Microsoft Defender 门户

的 Microsoft Defender 门户https://security.microsoft.com将整个组织及其所有组件的威胁的保护、检测、调查和响应组合在一个中心位置。 Defender 门户强调快速访问信息、简化布局以及将相关信息汇集在一起以便于使用。 其中包括:

  • Microsoft Defender for Office 365可帮助组织通过一组预防、检测、调查和搜寻功能来保护其企业,以保护电子邮件和Office 365资源。
  • Microsoft Defender for Endpoint为组织中的设备提供预防性保护、违规后检测、自动调查和响应。
  • Microsoft Defender for Identity是基于云的安全解决方案,它使用本地 Active Directory信号来识别、检测和调查针对组织的高级威胁、泄露的标识和恶意内部操作。
  • Microsoft Defender for Cloud Apps是一种全面的跨 SaaS 和 PaaS 解决方案,可让你的云应用实现深入的可见性、强大的数据控制和增强的威胁防护。
  • Microsoft Sentinel是一种云原生安全信息和事件管理 (SIEM) 解决方案,可提供主动威胁检测、调查和响应。

重要

Microsoft Sentinel在 Microsoft Defender 门户中Microsoft的统一安全操作平台中正式发布。 对于预览版,Microsoft Sentinel在 Defender 门户中可用,无需Microsoft Defender XDR或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的Microsoft Sentinel

观看此简短视频,了解 Defender 门户。

预期结果

Microsoft Defender门户将来自不同工作负载的信号引入一组统一的体验,从而帮助安全团队调查和响应攻击:

  • 事件和警报
  • 搜寻
  • 操作 & 提交
  • 威胁分析
  • 安全评分
  • 试验
  • 合作伙伴目录

Microsoft Defender门户强调统一、清晰和共同的目标

注意

在Microsoft Defender门户中,客户仅看到其订阅包含的安全功能。 例如,如果Defender for Office 365但未使用 Defender for Endpoint,则会看到Defender for Office 365的特性和功能,但设备保护功能不可见。

事件和警报调查

集中安全信息可创建一个位置来调查整个组织及其所有组件的安全事件,包括:

  • 混合标识
  • 终结点
  • 云应用
  • 业务应用
  • Email和文档
  • IoT
  • 网络
  • 业务应用程序
  • OT) 操作技术 (
  • 基础结构和云工作负载

主要示例是“事件”下的“事件 & 警报”。

Microsoft Defender门户中的“事件”页。

选择事件名称将显示一个页面,其中展示了集中安全信息的价值,因为你可以更好地了解威胁(从电子邮件到标识到终结点)的完整扩展。

显示Microsoft Defender门户中事件的“攻击案例”页的屏幕截图。

花时间查看环境中的事件,向下钻取每个警报,并练习了解如何访问信息并确定分析中的后续步骤。

有关详细信息,请参阅 Microsoft Defender 门户中的事件

搜寻

可以生成自定义检测规则并搜寻环境中的特定威胁。 搜寻 使用基于查询的威胁搜寻工具,可让你主动检查组织中的事件,以查找威胁指示器和实体。 这些规则自动运行以检查,然后响应可疑的违规活动、错误配置的计算机和其他发现。

有关详细信息,请参阅使用Microsoft Defender XDR中的高级搜寻主动搜寻威胁

改进的流程

通用控件和内容要么出现在同一位置,要么压缩为一个数据馈送,以便于查找。 例如,在 “设置” 和“权限”下的“ 权限”下查找统一设置。

统一设置

Microsoft Defender门户中“设置”页的屏幕截图

权限

Microsoft Defender门户中权限页的屏幕截图

使用Microsoft Entra全局角色或使用自定义角色配置对Microsoft Defender XDR的访问权限。

对于Microsoft Sentinel,Microsoft Sentinel连接到 Defender 门户后,现有的 Azure 基于角色的访问控制 (RBAC) 权限允许你使用有权访问的Microsoft Sentinel功能。 继续从Azure 门户管理Microsoft Sentinel用户的角色和权限。 任何 Azure RBAC 更改都反映在 Defender 门户中。 有关Microsoft Sentinel权限的详细信息,请参阅:

集成报表

报表在Microsoft Defender XDR中也是统一的。 管理员可以从常规安全报告开始,并分支到有关终结点、电子邮件 & 协作的特定报表。 此处的链接基于工作负载配置动态生成。

快速查看 Microsoft 365 环境

主页显示安全团队所需的许多常用卡片。 卡片和数据的组合取决于用户角色。 由于 Defender 门户使用基于角色的访问控制,因此不同的角色会看到对日常作业更有意义的卡片。

