Microsoft Defender 入口網站
Microsoft的統一安全性 SecOps 平臺會在 Microsoft Defender 入口網站中結合Microsoft安全性服務。
入口網站提供單一位置,可監視、管理及設定內部部署和多重雲端資產之間的入侵前和入侵后安全性。
- 入侵前安全性:主動可視化、評估、補救及監視組織安全性狀態,以降低安全性風險和攻擊面。
- 入侵后安全性:持續監視、偵測、調查及回應對組織資產的即時和新興網路安全性威脅。
入口網站服務
Defender 入口網站結合了許多Microsoft安全性服務。
| 服務 | 詳細資料 |
|---|---|
|
Microsoft Defender XDR 偵測並回應網路安全性威脅。 |
Defender 全面偵測回應 包含一套服務,這些服務會在Defender入口網站中結合,以在整個企業中提供統一的威脅防護。 Defender 全面偵測回應 服務會收集、相互關聯及分析端點和裝置、身分識別、電子郵件、應用程式和 OT/IoT 資產的威脅數據和訊號。 在入口網站中,您可以檢閱、調查及回應安全性警示和事件、自動中斷攻擊,以及主動搜捕威脅。 在 Defender 入口網站中深入瞭解 Defender 全面偵測回應。 |
|
Microsoft Sentinel 使用自動化和協調流程大規模收集、分析及管理安全性數據。 |
Microsoft Sentinel 與 Defender 入口網站中的 Defender 全面偵測回應 完全整合,提供其他威脅防護功能,例如攻擊中斷、統一實體和事件,以及 SOC 優化。 如需詳細資訊,請參閱Defender入口網站中的 Microsoft Sentinel。 |
|
Microsoft Defender 威脅情報 將威脅情報整合至SOC作業。 |
Defender 威脅情報平臺可擴充 Defender 全面偵測回應 和 Microsoft Sentinel 中包含的威脅情報功能。 從多個來源收集數據,以提供威脅情報訊號和數據的集區。 安全性小組會使用此數據來了解敵人活動、分析攻擊,以及搜捕安全性威脅。 |
|
Microsoft 安全性暴露風險管理 主動降低安全性風險。 |
使用 安全性暴露風險管理 來減少組織的攻擊面,並修復安全性狀態。 持續探索資產和數據,以取得商務資產間安全性的完整檢視。 透過 安全性暴露風險管理 提供的其他資料內容,您可以清楚地將安全性弱點區域可視化、分析及補救。 |
|
適用於雲端的 Microsoft Defender 保護雲端工作負載。 |
適用於雲 端的Defender可改善多重雲端安全性狀態,並保護雲端工作負載免於遭受威脅。 適用於雲端的 Defender 會整合到 Defender 入口網站,以提供雲端安全性警示的統一檢視,以及用於調查的單一位置。 |
存取入口網站
在 Defender 入口網站的 [ 許可權 ] 頁面中,使用下列方法來設定使用者存取權:
| 方法 | 詳細資料 |
|---|---|
| 全域 Microsoft Entra 角色 | 具有下列全域 Microsoft Entra 角色的帳戶可以存取 Microsoft Defender 全面偵測回應 功能和數據:
|
| 自訂角色 | 允許使用自定義角色存取特定數據、工作和功能。 自定義角色可控制細微的存取,並可與 Microsoft Entra 全域角色一起使用。 |
| 整合 RBAC | 整合角色型訪問控制 (RBAC) 提供許可權管理模型,以控制 Defender 入口網站中的用戶權力,以及入口網站內的服務。 |
Microsoft Sentinel許可權
當您上線至Microsoft的整合 SecOps 平臺時,現有的 Azure RBAC 許可權會用來使用 Defender 入口網站中的 Microsoft Sentinel 功能。
- 管理 Azure 入口網站 中 Microsoft Sentinel 使用者的角色和許可權。
- 任何 Azure RBAC 變更都會反映在 Defender 入口網站中。
如需詳細資訊,請參閱 Microsoft Sentinel 中的角色和許可權。
在入口網站中工作
在 [ 首頁 ] 頁面上,您的檢視取決於訂用帳戶中包含的服務。 存取設定是以您的 入口網站許可權為基礎。
| 功能 | 詳細資料 |
|---|---|
| 首頁 | 首頁提供環境安全性狀態的檢視。 檢閱作用中威脅、有風險的資源,以及所有安全性狀態的摘要。 針對最新的快照集使用儀錶板,並視需要向下切入至詳細數據。 |
| 入口網站通知 | 入口網站通知可讓您隨時掌握重要資訊,包括更新、事件、完成或進行中的動作,以及警告和錯誤。 通知會依其在通知面板中產生的時間排序,並先顯示最新的通知。 如需詳細資訊, 請參閱設定警示通知。 |
| 搜尋 | 當您搜尋入口網站時,結果會依與搜尋字詞相關的區段分類。 搜尋會從入口網站、Microsoft Tech Community,以及從 Microsoft Learn 檔提供結果。 搜尋歷程記錄會儲存在瀏覽器中,可存取 30 天。 |
| 導遊 | 取得管理端點安全性,或管理電子郵件和共同作業安全性的導覽。 |
