在 Defender 入口網站中 Microsoft Defender 全面偵測回應
Microsoft Defender 全面偵測回應 在Microsoft整合的 SecOps 平臺中,統一併協調各種資產的威脅防護,包括裝置和端點、身分識別、電子郵件、Microsoft 365 服務和 SaaS 應用程式。
Defender 全面偵測回應 合併跨資產的威脅訊號和數據,讓您可以從 Microsoft Defender 入口網站中的單一位置監視和管理安全性威脅。
Defender 全面偵測回應 結合多個Microsoft安全性服務。
| 服務 | 詳細資料 |
|---|---|
| 使用 適用於 Office 365 的 Defender 來防範電子郵件威脅 | 協助保護電子郵件和 Office 365 資源。 |
| 使用適用於端點的 Defender 保護裝置 | 為裝置提供預防性保護、入侵後偵測,以及自動化調查和回應。 |
| 使用適用於身分識別的 Defender 保護 Active Directory | 使用 Active Directory 訊號來識別、偵測及調查進階威脅、遭入侵的身分識別,以及惡意內部人員動作。 |
| 使用 Defender for Cloud Apps 保護 SaaS 雲端應用程式 | 為 SaaS 和 PaaS 雲端應用程式提供深度可見度、強式數據控制,以及增強的威脅防護。 |
| 使用 Microsoft Sentinel 來防範廣泛的威脅 | Microsoft Sentinel 與 Defender 全面偵測回應 緊密整合,將這兩種產品的功能結合成統一的安全性平臺,以進行威脅偵測、調查、搜捕和回應。 |
偵測威脅
Defender 全面偵測回應 提供持續性威脅監視。 偵測到威脅時,會建立 安全性警示 。 Defender 會自動將相關的警示和安全性訊號匯總成 安全性事件。
事件會定義攻擊的完整圖片。 事件可協助SOC小組了解攻擊並更快速地回應。 事件會收集相關的警示、攻擊範圍和進度的相關信息,以及涉及攻擊的實體和資產。
Defender 入口網站中的 單一事件佇列 可讓您完整瞭解最新的警示和事件,以及歷程記錄數據。 您可以搜尋和查詢事件佇列,並根據嚴重性排定回應的優先順序。
![Microsoft Defender 入口網站中 [事件] 頁面的螢幕快照](media/defender-xdr-portal/incidents-page.png#lightbox)
偵測橫向移動攻擊
適用於 XDR 的 Defender 包含偵測人為操作橫向行動的 防禦功能 ,通常用於勒索軟體和電子郵件洩露等常見攻擊。
摱取功能會產生譯碼資產。 當攻擊者與這些資產互動時,增強功能會引發高信賴度警示,可在入口網站的 [警示] 頁面上檢視。
自動中斷威脅
Defender 全面偵測回應 使用自動攻擊中斷來包含進行中的攻擊、限制攻擊影響,以及提供更多時間讓安全性小組回應。
自動中斷依賴由跨數百萬個 Defender 產品訊號的事件相互關聯所產生的高精確度訊號,以及來自Microsoft安全性研究小組的持續調查見解,以確保高訊號對雜訊比率。
自動中斷會在偵測到攻擊時使用 Defender 全面偵測回應 回應動作。 回應包括包含或停用資產。
攻擊中斷會在 Defender 全面偵測回應 事件佇列和特定事件頁面上清楚地標示。
搜捕威脅
主動式搜捕會檢查並調查安全性事件和數據,以找出已知和潛在的安全性威脅。
Defender 全面偵測回應 在Defender入口網站中提供威脅搜捕功能。
進階搜捕:SOC 小組可以在入口網站中使用 Kusto 查詢語言 (KQL) 的進階搜捕,建立適用於整個企業之威脅搜捕的自定義查詢和規則。 分析師可以跨 Defender 全面偵測回應 數據源搜尋入侵、異常和可疑活動的指標。
如果您不熟悉 KQL,Defender 全面偵測回應 提供以可視化方式建立查詢和預先定義查詢範本的引導模式。
自定義偵測規則:除了進階搜捕之外,SOC 小組還可以建立 自定義偵測規則 ,以主動監視和回應事件和系統狀態。 規則可以觸發警示或自動回應動作。
回應威脅
適用於 XDR 的 Defender 提供 自動化調查和回應 功能。 自動化可減少SOC小組必須手動處理的警示數量。
當警示建立事件時,自動化調查會產生判斷是否找到威脅的決策。 識別出可疑和惡意威脅時,補救動作包括將檔案傳送至隔離區、停止進程、封鎖 URL 或隔離裝置。
您可以在入口網站的首頁中檢視自動化調查和回應的摘要。 擱置中的補救動作會在入口網站控制中心中處理。