使用 Microsoft Defender 门户
Microsoft Defender 门户 (https://security.microsoft.com/) 是专用的工作区,旨在满足安全团队的需求。 这些解决方案跨 Microsoft 365 服务进行了整合,并提供可操作的见解,可帮助降低风险和保护数字资产。
你可以调查影响网络的警报、了解警报的含义并收集与事件相关的证据,以便制定有效的修正方案。
主页显示了安全团队所需的许多常见卡片。 卡片和数据的组成取决于用户的角色。 由于 Microsoft Defender 门户使用基于角色的访问控制,因此不同的角色会看到与自身日常工作更相关的卡片。
此信息一目了然,可帮助你随时了解组织中的最新活动。 Microsoft Defender 门户将来自不同来源的信号汇集在一起,使你能够以整体视角全面了解 Microsoft 365 环境。
Microsoft Defender 门户集保护、检测、调查以及对电子邮件、协作、标识、设备和应用威胁的响应于一处。
这个单一管理平台汇集了现有 Microsoft 安全门户(如 Microsoft Defender 门户和 Office 365 安全与合规门户)的功能。 Microsoft Defender 门户强调快速访问信息、简化布局并将相关信息汇集在一起以便更轻松地使用。 其中包括:
- Microsoft Defender for Office 365 - Microsoft Defender for Office 365 可帮助组织通过使用一组保护、检测、调查和搜寻功能来保护电子邮件和 Office 365 资源,从而保护企业。
- Microsoft Defender for Endpoint - 为组织中的设备提供预防性保护、入侵后检测、自动调查和响应。
- Microsoft Defender XDR - 是 Microsoft 的扩展检测和响应 (XDR) 解决方案的一部分,该解决方案使用 Microsoft 365 安全项目组合自动分析各个域中的威胁数据,并在单个仪表板上生成攻击图片。
- Microsoft Defender for Cloud Apps - 是全面的跨 SaaS 和 PaaS 解决方案,可让你深入了解云应用,并带给云应用强大的数据控制和增强的威胁防护。
- Microsoft Defender for Identity - 这是一个基于云的安全解决方案,可利用本地 Active Directory 信号来识别、检测并调查针对组织的高级威胁、标识盗用和恶意内部操作。
- Microsoft Defender 漏洞管理 - 提供持续的资产可见性、基于风险的智能评估和内置修正工具,帮助安全和 IT 团队确定优先级并解决整个组织中的严重漏洞和配置错误问题。
- Microsoft Defender for IoT - 运营技术 (OT) 涉及用于监视和控制制造、公用事业、制药等关键行业物理流程的专用硬件和软件。 Microsoft Defender 门户中提供的 Microsoft Defender for IoT 旨在保护 OT 环境。
- Microsoft Sentinel - 将 Microsoft Defender XDR 与 Microsoft Sentinel 集成,将所有 Defender XDR 事件和高级搜寻事件流式传输到 Microsoft Sentinel,并确保 Azure 和 Microsoft Defender 门户之间的事件和活动同步。
门户中的“更多资源”选项提供了这些相关门户的列表:
| 门户 | 描述 |
|---|---|
| Microsoft Purview 合规性门户 | 使用涵盖信息治理、分类、用例管理等的集成解决方案来管理 Microsoft 365 服务中的合规性需求。 |
| Microsoft Entra ID | 管理组织标识。 设置多重身份验证、跟踪用户登录、编辑公司品牌打造等。 |
| Microsoft Entra ID 保护 | 检测影响组织标识的潜在漏洞。 调查与组织标识有关的可疑事件,并设置自动响应来予以解决。 |
| Azure 信息保护 | 配置和管理 Azure 信息保护客户端和扫描器,以自动对组织的电子邮件和文档进行分类并进行保护。使用报表来监视标签使用情况并识别需要保护的敏感信息。 |
| Microsoft Defender for Cloud | 保护数据中心并为云中和本地的 Azure 和非 Azure 工作负载提供高级威胁防护。 通过自动配置的本机保护措施高效保护 Azure 服务。 |
注意
Microsoft Defender 商业版是一种专为中小型企业(不超过 300 名员工)设计的许可模式。 可以在 Microsoft Defender 商业版的文档部分中找到 Microsoft Defender 门户内容。 解决方案使用相同的门户 (https://security.microsoft.com),因此文档适用。
所需的角色和权限
下表概述了在每个工作负载中访问每个统一体验所需的角色和权限。 下表中定义的角色是指各门户中的自定义角色,即使名称类似,也不会连接到 Microsoft Entra ID 中的全局角色。
注意
事件管理需要有对属于事件的所有产品的管理权限。
| Microsoft Defender XDR 需要以下角色之一 | Defender for Endpoint 需要以下角色之一 | Defender for Office 365 需要以下角色之一 | Defender for Cloud Apps 需要以下角色之一 |
|---|---|---|---|
| 查看调查数据: - 警报页 - 警报队列 - 事件 - 事件队列 - 操作中心 |
查看数据安全操作 | - 仅查看管理警报 - 组织 - 配置 - 审核日志 - 仅查看审核日志 - 安全读取者 - 安全管理员 - 仅查看收件人 |
- 全局管理员 - 安全管理员 - 合规性管理员 - 安全操作员 - 安全读取者 - 全局读取者 |
| 查看搜寻数据 | 查看数据安全操作 | - 安全读取者 - 安全管理员 - 仅查看收件人 |
- 全局管理员 - 安全管理员 - 合规性管理员 - 安全操作员 - 安全读取者 - 全局读取者 |
| 管理警报和事件 | 警报调查 | - 管理警报 - 安全管理员 |
- 全局管理员 - 安全管理员 - 合规性管理员 - 安全操作员 - 安全读取者 |
| 操作中心修正 | 主动修正操作 - 安全操作 | 搜索和清除 | |
| 设置自定义检测 | 管理安全设置 | - 管理警报 - 安全管理员 |
- 全局管理员 - 安全管理员 - 合规性管理员 - 安全操作员 - 安全读取者 - 全局读取者 |
| 威胁分析 | 警报和事件数据: - 查看数据 - 安全操作 TVM 缓解措施: - 查看数据 - 威胁和漏洞管理 |
警报和事件数据: - 仅查看管理警报 - 管理警报 - 组织配置 - 审核日志 - 仅查看审核日志 - 安全读取者 - 安全管理员 - 仅查看收件人 阻止的电子邮件尝试次数: - 安全读取者 - 安全管理员 - 仅查看收件人 |
不适用于 Defender for Cloud Apps 或 MDI 用户 |
交互式实验室模拟
注意
选择缩略图来启动实验室模拟。 完成后,请务必返回到此页面,以便可以继续学习。
