描述 Microsoft Defender 入口網站
統一安全性作業平台是安全性小組的完整整合工具組,可預防、偵測、調查及回應整個環境的威脅。 對 Microsoft 來說,這意味著透過先進的生成式 AI 作為單一平台,提供最佳的 SIEM、XDR、態勢管理和威脅情報。
透過 Microsoft Defender 入口網站,Microsoft 兌現了統一安全性作業平台的承諾,以便您可以檢視組織的安全性健康情況。 Microsoft Defender 入口網站會將對整個組織威脅的保護、偵測、調查和回應與其所有元件結合在一個中央位置。
若要存取入口網站,您必須在 Microsoft Entra ID 中受指派適當的角色,例如全域管理員、安全性系統管理員、安全性操作員或安全性讀取者,才能存取 Microsoft Defender 入口網站。
Microsoft Defender 入口網站會強調快速存取資訊、更簡易的配置,及將相關資訊整合在一起以便於使用。
Microsoft Defender 入口網站首頁會顯示安全性小組所需的許多通用卡片。 卡片和資料的組合取決於使用者角色。 由於 Microsoft Defender 入口網站會採用角色型存取控制,因此不同的角色會看到更貼近其日常工作的卡片。
Microsoft Defender 入口網站可讓您量身訂做瀏覽窗格,以符合日常操作需求。 您可以自訂瀏覽窗格,根據其特定喜好設定來顯示或隱藏功能和服務。 自訂內容爲專屬,因此其他管理員不會看到這些變更。
左側瀏覽窗格可讓您輕鬆存取 Microsoft Defender XDR 服務的套件。 您也可以存取 Microsoft Sentinel 和其他許多功能。後續章節則會提供從 Microsoft Defender 入口網站中左側導覽列存取的功能之簡短描述。
暴露風險管理
Microsoft 安全性暴露風險管理是一種安全性解決方案,可跨公司資產和工作負載提供安全性態勢的統一檢視。 安全性暴露風險管理會使用資訊安全內容來擴充資產資訊,協助您主動管理攻擊面、保護重要資產,以及探索及降低暴露風險。
透過安全性暴露風險管理,您可以探索和監視資產、取得豐富的安全性見解、使用安全性計劃調查特定風險區域,以及追蹤整個組織的計量,以改善安全性態勢。
![Microsoft Defender 入口網站中 [暴露風險管理] 概觀的螢幕擷取畫面。](../../wwl-sci/describe-threat-protection-with-microsoft-365-defender/media/exposure-management.png#lightbox)
![[暴露風險管理] 底下攻擊路徑的螢幕擷取畫面。](../../wwl-sci/describe-threat-protection-with-microsoft-365-defender/media/attack-path.png#lightbox)
![[暴露風險管理] 中計劃頁面的螢幕擷取畫面。](../../wwl-sci/describe-threat-protection-with-microsoft-365-defender/media/initiatives.png#lightbox)
![[暴露風險管理] 中安全分數頁面的螢幕擷取畫面。](../../wwl-sci/describe-threat-protection-with-microsoft-365-defender/media/secure-score.png#lightbox)
![[暴露風險管理] 中資料連接器頁面的螢幕擷取畫面。](../../wwl-sci/describe-threat-protection-with-microsoft-365-defender/media/data-connectors.png#lightbox)
受攻擊面
安全性暴露風險管理會根據跨資產和工作負載收集的資料自動產生攻擊路徑。 它會模擬攻擊案例,並識別攻擊者可能利用的弱點和缺點。
安全性深入解析
Microsoft 安全性暴露風險管理中的暴露風險深入解析會持續將工作負載和資源的安全性態勢資料和深入解析彙總到單一管線。
- 計劃提供簡單的方法來評估特定安全性區域或工作負載的安全性整備程度,並持續長期追蹤和測量該區域或工作負載的暴露風險。
- Microsoft 安全性暴露風險管理中的計量會測量安全性計劃內特定資產或資源範圍的安全性暴露風險。
- 建議可協助您了解特定安全性計劃的合規性狀態。
- 事件可協助您監視計劃變更。
安全分數
Microsoft 安全分數是 Microsoft Defender 入口網站的一項工具,代表公司的安全性態勢。 分數愈高,就代表保護性愈佳。 從 Microsoft Defender 入口網站的集中式儀表板,組織可監視並處理其 Microsoft 365 身分識別、應用程式和裝置的安全性。
安全分數提供分數的明細、可提升組織分數的改進動作,以及組織的安全分數與其他類似組織的比較程度。
資料連接器
您可以使用資料連接器來連接資料來源,以取得更豐富、更集中的暴露風險管理體驗。
調查與回應
[調查和回應] 索引標籤包含事件和警示、搜捕、動作和提交,以及合作夥伴目錄的存取權。
事件和警示
Microsoft Defender 入口網站中的事件是相關警示、資產、調查和證據的集合,可讓您全面了解攻擊的整個範圍。 它可作為您的 SOC 可用來調查該攻擊和管理、實作及記錄其回應的案例檔案。 由於 Microsoft Defender 入口網站是以統一的安全性作業平台為基礎所建置,因此您可以檢視所有事件,包括從 Microsoft Defender 全面偵測回應解決方案套件、Microsoft Sentinel 和其他解決方案所產生的事件。
