Beskriva Microsoft Defender-portalen

  • 6 minuter

En enhetlig plattform för säkerhetsåtgärder är en helt integrerad verktygsuppsättning för säkerhetsteam för att förhindra, identifiera, undersöka och reagera på hot i hela miljön. För Microsoft innebär detta att leverera det bästa av SIEM, XDR, hållningshantering och hotinformation med avancerad generativ AI som en enda plattform.

Via Microsoft Defender-portalen levererar Microsoft löftet om en enhetlig säkerhetsåtgärdsplattform så att du kan se organisationens säkerhetshälsa. Microsoft Defender-portalen kombinerar skydd, identifiering, undersökning och svar på hot i hela organisationen och alla dess komponenter, på en central plats.

För att få åtkomst till portalen måste du ha tilldelats en lämplig roll, till exempel global administratör, säkerhetsadministratör, säkerhetsoperatör eller säkerhetsläsare i Microsoft Entra-ID för att få åtkomst till Microsoft Defender-portalen.

Defender-portalen betonar snabb åtkomst till information, enklare layouter och sammanför relaterad information för enklare användning.

En skärmbild av startsidan för Microsoft Defender-portalen.

Startsidan för Microsoft Defender-portalen visar många av de vanliga kort som säkerhetsteamen behöver. Sammansättningen av kort och data beror på användarrollen. Eftersom Microsoft Defender-portalen använder rollbaserad åtkomstkontroll ser olika roller kort som är mer meningsfulla för deras dagliga jobb.

Med Microsoft Defender-portalen kan du anpassa navigeringsfönstret efter dagliga driftbehov. Du kan anpassa navigeringsfönstret för att visa eller dölja funktioner och tjänster baserat på deras specifika inställningar. Anpassningen är specifik för dig, så andra administratörer ser inte dessa ändringar.

Det vänstra navigeringsfönstret ger enkel åtkomst till sviten med Microsoft Defender XDR-tjänster. Du får också åtkomst till Microsoft Sentinel och många andra funktioner Avsnitten som följer innehåller en kort beskrivning av de funktioner som är tillgängliga från det vänstra navigeringsfältet i Microsoft Defender-portalen.

Exponeringshantering

Microsoft Security Exposure Management är en säkerhetslösning som ger en enhetlig vy över säkerhetsstatus för företagets tillgångar och arbetsbelastningar. Security Exposure Management berikar tillgångsinformation med säkerhetskontext som hjälper dig att proaktivt hantera attackytor, skydda kritiska tillgångar och utforska och minska exponeringsrisken.

Med Security Exposure Management kan du identifiera och övervaka tillgångar, få omfattande säkerhetsinsikter, undersöka specifika riskområden med säkerhetsinitiativ och spåra mått i hela organisationen för att förbättra säkerhetsstatusen.

Attackyta

Hantering av säkerhetsexponering genererar automatiskt attackvägar baserat på data som samlas in mellan tillgångar och arbetsbelastningar. Den simulerar attackscenarier och identifierar sårbarheter och svagheter som en angripare kan utnyttja.

Säkerhetsinsikter

Exponeringsinsikter i Microsoft Security Exposure Management aggregerar kontinuerligt säkerhetsstatusdata och insikter mellan arbetsbelastningar och resurser i en enda pipeline.

  • Initiativ är ett enkelt sätt att utvärdera säkerhetsberedskapen för ett visst säkerhetsområde eller en viss arbetsbelastning och att ständigt spåra och mäta exponeringsrisker för det området eller arbetsbelastningen över tid.
  • Mått i Microsoft Security Exposure Management mäter säkerhetsexponering för en specifik omfattning av tillgångar eller resurser inom ett säkerhetsinitiativ.
  • Rekommendationer hjälper dig att förstå efterlevnadstillståndet för ett specifikt säkerhetsinitiativ.
  • Händelser hjälper dig att övervaka initiativändringar.

