介绍 Microsoft Defender 门户
统一安全运营平台是一套完全集成的工具集,安全团队可以使用它来预防、检测、调查和响应其整个环境中面临的威胁。 对于 Microsoft 而言,这意味着在单个平台中通过先进的生成式 AI 提供同类最佳的 SIEM、XDR、态势管理和威胁情报。
Microsoft 通过 Microsoft Defender 门户兑现了统一安全运营平台的承诺,让你可以查看组织的安全状况。 Microsoft Defender 门户在一个中心位置整合了防范、检测、调查和响应整个组织及其所有组件面临的威胁的功能。
必须具有相应的角色(例如 Microsoft Entra ID 中的全局管理员、安全管理员、安全操作员或安全读取者)才能访问 Microsoft Defender 门户。
Defender 门户注重快速访问信息、简化布局并将相关信息汇集在一起以方便使用。
Microsoft Defender 门户主页显示了安全团队需要的许多常用卡片。 卡片和数据的构成取决于用户角色。 由于 Microsoft Defender 门户使用基于角色的访问控制,因此不同的角色会看到与自身日常工作更相关的卡片。
Microsoft Defender 门户允许定制导航窗格,以满足日常操作需求。 你可以自定义导航窗格,以根据具体偏好显示或隐藏功能和服务。 自定义设置只与你有关,其他管理员看不到这些更改。
在左侧导航窗格中可以轻松访问 Microsoft Defender XDR 服务套件。 你还可以访问 Microsoft Sentinel 和其他许多功能。以下部分简要介绍了可从 Microsoft Defender 门户左侧导航栏访问的功能。
风险管理
Microsoft 安全漏洞管理是一种安全解决方案,可跨公司资产和工作负载提供安全态势的统一视图。 安全暴露管理使用安全上下文扩充资产信息,以帮助你主动管理攻击面、保护关键资产,并了解和缓解暴露风险。
使用安全风险管理,可以发现和监视资产,获得丰富的安全见解,根据安全计划调查特定的风险区域,并跟踪整个组织的指标以改善安全状况。
攻击面
安全暴露管理会根据跨资产和工作负载收集的数据自动生成攻击路径。 它模拟攻击方案,并识别攻击者可能利用的漏洞和弱点。
安全见解
Microsoft 安全风险管理中的风险见解会不断地将各个工作负载和资源的安全状况数据和见解聚合到单个管道中。
- 计划提供了一种简单方法来评估特定安全区域或工作负载的安全就绪状态,并会持续跟踪和衡量该区域或工作负载在不同时间的风险。
- Microsoft 安全风险管理中的指标用于衡量安全计划中特定范围的资产或资源的安全风险。
- 建议可帮助你了解特定安全计划的合规性状态。
- 事件可帮助你监视计划的变化。
安全评分
Microsoft 安全分数是 Microsoft Defender 门户的一项工具,它表示公司的安全状况。 分数越高,保护就越好。 在 Microsoft Defender 门户的集中式仪表板中,组织可以监视和保护其 Microsoft 365 标识、应用和设备。
安全功能分数提供分数明细、可提高组织分数的改进操作,以及该组织与其他类似组织的安全功能分数比较结果。
数据连接器
使用数据连接器可以连接数据源,以获得更丰富、更集中的风险管理体验。
调查和响应
在调查和响应选项卡中可以访问事件和警报、搜寻、操作和提交内容,以及合作伙伴目录。
事件和警报
Microsoft Defender 门户中的事件是相关警报、资产、调查和证据的集合,可让你全面分析整个攻击范围。 它可以充当案例文件,SOC 可以使用它来调查该攻击,并管理、实施和记录对其做出的响应。 由于 Microsoft Defender 门户建立在统一安全运营平台基础之上,因此你可以查看所有事件,包括从 Microsoft Defender XDR 解决方案套件、Microsoft Sentinel 和其他解决方案生成的事件。
在事件中,可以分析影响网络的警报,了解其含义并整理证据,以便可以制定有效的修正计划。 为事件提供的信息包括:
- 攻击的完整情况(包括所有警报、资产和采取的修正操作)。
- 与事件相关的所有警报。
- 已确定从属于事件或与事件相关的所有资产(设备、用户、邮箱和应用)。
- 事件中警报触发的所有自动调查。
- 所有受支持的证据和响应。
如果你的组织已加入 Microsoft Security Copilot,则你还可以查看事件摘要、引导式响应等信息。
搜寻