| 新功能 | 從 Microsoft Defender 全面偵測回應 部落格瞭解最新的更新。 |
| 社群 | 在技術社 群的Microsoft安全性討論空間 中向其他人學習。 |
| 新增卡片 | 自定義 首 頁以取得對您而言最重要的資訊。 |
曝光管理
在 [曝光管理] 中,檢閱安全性狀態、暴露程度和風險的整體狀態。
![Microsoft Defender 入口網站中 [曝光管理] 頁面的螢幕快照](media/overview-defender-portal/exposure-management-page.png#lightbox)
| 功能 | 詳細資料 |
|---|---|
| 曝光管理概觀 | 此儀錶板提供裝置和雲端資源的快速檢視,包括面向因特網的裝置和重要資產。 瞭解重要安全性計劃的表現,並深入瞭解高價值弱點的最上層計量。 取得不同資源類型的曝光層級,並追蹤一段時間的安全性進度。 |
| 受攻擊面 | 使用受攻擊面地圖將曝光數據可視化。 探索地圖上的資源和連線,並向下切入以專注於特定資產。 在 [ 攻擊路徑管理 ] 儀錶板中,檢閱整個組織中攻擊者可能惡意探索的潛在攻擊路徑,以及路徑中的瓶頸點和重要資產。 |
| 曝光深入解析 | 檢閱和探索跨資源和工作負載的匯總安全性狀態數據和深入解析。 評估您最重要的安全性專案的狀態和整備程度,並追蹤一段時間的專案計量。 取得安全性建議以補救暴露問題。 |
| 安全分數 | 根據 安全分數Microsoft檢閱狀態計量。 |
| 資料連接器 | 將第三方產品連線到 安全性暴露風險管理,並要求新的連接器。 |
如需詳細資訊,請參閱 Microsoft 安全性暴露風險管理。
調查和回應
[ 調查和回應 ] 區段提供單一位置來調查安全性事件,以及響應整個企業的威脅。
調查事件和警示
在單一位置和 Defender 入口網站的單一佇列中管理和調查安全性事件。 事件和警示佇列會顯示您服務中目前的安全性事件和警示。
![Microsoft Defender 入口網站中 [事件] 頁面的螢幕快照](media/overview-defender-portal/incidents-page.png#lightbox)
| 功能 | 詳細資料 |
|---|---|
| 事件 | 在 [ 事件 ] 儀錶板上,檢閱最新事件的清單,並排定標示為高嚴重性的事件優先順序。 每個事件群組相互關聯的警示,以及構成攻擊的相關聯數據。 向下切入事件以取得完整的攻擊案例,包括相關聯的警示、裝置、使用者、調查和辨識項的相關信息。 |
| 提醒 | 在 [ 警示] 儀錶板中,檢閱警示。 警示是入口網站服務為了回應威脅偵測活動而發出的訊號。 統一警示佇列會顯示過去七天內的新警示和進行中警示,其中最新的警示位於頂端。 篩選警示以視需要進行調查。 |
如需詳細資訊,請參閱 Microsoft Defender 入口網站中的事件和警示。
搜捕威脅
搜捕區域可讓您主動檢查安全性事件和數據,以找出已知和潛在的威脅。
![Microsoft Defender 入口網站中 [輔助搜捕] 頁面的螢幕快照](media/overview-defender-portal/advanced-hunting-page.png#lightbox)
| 功能 | 詳細資料 |
|---|---|
| 進階搜捕 | 探索和查詢最多 30 天的原始數據。 您可以使用引導式查詢工具進行查詢、使用範例查詢,或使用 Kusto 查詢語言 (KQL) 來建置您自己的查詢。 |
| 自訂偵測規則 | 建立自定義偵測規則,以主動監視和回應事件和系統狀態。 使用自定義偵測規則來觸發安全性警示或自動響應動作。 |
如需詳細資訊,請參閱使用 進階搜捕主動搜捕威脅 和 自定義偵測概觀。
檢閱擱置的威脅補救
威脅防護活動會產生補救威脅的動作。 動作可以自動化或手動。 控制中心提供需要核准或手動介入的 動作。
![Microsoft Defender 入口網站中 [控制中心] 頁面的螢幕快照](media/overview-defender-portal/action-center-page.png#lightbox)
| 功能 | 詳細資料 |
|---|---|
| 重要訊息中心 | 檢閱需要注意的動作清單。 一次核准或拒絕一個動作,或大量核准或拒絕動作。 您可以檢閱動作歷程記錄以追蹤補救。 |
| 提交 | 將可疑的垃圾郵件、URL、電子郵件問題等提交給Microsoft。 |
合作夥伴目錄
[ 合作夥伴類別目錄] 區段提供Defender合作夥伴的相關信息。
![Microsoft Defender 入口網站中 [技術合作夥伴] 頁面的螢幕快照](media/overview-defender-portal/technology-partners-page.png#lightbox)
Defender 入口網站支援下列類型的合作夥伴整合:
- 第三方整合 可協助保護具有有效威脅防護的使用者。
- 增強偵測、調查和威脅情報功能的專業服務。
威脅情報
在入口網站的 [ 威脅情報 ] 區段中,直接瞭解作用中和進行中的威脅活動,並存取 Defender 威脅情報平臺所提供的威脅情報資訊。