Säkerhetspoäng

Microsoft Secure Score, ett av verktygen i Microsoft Defender-portalen, är en representation av ett företags säkerhetsstatus. Desto högre poäng, desto bättre skydd. Från en centraliserad instrumentpanel i Microsoft Defender-portalen kan organisationer övervaka och arbeta med säkerheten för sina Microsoft 365-identiteter, appar och enheter.

Säkerhetspoäng ger en uppdelning av poängen, förbättringsåtgärder som kan öka organisationens poäng och hur väl organisationens säkerhetspoäng jämförs med andra liknande organisationer.

Dataanslutningar

Med hjälp av dataanslutningar kan du ansluta datakällor för en mer centraliserad exponeringshantering.

Undersökning och svar

Fliken undersökning och svar innehåller åtkomst till incidenter och aviseringar, jakt, åtgärder och inlämningar samt en partnerkatalog.

En skärmbild av Microsoft Defender-portalen som visar de val som är tillgängliga för undersökning och svar. De är incidenter och aviseringar, jakt, åtgärder och inlämningar samt partnerkatalog.

Incidenter och aviseringar

En incident i Microsoft Defender-portalen är en samling relaterade aviseringar, tillgångar, undersökningar och bevis som ger dig en omfattande titt på hela bredden av en attack. Det fungerar som en ärendefil som din SOC kan använda för att undersöka attacken och hantera, implementera och dokumentera svaret på den. Eftersom Microsoft Defender-portalen bygger på en enhetlig säkerhetsåtgärdsplattform får du en vy över alla incidenter, inklusive incidenter som genererats från sviten med Microsoft Defender XDR-lösningar, Microsoft Sentinel och andra lösningar.

I en incident analyserar du aviseringarna som påverkar nätverket, förstår vad de innebär och sorterar bevisen så att du kan utforma en effektiv reparationsplan. Informationen som tillhandahålls för en incident omfattar:

  • Hela historien om attacken, inklusive alla aviseringar, tillgångar och åtgärder som vidtagits.
  • Alla aviseringar som är relaterade till incidenten.
  • Alla tillgångar (enheter, användare, postlådor och appar) som har identifierats som en del av eller relaterade till incidenten.
  • Alla automatiserade undersökningar som utlöses av aviseringarna i incidenten.
  • Alla bevis och svar som stöds.

Om din organisation är registrerad på Microsoft till Security Copilot kan du också visa en incidentsammanfattning, guidade svar med mera.

Hotjakt

Avancerad jakt är ett frågebaserat verktyg för hotjakt där du kan utforska upp till 30 dagars rådata från Microsoft Defender XDR och Microsoft Sentinel. Du kan proaktivt inspektera händelser i nätverket för att hitta hotindikatorer och entiteter via jaktfrågor. Jaktfrågor kan skapas via frågeredigeraren, om du är bekant med Kusto-frågespråk (KQL), med hjälp av en frågebyggare eller via Security Copilot. För användare som är registrerade i Microsoft Security Copilot kan du göra en begäran eller ställa en fråga på naturligt språk och Security Copilot genererar en KQL-fråga som motsvarar begäran.

Du kan använda samma hotjaktfrågor för att skapa anpassade identifieringsregler. Dessa regler körs automatiskt för att söka efter och sedan svara på misstänkt överträdelseaktivitet, felkonfigurerade datorer och andra resultat.

En skärmbild av sidan avancerad jakt i Microsoft Defender-portalen.

Åtgärder och inlämningar

Det enhetliga åtgärdscentret samlar reparationsåtgärder i Microsoft Defender för Endpoint och Microsoft Defender för Office 365. Den visar väntande och slutförda reparationsåtgärder för dina enheter, e-post och samarbetsinnehåll och identiteter på en plats.

I Microsoft 365-organisationer med Exchange Online-postlådor kan administratörer använda sidan Inskickade filer i Microsoft Defender-portalen för att skicka meddelanden, URL:er och bifogade filer till Microsoft för analys.

Partnerkatalog

Partnerkatalogen visar en lista över teknikpartners som stöds och professionella tjänster som kan hjälpa din organisation att förbättra plattformens funktioner för identifiering, undersökning och hotinformation.

