计划 1 Microsoft Defender for Endpoint入门
适用于:
Microsoft Defender门户 (https://security.microsoft.com) 使你能够查看有关检测到的威胁的信息、管理警报和事件、对检测到的威胁采取任何所需的操作以及管理设备。 可以在 Microsoft Defender 门户开始与 Defender for Endpoint 计划 1 获取的威胁防护功能进行交互。 以下部分介绍如何入门:
Microsoft Defender门户
可在Microsoft Defender门户 (https://security.microsoft.com) 查看警报、管理设备和查看报表。 登录到 Microsoft Defender 门户时,从主页开始,如下图所示:
主页为安全团队提供了警报、设备状态和检测到的威胁的快照聚合视图。 Microsoft Defender XDR已设置,以便安全运营团队可以快速轻松地找到他们正在寻找的信息。
注意
本文中显示的示例可能与在 Microsoft Defender 门户中看到的示例不同。 门户中显示的内容取决于许可证和权限。 此外,安全团队可以通过添加、删除和重新排列卡片来自定义组织的门户。
卡片突出显示关键信息并包含建议
主页包含卡片,例如活动事件卡如下图所示:
卡提供一目了然的信息,以及一个链接或按钮,你可以选择该链接或按钮来查看更详细的信息。 参考我们的示例活动事件卡,我们可以选择“查看所有事件”以导航到事件列表。
使用导航栏可以轻松查找警报、操作中心等
屏幕左侧的导航栏使你能够在事件、警报、操作中心、报表和设置之间轻松移动。 下表介绍了导航栏。
| 导航栏项 | 说明 |
|---|---|
| 主页 | 导航到Microsoft Defender门户的“主页”。 |
| 事件 & 警报 | 展开以显示 事件 和 警报。 |
| 事件 & 警报>事件 | 导航到 “事件” 列表。 触发警报和/或检测到威胁时,会创建事件。 默认情况下, “事件 ”列表显示过去 30 天的数据,最近列出的事件排在第一位。 若要了解详细信息,请参阅 事件。 |
| 事件 & 警报>警报 | 导航到 警报 列表 (也称为 警报队列) 。 检测到可疑或恶意文件、进程或行为时,会触发警报。 默认情况下, “警报 ”列表显示过去 30 天的数据,并首先列出最新的警报。 若要了解详细信息,请参阅 警报。 |
| 事件 & 警报>Email &协作警报 | 如果订阅包含Microsoft Defender for Office 365,则会在电子邮件和 Office 文件中检测到潜在威胁时生成警报。 |
| 操作 & 提交>操作中心 | 导航到操作中心,该中心跟踪修正和手动响应操作。 操作中心跟踪如下活动: - Microsoft Defender防病毒遇到恶意文件,然后阻止/删除该文件。 - 安全团队隔离设备。 - Defender for Endpoint 检测并隔离文件。 若要了解详细信息,请参阅 操作中心。 |
| 操作 & 提交>提交 | 导航到统一提交门户,管理员可在其中将文件提交到 Microsoft 进行审阅。 若要了解详细信息,请参阅在 Microsoft Defender for Endpoint 中提交文件。 |
| 安全分数 | 显示组织安全状况的表示形式以及建议的操作和指标列表。 若要了解详细信息,请参阅 Microsoft 安全功能分数。 |
| 学习中心 | 导航到可以访问的学习路径列表,以了解有关 Microsoft 365 安全功能的详细信息。 |
| 试验 | 导航到可以开始的免费 Microsoft 365 试用版订阅列表。 启动试用版有助于你做出有关购买或升级的明智决策。 某些条款和条件适用。 请参阅 Microsoft 365 试用条款和条件。 |
| 合作伙伴目录 | 如果你正在寻找 Microsoft 合作伙伴来帮助你完成安全性和其他设置,检查此目录中的合作伙伴列表。 |
| 资产>设备 | 导航到载入到 Defender for Endpoint 的设备列表。 提供有关设备的信息,例如其暴露和风险级别。 若要了解详细信息,请参阅 设备清单。 |
| 端点>配置管理>仪表 板 | 导航到仪表板,卡片显示当前安全状态,并提供用于提高分数、设置功能、载入设备以及了解有关功能的详细信息的链接。 |
| 报告 | 导航到报表,例如 威胁防护报告、 设备运行状况和合规性报告 以及 Web 保护报告。 |
| 运行状况 | 包括指向服务运行状况和消息中心的链接。 |
| 健康>服务运行状况 | 导航到Microsoft 365 管理中心中的服务运行状况页。 通过此页面可以查看组织订阅提供的所有服务的运行状况状态。 |
| 健康>消息中心 | 导航到Microsoft 365 管理中心中的消息中心。 消息中心提供有关计划内更改的信息。 每条消息描述即将发生的内容、它如何影响用户以及如何管理更改。 |
