Microsoft Defender 门户
Microsoft的统一安全 SecOps 平台在 Microsoft Defender 门户中结合了Microsoft安全服务。
门户提供单一位置,用于监视、管理和配置本地和多云资产的入侵前和违规后安全性。
- 入侵前安全性:主动可视化、评估、修正和监视组织安全状况,以减少安全风险和攻击面。
- 违规后安全性:持续监视、检测、调查和响应针对组织资产的实时和新出现的网络安全威胁。
门户服务
Defender 门户结合了许多Microsoft安全服务。
| 服务 | 详细信息 |
|---|---|
|
Microsoft Defender XDR 检测和响应网络安全威胁。 |
Defender XDR包括一套服务,这些服务在 Defender 门户中结合在一起,在整个企业中提供统一的威胁防护。 Defender XDR服务跨终结点和设备、标识、电子邮件、应用以及 OT/IoT 资产收集、关联和分析威胁数据和信号。 在门户中,可以查看、调查和响应安全警报和事件,自动中断攻击,并主动搜寻威胁。 在 Defender 门户中详细了解Defender XDR。 |
|
Microsoft Sentinel 使用自动化和业务流程大规模收集、分析和管理安全数据。 |
Microsoft Sentinel与 Defender 门户中的 Defender XDR 完全集成,提供其他威胁防护功能,例如攻击中断、统一实体和事件以及 SOC 优化。 有关详细信息,请参阅 Defender 门户中的Microsoft Sentinel。 |
|
Microsoft Defender 威胁智能 将威胁情报集成到 SOC 操作中。 |
Defender 威胁情报平台扩展了Defender XDR和Microsoft Sentinel中包含的威胁情报功能。 从多个源收集数据,以提供威胁情报信号和数据池。 安全团队使用此数据来了解攻击者的活动、分析攻击和搜寻安全威胁。 |
|
Microsoft 安全风险管理 主动降低安全风险。 |
使用安全风险管理来减少组织攻击面并修正安全状况。 持续发现资产和数据,以全面了解业务资产的安全性。 借助安全风险管理提供的其他数据上下文,可以清楚地可视化、分析和修正安全薄弱领域。 |
|
Microsoft Defender for Cloud 保护云工作负载。 |
Defender for Cloud 改进了多云安全态势,并保护云工作负载免受威胁。 Defender for Cloud 集成到 Defender 门户中,以提供云安全警报的统一视图,以及用于调查的单个位置。 |
访问门户
在 Defender 门户 权限 页中,使用以下方法来配置用户访问:
| 方法 | 详细信息 |
|---|---|
| 全局Microsoft Entra角色 | 具有以下全局Microsoft Entra角色的帐户可以访问Microsoft Defender XDR功能和数据:
|
| 自定义角色 | 允许使用自定义角色访问特定数据、任务和功能。 自定义角色控制精细访问,可与Microsoft Entra全局角色一起使用。 |
| 统一 RBAC | 统一的基于角色的访问控制 (RBAC) 提供了一种权限管理模型,用于控制 Defender 门户中的用户权限以及门户中的跨服务的权限。 |
Microsoft Sentinel权限
加入到 Microsoft 的统一 SecOps 平台时,现有 Azure RBAC 权限用于使用 Defender 门户中Microsoft Sentinel功能。
- 管理Azure 门户中Microsoft Sentinel用户的角色和权限。
- 任何 Azure RBAC 更改都反映在 Defender 门户中。
有关详细信息,请参阅 Microsoft Sentinel 中的角色和权限。
在门户中工作
在 主页 上,视图由订阅中包含的服务决定。 访问设置基于 门户权限。
| 功能 | 详细信息 |
|---|---|
| 主页 | “主页”提供了环境安全状态的视图。 查看活动威胁、面临风险的资源,以及全面安全状况的摘要。 使用仪表板获取最新快照,并根据需要向下钻取详细信息。 |
| 门户通知 | 门户通知让你随时了解重要信息,包括更新、事件、完成或正在进行的操作以及警告和错误。 通知在通知面板中按生成时间排序,最近时间先显示。 有关详细信息,请参阅 配置警报通知。 |
| 搜索 | 搜索门户时,结果会按与搜索词相关的部分进行分类。 搜索提供门户内、Microsoft Tech Community和Microsoft Learn 文档中的结果。 搜索历史记录存储在浏览器中,可访问 30 天。 |
| 导游 | 获取管理终结点安全性或管理电子邮件和协作安全性的引导式教程。 |
| 新增功能 | 从 Microsoft Defender XDR 博客中了解最新更新。 |
| 社区 | 在技术社区 Microsoft安全讨论空间 中向其他人学习。 |