在事件中,您可以分析影響網路的警示、了解其意義,並整理證據,以便設計有效的補救計劃。 為事件提供的資訊包括:
- 攻擊的完整案例,包括採取的所有警示、資產和補救動作。
- 與事件相關的所有警示。
- 已識別為屬於事件或與事件相關的所有資產 (裝置、使用者、信箱和應用程式)。
- 事件中警示所觸發的所有自動化調查。
- 所有支援的辨識項和回應。
如果您的組織已將 Microsoft 上線至 Security Copilot,您也可以檢視事件摘要、引導式回應等等。
- 事件
- [事件詳細資料] 頁面
搜捕
進階搜捕是以查詢為基礎的威脅搜捕工具,可讓您從 Microsoft Defender 全面偵測回應和 Microsoft Sentinel 探索多達 30 天的原始資料。 您可以透過搜捕查詢主動調查您網路中的事件以找出威脅指標和實體。 可透過查詢編輯器建立搜捕查詢,如果您熟悉 Kusto 查詢語言 (KQL),則可使用查詢產生器或透過 Security Copilot 來建立搜捕查詢。 針對上線至 Microsoft Security Copilot 的使用者,您可以使用自然語言提出要求或提出問題,而 Security Copilot 會產生對應至要求的 KQL 查詢。
您可以使用相同的威脅搜捕查詢來組建自訂偵測規則。 這些規則會自動執行來檢查疑似缺口活動、設定錯誤的電腦及其他結果,然後做出回應。
動作和提交
統一控制中心會將適用於端點的 Microsoft Defender 和適用於 Office 365 的 Microsoft Defender 的補救動作整合在一起。 它會在一個地方列出您裝置、電子郵件和共同作業內容及身分識別的擱置和已完成補救動作。
在擁有 Exchange Online 信箱的 Microsoft 365 組織中,系統管理員可以使用 Microsoft Defender 入口網站中的 [提交] 頁面,將訊息、URL 和附件提交給 Microsoft 進行分析。
合作夥伴目錄
合作夥伴目錄會列出支援的技術合作夥伴和專業服務,可協助貴組織增強平台的偵測、調查和威脅情報功能。
威脅情報
使用者可從 [威脅情報] 索引標籤存取 Microsoft Defender 威脅情報。 如需詳細資訊,請參閱 [什麼是 Microsoft Defender 威脅情報] 單元。
資產
[資產] 索引標籤可讓您檢視和管理貴組織的受保護和探索的資產詳細目錄 (裝置和身分識別)。
[裝置詳細目錄] 會顯示網路中產生警示所在的裝置清單。 根據預設,佇列會顯示過去 30 天內看到的裝置。 您將一目瞭然網域、風險層級、作業系統平台和其他詳細資料等資訊,讓您輕鬆識別最有風險的裝置。
身分識別詳細目錄會提供雲端和內部部署所有公司身分識別的完整檢視。
Microsoft Sentinel
某些 Microsoft Sentinel 功能,例如統一事件佇列,可透過 Defender 入口網站的事件和警示頁面存取,以及來自其他 Microsoft Defender 服務的事件。 Defender 入口網站的 [Microsoft Sentinel] 區段中提供許多其他 Microsoft Sentinel 功能。
如需詳細資訊,請參閱《描述 Microsoft Sentinel 中的功能》課程模組,其連結包含在摘要和資源單元中。
身分識別
Microsoft Defender 入口網站左側導覽面板上的 [身分識別] 節點會對應至與適用於身分識別的 Microsoft Defender 相關聯的功能。 如需詳細資訊,請參閱《什麼是 Microsoft Defender 威脅情報》單元。
端點
Microsoft Defender 入口網站左側導覽面板上 [端點] 節點會對應至與適用於端點的 Microsoft Defender 相關聯的功能。 如需詳細資訊,請參閱《什麼是適用於端點的Microsoft Defender》單元。
電子郵件與共同作業
您可在左側導覽面板上的電子郵件和共同作業節點找到適用於 Office 365 的 Microsoft Defender 功能,讓您追蹤和調查使用者電子郵件的威脅、追蹤行銷活動等等。 如需詳細資訊,請參閱《什麼是適用於 Office 365 的 Microsoft Defender》單元。
雲端應用程式
您可在左側導覽面板上的 [雲端應用程式] 節點找到適用於雲端應用程式的 Microsoft Defender 功能。 如需詳細資訊,請參閱《什麼是適用於雲端應用程式的 Microsoft Defender》單元。
SOC 最佳化
安全性作業中心 (SOC) 小組會積極尋找同時將流程和結果最佳化的機會。
SOC 最佳化揭示了最佳化安全性控制項的方式,隨著時間的推移,從 Microsoft 安全性服務獲得更多價值。
報表
報告會在 Microsoft Defender 入口網站中統一。 系統管理員可以從一般安全性報告開始,並分支到有關端點、電子郵件與共同作業、雲端應用程式、基礎結構和身分識別的特定報告。 此處的連結會根據工作負載組態動態產生。
學習中樞
學習中樞會將您連結至 Microsoft Learn,您可以在其中存取訓練課程、教學課程、文件和其他相關材料。
系統
Microsoft Defender 入口網站中的系統選項包括設定權限、檢視服務健康情況和一般設定的選項。