| 权限 & 角色 | 允许你授予使用 Microsoft Defender 门户的权限。 权限是通过 Microsoft Entra ID 中的角色授予的。 选择一个角色,此时会显示浮出控件窗格。 浮出控件包含指向Microsoft Entra ID的链接,你可以在其中添加或删除角色组中的成员。 若要了解详细信息,请参阅 使用基于角色的访问控制管理门户访问权限。 |
| 设置 | 导航到Microsoft Defender门户的常规设置 (列为安全中心) ,Defender for Endpoint (列为终结点) 。 若要了解详细信息,请参阅 设置。 |
| 更多资源 | 显示更多门户和中心的列表,例如Microsoft Entra ID和Microsoft Purview 合规门户。 若要了解详细信息,请参阅 Microsoft 安全门户和管理中心。 |
提示
若要了解详细信息,请参阅Microsoft Defender门户概述。
查看和管理事件 & 警报
登录到 Microsoft Defender 门户时,请确保查看和管理事件和警报。 从 事件 列表开始。 下图显示了事件列表,包括一个严重性较高的事件,另一个事件严重性中等。
选择一个事件以查看有关该事件的详细信息。 详细信息包括触发的警报、受影响的设备和用户数以及其他详细信息。 下图显示了事件详细信息的示例。
使用“警报”、“设备和用户”选项卡可查看详细信息,例如触发的警报、受影响的设备和受影响的用户帐户。 可以从此处执行手动响应操作,例如隔离设备、停止和隔离文件等。
提示
若要详细了解如何使用 “事件” 视图,请参阅 管理事件。
管理设备
若要查看和管理组织的设备,请在导航栏中的 “资产”下,选择“ 设备”。 你将看到设备列表。 该列表包括为其生成警报的设备。 默认情况下,显示的数据是过去 30 天的数据,最近列出的项排在第一位。 选择设备以查看有关它的详细信息。 此时会打开浮出控件窗格,如下图所示:
浮出控件窗格显示详细信息,例如设备的任何活动警报,并包含用于采取措施的链接,例如隔离设备。
如果设备上存在活动警报,可以在浮出控件窗格中查看它们。 选择单个警报以查看有关该警报的更多详细信息。 或者,采取隔离 设备等操作,以便进一步调查设备,同时将感染其他设备的风险降到最低。
提示
若要了解详细信息,请参阅 在 Defender for Endpoint 设备列表中调查设备。
查看报告
在 Defender for Endpoint 计划 1 中,Microsoft Defender门户中提供了多个报表。 若要访问报表,请执行以下步骤:
转到Microsoft Defender门户 (https://security.microsoft.com) 并登录。
在导航栏中,选择 “报表”。
在列表中选择一个报表。 这些报告包括:
- 威胁防护报告
- 设备运行状况报告
- Web 保护报告
提示
有关详细信息,请参阅 威胁防护报告。
威胁防护报告
若要访问威胁防护报告,请在Microsoft Defender门户中,选择“报告”,然后选择“威胁防护”。 威胁防护报告显示警报趋势、状态、类别等。 视图分为两列: 警报趋势 和 警报状态,如下图所示:
向下滚动以查看每个列表中的所有视图。
- 默认情况下, “警报趋势 ”列中的视图显示过去 30 天的数据,但你可以设置视图来显示过去 3 个月、过去 6 个月或自定义时间范围 (最多 180 天) 。
- “警报状态”列中的视图是前一个工作日的快照。
提示
若要了解详细信息,请参阅 Defender for Endpoint 中的威胁防护报告。
设备运行状况报告
若要访问设备运行状况报告,请在Microsoft Defender门户中,选择“报告”,然后选择“设备运行状况”。 设备运行状况报告显示组织中设备之间的运行状况状态和防病毒。 与威胁防护报告类似,视图分为两列:设备趋势和设备摘要,如下图所示:
向下滚动以查看每个列表中的所有视图。 默认情况下, “设备趋势 ”列中的视图显示过去 30 天的数据,但你可以更改视图以显示过去 3 个月、过去 6 个月或自定义时间范围的数据, (最多 180 天) 。 设备摘要视图是前一个工作日的快照。
提示
若要了解详细信息,请参阅 设备运行状况。
Web 保护报告
若要访问设备运行状况报告,请在Microsoft Defender门户中,选择“报表”,然后选择“Web 保护”。 Web 保护报告显示一段时间内的检测,例如恶意 URL 和尝试访问阻止的 URL,如下图所示:
向下滚动以查看 Web 保护报表中的所有视图。 某些视图包含链接,使你能够查看更多详细信息、配置威胁防护功能,甚至管理在 Defender for Endpoint 中充当例外的指标。
提示
若要了解详细信息,请参阅 Web 保护。
后续步骤
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。