Hotinformation

På fliken Hotinformation får användarna åtkomst till Microsoft Defender Hotinformation. Mer information finns i lektionen "Beskriv Microsoft Defender Hotinformation".

Tillgångar

På fliken Tillgångar kan du visa och hantera organisationens inventering av skyddade och identifierade tillgångar (enheter och identiteter).

Enhetsinventeringen visar en lista över de enheter i nätverket där aviseringar genererades. Som standard visar kön enheter som setts under de senaste 30 dagarna. Du kan snabbt se information som domän, risknivå, operativsystemplattform och annan information för enkel identifiering av de enheter som är mest utsatta.

Identitetsinventeringen ger en omfattande vy över alla företagsidentiteter, både i molnet och lokalt.

Microsoft Sentinel

Vissa Microsoft Sentinel-funktioner, till exempel den enhetliga incidentkön, nås via sidan incidenter och aviseringar i Defender-portalen, tillsammans med incidenter från andra Microsoft Defender-tjänster. Många andra Microsoft Sentinel-funktioner är tillgängliga i avsnittet Microsoft Sentinel i Defender-portalen.

Mer information finns i modulen "Beskriv funktionerna i Microsoft Sentinel", vars länk ingår i sammanfattnings- och resursenheten.

En skärmbild av Microsoft Sentinel-noden på navigeringspanelen i Microsoft Defender-portalen.

Identiteter

Noden Identiteter i den vänstra navigeringspanelen i Microsoft Defender-portalen mappar till funktioner som är associerade med Microsoft Defender för identitet. Mer information finns i lektionen "Beskriv Microsoft Defender för identitet".

En skärmbild av identitetsnoden i den vänstra navigeringspanelen i Microsoft Defender-portalen.

Slutpunkter

Noden Slutpunkter i den vänstra navigeringspanelen i Microsoft Defender-portalen mappar till funktioner som är associerade med Microsoft Defender för Endpoint. Mer information finns i lektionen "Beskriv Microsoft Defender för Endpoint s".

En skärmbild av slutpunktsnoden i den vänstra navigeringspanelen i Microsoft Defender-portalen.

E-post och samarbete

Noden e-post och samarbete i den vänstra navigeringspanelen är den där du hittar Microsoft Defender för Office 365 funktioner som gör att du kan spåra och undersöka hot mot användarnas e-post, spåra kampanjer med mera. Mer information finns i lektionen "Beskriv Microsoft Defender för Office 365".

En skärmbild av noden e-post och samarbete i navigeringspanelen i Microsoft Defender-portalen.

Molnappar

Noden Molnappar i den vänstra navigeringspanelen finns där du hittar Microsoft Defender för molnet Apps-funktioner. Mer information finns i lektionen "Beskriv Microsoft Defender för molnet appar".

En skärmbild av noden molnappar på navigeringspanelen i Microsoft Defender-portalen.

SOC-optimering

SOC-team (Security Operations Center) söker aktivt efter möjligheter att optimera både processer och resultat.

SOC-optimering visar hur du kan optimera dina säkerhetskontroller och få mer värde från Microsofts säkerhetstjänster allt eftersom tiden går.

En skärmbild av sidan SOC-optimering i Microsoft Defender-portalen.

Rapporter

Rapporter är enhetliga i Microsoft Defender-portalen. Administratörer kan börja med en allmän säkerhetsrapport och förgrena sig till specifika rapporter om slutpunkter, e-post och samarbete, molnappar, infrastruktur och identiteter. Länkarna här genereras dynamiskt baserat på arbetsbelastningskonfigurationen.

En skärmbild av rapportsidan i Microsoft Defender-portalen.

Utbildningsnav

Utbildningshubben länkar dig till Microsoft Learn där du kan få åtkomst till utbildningar, självstudier, dokumentation och annat relevant material.

System

Systemalternativet i Defender-portalen innehåller val för att konfigurera behörigheter, visa tjänstens hälsa och allmänna inställningar.