| 添加卡片 | 自定义 主页 以获取对你最重要的信息。 |
曝光管理
在 “风险管理”中,查看安全状况、风险和风险的总体状态。
| 功能 | 详细信息 |
|---|---|
| 曝光管理概述 | 此仪表板提供设备和云资源的快速视图,包括面向 Internet 的设备和关键资产。 了解关键安全计划的执行情况,并深入了解高价值漏洞的顶级指标。 获取不同类型的资源的公开级别,并跟踪一段时间内的安全进度。 |
| 攻击面 | 使用攻击面图可视化暴露数据。 浏览地图上的资源和连接,并向下钻取以专注于特定资产。 在攻击路径管理仪表板,查看攻击者可能利用的整个组织的潜在攻击路径,以及路径中的扼流点和关键资产。 |
| 曝光见解 | 跨资源和工作负载查看和浏览聚合的安全态势数据和见解。 评估最重要的安全项目的态势和就绪情况,并跟踪一段时间内的项目指标。 获取安全建议以修正暴露问题。 |
| 安全分数 | 根据 安全评分Microsoft查看态势指标。 |
| 数据连接器 | 将第三方产品连接到安全风险管理,并请求新的连接器。 |
有关详细信息,请参阅 Microsoft 安全风险管理。
调查和响应
“ 调查和响应 ”部分提供了一个位置,用于调查安全事件以及响应整个企业的威胁。
调查事件和警报
在 Defender 门户中的单个位置和单个队列中管理和调查安全事件。 事件和警报队列显示服务中的当前安全事件和警报。
| 功能 | 详细信息 |
|---|---|
| 事件 | 在“事件”仪表板,查看最新事件列表,并确定标记为高严重性的事件的优先级。 每个事件对构成攻击的相关警报和关联数据进行分组。 向下钻取事件以获取完整的攻击案例,包括有关关联警报、设备、用户、调查和证据的信息。 |
| 警告 | 在“警报仪表板,查看警报。 警报是由门户服务为响应威胁检测活动而发出的信号。 统一警报队列显示过去 7 天内的新警报和正在进行的警报,最近的警报位于顶部。 根据需要筛选要调查的警报。 |
有关详细信息,请参阅 Microsoft Defender 门户中的事件和警报。
搜寻威胁
通过 搜寻 区域,可以主动检查安全事件和数据,以查找已知和潜在威胁。
| 功能 | 详细信息 |
|---|---|
| 高级搜寻 | 浏览和查询最多 30 天的原始数据。 可以使用引导式查询工具进行查询、使用示例查询,或使用 Kusto 查询语言 (KQL) 来生成自己的查询。 |
| 自定义检测规则 | 创建自定义检测规则,以主动监视和响应事件和系统状态。 使用自定义检测规则触发安全警报或自动响应操作。 |
有关详细信息,请参阅 使用高级搜寻主动搜寻威胁 和 自定义检测概述。
查看挂起的威胁修正
威胁防护活动会导致执行修正威胁的操作。 操作可以是自动操作,也可以是手动操作。 操作中心提供了需要审批或手动干预 的操作。
| 功能 | 详细信息 |
|---|---|
| 操作中心 | 查看需要注意的操作列表。 一次批准或拒绝一个操作,或批量批准或拒绝操作。 可以查看操作历史记录以跟踪修正。 |
| 提交 | 将可疑的垃圾邮件、URL、电子邮件问题等提交到Microsoft。 |
合作伙伴目录
合作伙伴 目录 部分提供有关 Defender 合作伙伴的信息。
Defender 门户支持以下类型的合作伙伴集成:
- 第三方集成 ,可帮助保护用户有效的威胁防护。
- 增强 检测、调查和威胁情报功能的专业服务。
威胁智能
在门户的“ 威胁情报 ”部分中,直接了解当前和正在进行的威胁活动,并访问 Defender 威胁情报平台提供的威胁情报信息。
| 功能 | 详细信息 |
|---|---|
| 威胁分析 | 了解组织中当前与哪些威胁相关。 评估威胁严重性,向下钻取到特定的威胁报告,以及要采取的标识操作。 提供不同类型的威胁分析报告。 |
| Intel 配置文件 | 查看按威胁参与者、工具和已知漏洞组织的特选威胁情报内容。 |
| Intel Explorer | 查看威胁情报信息,并向下钻取以搜索和调查。 |
| Intel 项目 | 查看并创建项目,以组织调查中的兴趣指标和妥协指标。 项目包括关联的项目以及名称、说明、协作者和监视配置文件的详细历史记录。 |
有关详细信息,请参阅 威胁分析。
资产
“ 资产 ”页提供已发现和受保护资产(包括设备、用户、邮箱和应用)的统一视图。 查看每种类型的资产总数,并向下钻取到特定的资产详细信息。
| 功能 | 详细信息 |
|---|---|
| Devices | 在“ 设备清单 ”页上,大致了解你有权访问的每个租户中发现的设备。 按类型查看设备,并专注于高风险或关键设备。 通过为上下文添加标记,以逻辑方式对设备进行分组,并排除不想评估的设备。 启动设备的自动调查。 |
| 身份 | 获取用户和帐户清单的摘要。 |
Microsoft Sentinel
在 Defender 门户中访问Microsoft Sentinel功能。
| 功能 | 详细信息 |
|---|---|
| 搜索 | 跨日志搜索 ,并访问过去的搜索。 |
