概述

Microsoft 安全风险管理整合来自所有数字资产的安全态势数据,使你能够映射攻击面,并将安全工作集中在风险最大的区域。 来自 Microsoft Security 产品的数据,例如 Microsoft Defender for Endpoint、Microsoft Defender for Identity、Microsoft Defender for Cloud、Microsoft Entra ID和其他项会自动引入和合并到曝光管理中。 可以通过连接到一系列外部数据源来进一步扩充和扩展此数据。

为了覆盖所有资产和安全信号,并帮助你为资产建立一个全面的单一事实来源,公开管理提供了数据连接器,用于从环境中部署的其他安全或资产管理产品引入数据。

优势包括:

  • 曝光图中的规范化
  • 增强设备清单
  • 映射关系
  • 揭示新的攻击路径
  • 提供全面的攻击面可见性
  • 合并资产关键性
  • 使用业务应用程序或运营附属关系扩充上下文
  • 通过攻击映射工具可视化
  • 通过 KQL 探索使用高级搜寻查询

对外部解决方案的支持有助于通过曝光管理进一步简化、集成和协调来自其他安全供应商的防御措施。 这使安全团队能够在整个攻击面中有效地管理其状态和风险。

MSEM 中的数据连接器的屏幕截图

Microsoft 安全风险管理 中的数据连接器目前为公共预览版。

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

注意

在预览阶段,可以免费使用数据连接器功能。 数据连接器正式发布后,根据从连接的安全工具检索到的资产数,每个非Microsoft数据连接器将产生基于消耗的成本。 费用将取决于引入的可计费资产的数量,其中可计费资产是从该连接器报告数据的任何资产 (设备、容器、标识、应用程序) 。 每个连接器将明确定义适用的资产以及如何确定数字的指导。 在外部连接器的计费从正式版开始之前,将公布定价。

先决条件

若要将外部数据连接器集成到Microsoft 安全风险管理,需要满足以下先决条件。

角色 & 权限

若要完全访问连接和断开连接数据连接器,需要以下Microsoft Entra ID角色之一:

  • 全局管理员 (读取和写入权限)
  • 安全管理员 (读取和写入权限)
  • 安全操作员 (读取权限,) 限制写入权限

若要查看连接器的状态,可以使用以下角色之一:

  • 全局读取者 (读取权限)
  • 安全读取者 (读取权限)

可在此处找到有关权限级别、 先决条件和支持的更多详细信息。

后续步骤

配置数据连接器