描述適用於端點的 Microsoft Defender

  • 4 分鐘

適用於端點的 Microsoft Defender 是一種平台,其設計目的是協助企業網路保護端點,包括膝上型電腦、手機、平板電腦、電腦、存取點、路由器和防火牆。 其運作方式是預防、偵測、調查及回應進階威脅。 適用於端點的 Microsoft Defender 內嵌 Windows 10 及更新版本,以及 MSFT 雲端服務內建的技術。 這項技術包括:

  • 內嵌在 Windows 10 及更新版本的端點行為感應器,會收集並處理來自作業系統的訊號。
  • 將行為訊號轉譯為深入解析、偵測和建議進階威脅回應的雲端安全性分析。
  • 威脅情報可讓適用於端點的 Defender 識別攻擊工具、技術與流程,並在收集到的感應器資料中觀察到這些內容時產生警示。

圖表顯示適用於端點的 Microsoft Defender 的元件。

適用於端點的 Microsoft Defender 包括:

  • 核心 Defender 弱點管理:內建核心弱點管理功能會使用風險型方法來探索、評量、設定優先順序及補救端點弱點和設定錯誤。
  • 受攻擊面縮小:受攻擊面縮小的功能集可提供堆疊中的第一層防禦。 透過確保正確設定組態設定,並且套用惡意探索減輕技術,功能會抵禦攻擊和危害。 這組功能也包含網路保護和 Web 保護,可控制對惡意 IP 位址、網域和 URL 的存取。
  • 新一代保護:新一代保護是設計來追捕所有類型的新興威脅。 除了Microsoft Defender 防毒軟體之外,您的新一代保護服務還包含下列功能:
    • 行為式、啟發式和即時的防毒保護。
    • 雲端式保護,包含接近即時的偵測並封鎖全新和新興的威脅。
    • 專用保護和產品更新,其中包括與保持最新 Microsoft Defender 防毒軟體相關的更新。
  • 端點偵測和回應:提供近乎即時且可採取動作的進階攻擊偵測。 安全性分析師可以優先處理警示,查看安全性缺口的完整範圍,並採取回應動作來補救威脅。
  • 自動化調查和補救 (AIR):自動化調查中的技術會使用各種檢查演算法,並且是以安全性分析師所使用的處理程序為基礎。 AIR 功能旨在檢查警示並立即採取動作解决違規問題。 AIR 功能顯著降低了警示量,使安全性作業能够集中於更複雜的威脅和其他高價值方案。
  • 裝置的 Microsoft 安全分數:裝置的 Microsoft 安全分數可協助您以動態方式評估企業網路的安全性狀態、識別未受保護的系統,並採取建議的動作來改善貴組織的整體安全性。
  • Microsoft 威脅專家:Microsoft 威脅專家是受控威脅搜捕服務,提供主動式搜捕、設定優先順序及其他內容和深入解析,進一步讓安全性作業中心 (SOC) 能夠快速且精確地識別及回應威脅。
  • 管理和 API:適用於端點的 Defender 提供 API 模型,其設計目的是透過標準 Microsoft Entra ID 型驗證和授權模型來公開實體和功能。

適用於端點的 Microsoft Defender 也會與 Microsoft Defender 套件中的各種元件整合,同時整合其他 Microsoft 解決方案,包含 Intune 和適用於雲端的 Microsoft Defender。

適用於端點的 Microsoft Defender 有兩個方案可供使用:適用於端點的 Defender 方案 1 和方案 2。 每個方案所包含的相關資訊詳述於摘要和資源單位中連結的《比較適用於端點的 Microsoft Defender 方案》文件。

Microsoft Defender 入口網站中的「適用於端點的 Microsoft Defender」

「適用於端點的 Microsoft Defender」可透過 Microsoft Defender 入口網站來進行體驗。 Defender 入口網站是監視和管理跨您的 Microsoft 身分識別、資料、裝置、應用程式和基礎結構的安全性的首頁,可讓安全性系統管理員在一個位置執行其安全性工作。

Microsoft Defender 入口網站左側導覽面板上的 [端點] 節點包含以下內容:

  • 弱點管理 - 管理裝置上的弱點和其他風險來源。 您可以從這裡存取弱點管理儀表板、建議、補救、弱點等等。 有關 Microsoft Defender 弱點管理的詳細資訊,請參閱本課程模組的後續單元。
  • 合作夥伴和 API - 您可以從這裡選取 [已連線的應用程式] 和 [API 總管]。
    • 已連線的應用程式 - [已連線的應用程式] 頁面提供有關連線到組織中「適用於端點的 Microsoft Defender」的 Microsoft Entra 應用程式 (與 Microsoft Entra ID 預先整合的 SaaS 應用程式)。
    • API 總管 -「適用於端點的 Defender」會透過一組程式設計 API 來公開其大部分資料和動作。 這些 API 可讓您根據「適用於端點的 Defender」的功能來自動化工作流程並進行創新。 「適用於端點的 Microsoft Defender API 總管」是一個可協助您以互動方式探索各種「適用於端點的 Defender」API 的工具。 您可以使用 API 總管來執行範例查詢或建立及測試您自己的 API 查詢,以測試適用於端點的 Microsoft Defender 功能。
  • 組態管理 - 定義端點原則並追蹤部署。

設定、權限、事件和警示、報告和其他功能也可以透過 Microsoft Defender 入口網站取得。 此課程模組中包含的單元「描述 Microsoft Defender 入口網站」中提供詳細資訊。