безопасности и управление ими для защиты от угроз и получения оповещений о действиях. |
Дополнительные сведения см. в разделе Microsoft Defender для Office 365.
Облачные приложения
В разделе Облачные приложения просмотрите сведения о безопасности, чтобы свести к минимуму риски и подверженность облачным приложениям с помощью Microsoft Defender for Cloud Apps.
| Функция | Сведения |
|---|---|
| Обнаружение в облаке | Общие сведения об облачной безопасности приложений с помощью отчетов об обнаружении. Просмотрите пример отчета и создайте новые отчеты. |
| Каталог облачных приложений | Получите общие сведения об известных облачных приложениях и связанных с ними рисках. При необходимости вы можете санкционировать и несанкционированные приложения. |
| Приложения OAuth | Получите видимость приложений OAuth. Просмотрите приложения и отфильтруйте параметры для детализации. |
| Журнал действий | Проверьте действия подключенных приложений по имени облака, IP-адресу и связанным устройствам. |
| Журнал управления | Просмотрите действия по управлению. |
| Политики | Настройка политик безопасности для облачных приложений. |
Дополнительные сведения см. в разделе Microsoft Defender for Cloud Apps.
Оптимизация SOC
На странице оптимизации SOC ужесточите элементы управления безопасностью, чтобы закрыть пробелы в покрытии угроз, а также ужесточите частоту приема данных на основе высокой точности и практических рекомендаций. Оптимизация SOC адаптирована к вашей среде и основана на текущем покрытии и ландшафте угроз.
Дополнительные сведения см. в статье Оптимизация операций безопасности.
Отчеты
На странице Отчеты просмотрите отчеты о безопасности во всех областях, ресурсах и рабочих нагрузках. Доступные отчеты зависят от служб безопасности, к которых у вас есть доступ.
Испытания
На странице Пробные версии просмотрите пробные решения, предназначенные для принятия решений об обновлениях и покупках.