此概览信息可帮助你了解组织中的最新活动。 Microsoft Defender XDR将来自不同源的信号汇集在一起,提供Microsoft 365 环境的整体视图。

可以根据需要添加和删除不同的卡片。

Microsoft Defender门户的搜索功能位于页面顶部。 键入时,会提供建议,以便更轻松地查找实体。 增强的搜索结果页集中所有实体的结果。

Microsoft Defender门户中搜索栏的屏幕截图。

搜索结果按与搜索词相关的部分进行分类。 可以在Microsoft Defender门户中搜索以下实体:

  • 设备 - 支持 Defender for Endpoint、Defender for Identity、Defender for Cloud 和 Microsoft Sentinel。

  • 用户 - 支持 Defender for Endpoint、Defender for Identity、Defender for Cloud Apps和Microsoft Sentinel。

  • 文件、IP 和 URL - 与 Defender for Endpoint 中的功能相同。

    注意

    IP 和 URL 搜索完全匹配,不会显示在搜索结果页中 , 它们直接指向实体页。

  • Microsoft Defender 漏洞管理 - 与 Defender for Endpoint 中的功能相同, (漏洞、软件和建议) 。

搜索还提供来自Microsoft Tech Community门户中相关链接的结果、Microsoft Learn 中的相关文档、门户中的导航项以及可在其中提供反馈的链接。 搜索历史记录存储在浏览器中,可在接下来的 30 天内访问。

通知

通知是通知你有关 Defender 门户中重要事件或更新的消息。 它们可帮助你随时了解安全任务和警报。

Microsoft Defender门户中通知图标的屏幕截图。

通知位于门户用户界面的顶部栏中。 可以通过单击通知图标来访问它们,该图标看起来像一个钟声。 图标上的数字表示你有该数量的未读通知。

通知可以告知你各种类型的事件或更新:

  • 成功:当操作或任务成功完成时,例如扫描设备或应用策略。
  • 正在进行:操作正在进行时。
  • 信息:当你发现一些有用的信息时。
  • 警告:当存在潜在问题或风险时,应注意设备不合规或需要更新的策略。
  • 错误:当出现需要注意的错误或失败时,例如删除或合并事件、失败的扫描或无法应用的策略。

每个通知都有一个标题和内容,提供事件或更新的相关信息。 每个通知还有一个时间戳,用于显示通知的生成时间。

可以在视图中隐藏通知。 可以通过单击通知右侧的 x 图标来消除单个通知。 还可以使用通知面板顶部的“ 全部消除 ”,只需单击一下即可消除列表中的所有通知。

消除通知不会将其从门户中删除。 始终可以通过选择通知面板底部的“ 显示已消除 ”来查看已消除的通知。

通知在通知面板中按生成时间排序,并首先显示最近的通知。 可以滚动浏览通知列表以查看较旧的通知。

威胁分析

使用以下Microsoft Defender XDR威胁分析跟踪和响应新出现的威胁:威胁分析是专家Microsoft安全研究人员提供的Microsoft Defender XDR威胁情报解决方案。 它旨在帮助安全团队尽可能高效地应对新出现的威胁,例如:

  • 活动威胁执行组件及其活动
  • 热门和新的攻击技术
  • 严重漏洞
  • 常见攻击面
  • 流行的恶意软件

合作伙伴目录

Microsoft Defender XDR支持两种类型的合作伙伴:

  • 第三方集成可帮助在终结点、漏洞管理、电子邮件、标识和云应用等各种安全领域通过有效的威胁防护、检测、调查和响应来保护用户。
  • 专业服务,组织可在其中增强平台的检测、调查和威胁情报功能。

向我们发送反馈

我们需要你的反馈。 如果想要查看的内容,watch此视频,了解如何信任我们阅读你的反馈

了解 Defender 门户提供的功能

继续探索 Defender 门户中的特性和功能:

若要了解与统一安全操作平台中Microsoft Defender XDR Microsoft Sentinel集成相关的功能,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

针对安全分析师的培训

通过 Microsoft Learn 中的此学习路径,可以了解Microsoft Defender XDR以及如何帮助识别、控制和修正安全威胁。

培训: 使用Microsoft Defender XDR缓解威胁
Microsoft Defender XDR训练图标。 跨域分析威胁数据,并在 Microsoft Defender XDR 中使用内置的业务流程和自动化快速修正威胁。 此学习路径与考试 SC-200 一致:Microsoft安全运营分析师。

9 小时 31 分钟 - 学习路径 - 11 个模块

另请参阅

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区