什么是Microsoft Defender XDR?

Microsoft Defender XDR是一个统一的入侵前和入侵后企业防御套件,可跨终结点、标识、电子邮件和应用程序本机协调检测、预防、调查和响应,以提供针对复杂攻击的集成保护。

Microsoft Defender XDR使用其他Microsoft安全产品的信息来帮助安全团队保护和检测其组织,其中包括:

借助集成的Microsoft Defender XDR解决方案,安全专业人员可以将每个产品接收的威胁信号拼凑在一起,并确定威胁的全部范围和影响;威胁如何进入环境、影响内容以及它当前如何影响组织。 Microsoft Defender XDR采取自动操作来防止或停止攻击,并自我修复受影响的邮箱、终结点和用户标识。

注意

Microsoft Defender XDR关联你已获得许可和预配访问权限Microsoft安全产品的信号。

Microsoft Defender XDR保护

Microsoft Defender XDR服务保护:

  • 使用 Defender for Endpoint 的终结点 - Microsoft Defender for Endpoint 是一个统一的终结点平台,用于预防性保护、违规后检测、自动调查和响应。

  • 具有Defender 漏洞管理的资产 - Microsoft Defender 漏洞管理提供持续的资产可见性、基于风险的智能评估和内置修正工具,以帮助安全和 IT 团队确定优先级,并解决组织中的关键漏洞和错误配置。

  • 与 Defender for Office 365 进行Email和协作 - Defender for Office 365保护组织免受电子邮件、链接 (URL) 和协作工具构成的恶意威胁。

  • 使用 Defender for Identity 和 Microsoft Entra ID 保护 的标识 - Microsoft Defender for Identity是一种基于云的安全解决方案,使用本地 Active Directory用于识别、检测和调查针对组织的高级威胁、泄露的标识和恶意内部操作的信号。 Microsoft Entra ID 保护使用Microsoft在具有Microsoft Entra ID的组织、具有Microsoft帐户的消费者空间以及使用 Xbox 玩游戏中获取的学习来保护用户。

  • 具有 Defender for Cloud Apps - Microsoft Defender for Cloud Apps 的应用程序是一种全面的跨 SaaS 解决方案,为云应用带来深入的可见性、强大的数据控制和增强的威胁防护。

Microsoft Defender XDR独特的跨产品层增强了各个服务组件,以便:

  • 通过信号共享和自动操作,帮助防范攻击并协调整个服务的防御响应。

  • 通过将有关警报、可疑事件和受影响资产的数据加入事件,为安全团队讲述有关产品警报、行为和上下文的攻击的完整故事。

  • 通过自动修正触发受影响资产的自我修复,自动响应入侵。

  • 使安全团队能够跨终结点和 Office 数据执行详细而有效的威胁搜寻。

Microsoft Defender XDR跨产品功能包括:

  • Microsoft Defender门户中的跨产品单一管理平台 - 在Microsoft Defender门户中的单个队列和单个窗格中显示有关检测、受影响资产、采取的自动化操作和相关证据的所有信息的中心视图。

  • 合并事件队列 - 通过确保整个攻击范围、受影响的资产和自动修正操作组合在一起并及时显示,帮助安全专业人员专注于关键内容。

  • 威胁的自动响应 - 关键威胁信息在Microsoft Defender XDR产品之间实时共享,以帮助阻止攻击的发展。

    例如,如果在受 Defender for Endpoint 保护的终结点上检测到恶意文件,则会指示Defender for Office 365扫描并删除所有电子邮件中的文件。 整个 Microsoft 365 安全套件一目了然地阻止该文件。

  • 对受损设备、用户标识和邮箱进行自我修复 - Microsoft Defender XDR使用 AI 支持的自动操作和 playbook 将受影响的资产修正回安全状态。 Microsoft Defender XDR利用套件产品的自动修正功能,以确保尽可能自动修正与事件相关的所有受影响的资产。

  • 跨产品威胁搜寻 - 安全团队可以通过针对各种保护产品收集的原始数据创建自己的自定义查询,利用其独特的组织知识来搜寻入侵迹象。 Microsoft Defender XDR跨终结点和Defender for Office 365数据提供对 30 天的历史原始信号和警报数据的基于查询的访问。

入门

Microsoft Defender XDR必须满足许可要求,然后才能在 Microsoft Defender 门户中https://security.microsoft.com启用该服务,有关详细信息,请参阅:

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区