| 威胁管理 | 使用 工作簿可视化和监视连接数据。 调查事件并使用实体对警报进行分类。 主动搜寻威胁并使用笔记本为调查提供支持。 将威胁情报集成到 威胁检测中,并在分析和事件 中使用 MITRE ATT&CK 框架 。 |
| 内容管理 | 从 内容中心发现并安装现 (OOTB) 内容。 使用 Microsoft Sentinel 存储库连接到外部源系统以持续集成和交付 (CI/CD) ,而不是手动部署和更新自定义内容。 |
| 配置 | 使用数据 连接器引入数据。 创建监视列表 以关联和组织数据源。 设置分析规则 以查询和分析收集的数据。 自动执行 威胁响应。 |
有关详细信息,请参阅 Microsoft Defender门户中的Microsoft Sentinel和Microsoft Sentinel。
身份
在 Defender 门户的 “标识 ”部分中,监视用户和帐户运行状况,并使用 Defender for Identity 主动管理与标识相关的风险。
| 功能 | 详细信息 |
|---|---|
| ITDR 仪表板 | 在“标识威胁检测和响应 (ITDR) 仪表板 中,获取有关用户和帐户安全状态的见解和实时数据。 仪表板包括有关 Defender for Identity 部署的信息、有关高特权标识的信息以及有关标识相关事件的信息。 如果 Defender for Identity 工作区出现问题,则会在 “运行状况问题”页上引发该问题。 |
| 运行状况问题 | 此页上会显示任何 Defender for Identity 全局或基于传感器的运行状况问题。 |
| 工具 | 访问有助于管理 Defender for Identity 的常用工具。 |
有关详细信息,请参阅 Microsoft Defender for Identity。
终结点
在门户的“终结点”部分中,使用 Microsoft Defender 漏洞管理 监视和管理资产漏洞。
| 功能 | 详细信息 |
|---|---|
| 漏洞管理 | 查看仪表板中的漏洞状态。 根据设备的漏洞评估获取建议,并根据需要进行修正。 查看组织 软件清单,包括易受攻击的组件、证书和硬件。 查看 CVE 和安全公告。 查看事件时间线以确定漏洞的影响。 使用 安全基线评估 根据安全基准评估设备。 |
| 已连接的应用程序 | 获取有关连接到 Defender for Endpoint 的Microsoft Entra应用程序的信息。 |
| API 资源管理器 | 使用 API 资源管理器 可以构造和运行 API 查询,测试和发送可用的 Defender for Endpoint API 终结点的请求。 |
有关详细信息,请参阅Microsoft Defender 漏洞管理和Microsoft Defender for Endpoint。
Email和协作
在“Email &协作”部分中,使用 Microsoft Defender for Office 365 监视、调查和管理对电子邮件和协作应用的安全威胁和响应。
| 功能 | 详细信息 |
|---|---|
| 调查 | 运行并查看自动调查。 |
| 资源管理器 | 搜寻、调查和探索对电子邮件和文档的威胁。 向下钻取特定类型的威胁,包括恶意软件、网络钓鱼和活动。 |
| 审阅 | 管理隔离项目和受限发件人。 |
| 活动 | 分析针对组织的协调攻击。 |
| 威胁跟踪器 | 查看已保存和跟踪的查询,并关注趋势市场活动。 |
| 策略和规则 | 配置和管理安全策略以防范威胁,并接收活动警报。 |
有关详细信息,请参阅 Microsoft Defender for Office 365。
云应用
在“云应用”部分中,查看安全性,以使用 Microsoft Defender for Cloud Apps 将风险和风险降到最低。
| 功能 | 详细信息 |
|---|---|
| 云发现 | 使用 发现报告大致了解云应用安全性。 查看示例报表,并创建新报表。 |
| 云应用目录 | 大致了解已知的云应用及其相关风险。 你可以根据需要批准和取消批准应用。 |
| OAuth 应用 | 了解 OAuth 应用。 查看应用并筛选设置以向下钻取。 |
| 活动日志 | 按云名称、IP 地址和相关设备查看连接的 应用活动 。 |
| 治理日志 | 查看 治理操作。 |
| 策略 | 为云应用配置安全策略。 |
有关详细信息,请参阅 Microsoft Defender for Cloud Apps。
SOC 优化
在 SOC 优化 页中,加强安全控制以缩小威胁覆盖差距,并根据高保真度和可操作的建议提高数据引入率。 SOC 优化是针对你的环境并根据当前覆盖范围和威胁形势定制的。
有关详细信息,请参阅 优化安全操作。
报表
在 “报表 ”页中,查看所有区域、资产和工作负载的安全报告。 可用报表取决于有权访问的安全服务。
试验
在 “试用 ”页中,查看试用版解决方案,旨在帮助你做出有关升级和购买的决策。
