在 Defender 门户中Microsoft Defender XDR
Microsoft统一的 SecOps 平台中的Microsoft Defender XDR跨各种资产(包括设备和终结点、标识、电子邮件、Microsoft 365 服务和 SaaS 应用)统一和协调威胁防护。
Defender XDR跨资产合并威胁信号和数据,以便可以从Microsoft Defender门户中的单个位置监视和管理安全威胁。
Defender XDR组合了多个Microsoft安全服务。
| 服务 | 详细信息 |
|---|---|
| 使用 Defender for Office 365 防范电子邮件威胁 | 帮助保护电子邮件和Office 365资源。 |
| 使用 Defender for Endpoint 保护设备 | 为设备提供预防性保护、违规后检测以及自动调查和响应。 |
| 使用 Defender for Identity 保护 Active Directory | 使用 Active Directory 信号来识别、检测和调查高级威胁、泄露的标识和恶意内部操作。 |
| 使用 Defender for Cloud Apps 保护 SaaS 云应用 | 为 SaaS 和 PaaS 云应用提供深入的可见性、强大的数据控制和增强的威胁防护。 |
| 使用Microsoft Sentinel防范各种威胁 | Microsoft Sentinel与 Defender XDR 无缝集成,将这两种产品的功能合并到一个统一的安全平台中,用于威胁检测、调查、搜寻和响应。 |
检测威胁
Defender XDR提供持续威胁监视。 检测到威胁时,将创建 安全警报 。 Defender 会自动将相关警报和安全信号聚合到 安全事件中。
事件定义攻击的完整图景。 事件可帮助 SOC 团队了解攻击并更快地做出响应。 事件将相关的警报、有关攻击范围和进度的信息以及攻击所涉及的实体和资产收集在一起。
Defender 门户中的 单个事件队列 提供对最新警报和事件以及历史数据的完全可见性。 可以搜索和查询事件队列,并根据严重性确定响应的优先级。
检测横向移动攻击
Defender for XDR 包括用于检测人为操作的横向移动的 欺骗功能 ,通常用于勒索软件和电子邮件入侵等常见攻击。
欺骗功能生成诱饵资产。 当攻击者与这些资产交互时,欺骗功能会引发可在门户中的“警报”页上查看的高置信度警报。
自动中断威胁
Defender XDR使用自动攻击中断来遏制正在进行的攻击、限制攻击影响并为安全团队提供更多的响应时间。
自动中断依赖于由数百万个 Defender 产品信号的事件关联产生的高保真信号,以及Microsoft安全研究团队的持续调查见解,以确保高信噪比。
检测到攻击时,自动中断使用Defender XDR响应操作。 响应包括包含或禁用资产。
攻击中断在Defender XDR事件队列和特定事件页上明确标记。
搜寻威胁
主动搜寻会检查和调查安全事件和数据,以查找已知和潜在的安全威胁。
Defender XDR在 Defender 门户中提供威胁搜寻功能。
高级搜寻:SOC 团队可以在门户中将高级搜寻与 Kusto 查询语言 (KQL) 结合使用,以在整个企业中创建自定义查询和威胁搜寻规则。 分析师可以在Defender XDR数据源中搜索泄露、异常和可疑活动的指标。
如果不熟悉 KQL,Defender XDR提供了引导模式,用于直观地创建查询,以及预定义的查询模板。
自定义检测规则:除了高级搜寻,SOC 团队还可以 创建自定义检测规则 来主动监视和响应事件和系统状态。 规则可以触发警报或自动响应操作。
响应威胁
Defender for XDR 提供 自动调查和响应 功能。 自动化减少了 SOC 团队必须手动处理的警报量。
当警报创建事件时,自动调查会生成一个判决,以确定是否发现了威胁。 识别出可疑和恶意威胁时,修正操作包括发送要隔离的文件、停止进程、阻止 URL 或隔离设备。
可以在门户的主页中查看自动调查和响应的摘要。 在门户操作中心处理挂起的修正操作。