高级搜寻是一个基于查询的威胁搜寻工具,可用于浏览来自 Microsoft Defender XDR 和 Microsoft Sentinel 的最多 30 天的原始数据。 可以通过搜寻查询主动检查网络中的事件,以查找威胁指标和实体。 如果你熟悉 Kusto 查询语言 (KQL),则可以使用查询生成器通过查询编辑器创建搜寻查询;也可以通过 Security Copilot 创建搜寻查询。 对于已加入 Microsoft Security Copilot 的用户,可以用自然语言发出请求或提出问题,Security Copilot 会生成与该请求对应的 KQL 查询。
可以使用相同的威胁搜寻查询来构建自定义检测规则。 这些规则会自动运行,以检查并响应可疑的违规活动、错误配置的计算机以及其他发现。
操作和提交内容
统一操作中心汇集了整个 Microsoft Defender for Endpoint 和 Microsoft Defender for Office 365 中的修正操作。 它在一个位置列出了针对设备、电子邮件和协作内容以及标识的待处理和已完成修正操作。
在拥有 Exchange Online 邮箱的 Microsoft 365 组织中,管理员可以使用 Microsoft Defender 门户中的“提交”页,将电子邮件、URL 和附件提交到 Microsoft 进行分析。
合作伙伴目录
合作伙伴目录列出了支持的技术合作伙伴和专业服务,它们可以帮助你的组织增强平台的检测、调查和威胁情报功能。
威胁情报
在“威胁情报”选项卡中,用户可以访问 Microsoft Defender 威胁情报。 有关详细信息,请参阅“Microsoft Defender 威胁情报简介”单元。
资产
在“资产”选项卡中,可以查看和管理组织的受保护和已发现资产(设备和标识)的清单。
“设备清单”会显示网络中生成了警报的设备的列表。 默认情况下,队列会显示过去 30 天内发现的设备。 你将一目了然地看到域、风险级别、操作系统平台和其他详细信息,以便轻松识别风险最高的设备。
标识清单提供所有企业标识(包括云中和本地的标识)的综合视图。
Microsoft Sentinel
一些 Microsoft Sentinel 功能(如统一事件队列)可通过 Defender 门户的“事件和警报”页,随来自其他 Microsoft Defender 服务的事件一起进行访问。 Defender 门户的 Microsoft Sentinel 部分中提供了许多其他 Microsoft Sentinel 功能。
有关详细信息,请参阅“Microsoft Sentinel 中的功能简介”模块,摘要和资源单元中提供了此模块的链接。
标识
Microsoft Defender 门户左侧导航面板上的“标识”节点映射到与 Microsoft Defender for Identity 关联的功能。 有关详细信息,请参阅“Microsoft Defender for Identity 简介”单元。
终结点
Microsoft Defender 门户左侧导航面板上的“终结点”节点映射到与 Microsoft Defender for Endpoints 关联的功能。 有关详细信息,请参阅“Microsoft Defender for Endpoints 简介”单元。
电子邮件和协作
在左侧导航面板上的“电子邮件和协作”节点中,可以找到用于跟踪和调查用户电子邮件面临的威胁、跟踪活动及实现其他目的的 Microsoft Defender for Office 365 功能。 有关详细信息,请参阅“Microsoft Defender for Office 365 简介”单元。
云应用
在左侧导航面板上的“云应用”节点中,可以找到 Microsoft Defender for Cloud Apps 功能。 有关详细信息,请参阅“Microsoft Defender for Cloud Apps 简介”单元。
SOC 优化
安全运营中心 (SOC) 团队积极寻找优化流程和结果的机会。
SOC 优化揭示了优化安全控制的方法,随着时间的推移,从 Microsoft 安全服务中获得更多价值。
报表
报告在 Microsoft Defender 门户中进行了统一。 管理员可从常规安全报告开始,然后深入到有关终结点、电子邮件和协作、云应用、基础结构和标识的特定分支报告。 此处的链接是根据工作负载配置动态生成的。
学习中心
学习中心与 Microsoft Learn 相链接,你可以在 Microsoft Learn 中访问培训课程、教程、文档和其他相关材料。
系统
Defender 门户中的系统选项包括用于配置权限、查看服务运行状况和常规设置的选项。