探索適用於身分識別的 Microsoft Defender
適用於身分識別的 Microsoft Defender (前身為 Azure 進階威脅防護,亦稱為 Azure ATP) 是雲端式安全性解決方案。 適用於身分識別的 Defender 會使用您的內部部署的 Active Directory 訊號,來識別、偵測及調查進階威脅、遭盜用的身分識別,以及針對組織的惡意內部動作。 適用於身分識別的 Defender 讓 SecOp 分析師及安全性專業人員在努力偵測混合式環境中的進階攻擊時,能夠:
- 透過學習型分析來監視使用者、實體行為及動作
- 保護儲存於 Active Directory 中的使用者身分識別和認證
- 識別和調查狙殺鏈中可疑的使用者活動及進階攻擊
- 在簡單的時間軸上提供清晰的事件資訊,以進行快速分級
適用於身分識別的 Defender 處理流程
適用於身分識別的 Defender 包含下列元件:
適用於身分識別的 Defender 入口網站:適用於身分識別的 Defender 入口網站可讓您建立適用於身分識別的 Defender 執行個體、顯示接收自適用於身分識別的 Defender 感應器的資料,並且讓您能夠監視、管理及調查網路環境中的威脅。
適用於身分識別的 Defender 感應器:適用於身分識別的 Defender 感應器可以直接安裝於下列伺服器上:
- 網域控制站:感應器會直接監視網域控制站流量,而不需專用伺服器或設定連接埠鏡像。
- Active Directory 同盟服務 (AD FS):感應器會直接監視網路流量和驗證事件。
適用於身分識別的 Defender 雲端服務:適用於身分識別的 Defender 雲端服務會在 Azure 基礎結構上執行,目前部署於美國、歐洲和亞洲。 適用於身分識別的 Defender 雲端服務會連線到 Microsoft 的 Intelligent Security Graph。