![Microsoft Defender 入口網站中 [威脅分析] 頁面的螢幕快照](media/overview-defender-portal/threat-analytics-page.png#lightbox)
| 功能 | 詳細資料 |
|---|---|
| 威脅分析 | 了解組織中目前相關的威脅。 評估威脅嚴重性、向下切入至特定威脅報告,以及要採取的身分識別動作。 有不同類型的威脅分析報告可供使用。 |
| Intel 設定檔 | 檢閱威脅執行者、工具和已知弱點所組織的策劃威脅情報內容。 |
| Intel Explorer | 檢閱威脅情報資訊,並向下切入以搜尋和調查。 |
| Intel 專案 | 檢閱並建立專案,以組織調查的相關指標和入侵指標。 專案包含相關聯的成品,以及名稱、描述、共同作業者和監視配置檔的詳細歷程記錄。 |
如需詳細資訊,請參閱 威脅分析。
資產
[ 資產] 頁面提供已探索和受保護資產的統一檢視,包括裝置、使用者、信箱和應用程式。 檢閱每種類型的資產總數,並向下切入至特定資產詳細數據。
![Microsoft Defender 入口網站中 [裝置清查] 頁面的螢幕快照](media/overview-defender-portal/device-inventory-page.png#lightbox)
| 功能 | 詳細資料 |
|---|---|
| 裝置 | 在 [ 裝置清查 ] 頁面上,取得您可存取之每個租使用者中探索到的裝置概觀。 依類型檢閱裝置,並著重於高風險或重要裝置。 藉由新增內容的標記,以邏輯方式將裝置分組,並排除您不想要評估的裝置。 開始裝置的自動化調查。 |
| 身分識別 | 取得使用者和帳戶清查的摘要。 |
Microsoft Sentinel
在 Defender 入口網站中存取 Microsoft Sentinel 功能。
![Microsoft Defender 入口網站中 [Sentinel 搜尋] 頁面的螢幕快照](media/overview-defender-portal/sentinel-search-page.png#lightbox)
| 功能 | 詳細資料 |
|---|---|
| 搜尋 | 跨 記錄搜尋,並存取過去的搜尋。 |
| 威脅管理 | 使用 活頁簿將連接的數據可視化及監視。 調查事件 ,並 使用實體分類警示。 主動 搜捕威脅 ,並 使用筆記本 來進行調查。 將威脅情報整合 到威脅偵測中,並在分析和事件中 使用MITRE ATT&CK 架 構。 |
| 內容管理 | 從內容中 樞探索並安裝現成 (OOTB) 內容。 使用 Microsoft Sentinel 存放庫連線到外部來源系統,以持續整合和傳遞 (CI/CD) ,而不是手動部署和更新自定義內容。 |
| 組態 | 使用 數據連接器內嵌數據。 建立要相互關聯及組織數據源的監看清單。 設定分析規則 來查詢和分析收集的數據。 自動化 威脅回應。 |
如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel 和 Microsoft Sentinel。
身分識別
在 Defender 入口 網站的 [身分識別] 區段中,監視使用者和帳戶健康情況,並使用適用於身分識別的 Defender 主動管理身分識別相關的風險。
![Microsoft Defender 入口網站中 [身分識別儀錶板] 頁面的螢幕快照](media/overview-defender-portal/identity-dashboard.png#lightbox)
| 功能 | 詳細資料 |
|---|---|
| ITDR 儀錶板 | 在 [身分識別 威脅偵測和回應] (ITDR) 儀錶板上,取得有關使用者和帳戶安全性狀態的深入解析和實時數據。 儀錶板包含適用於身分識別的Defender部署的相關信息、高度特殊許可權身分識別的相關信息,以及身分識別相關事件的相關信息。 如果適用於身分識別的 Defender 工作區發生問題,則會在 [ 健康情況問題] 頁面上引發。 |
| 健康情況問題 | 任何適用於身分識別的 Defender 全域或感測器型健康情況問題都會顯示在此頁面上。 |
| 工具 | 存取可協助您管理適用於身分識別的Defender的常見工具。 |
如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender。
端點
在入口網站的 [端點] 區段中,使用 Microsoft Defender 弱點管理 來監視和管理資產弱點。
| 功能 | 詳細資料 |
|---|---|
| 弱點管理 | 檢閱儀錶板中的弱點狀態。 根據裝置的弱點評估取得建議,並視需要進行補救。 檢閱您的組織 軟體清查,包括易受攻擊的元件、憑證和硬體。 檢閱 CVE 和安全性諮詢。 檢閱 事件時間軸 ,以判斷弱點的影響。 使用 安全性基準評量 來根據安全性基準評定裝置。 |
| 連接的應用程式 | 取得連線到適用於端點的Defender Microsoft Entra 應用程式的相關信息。 |
| API 瀏覽器 | 使用 API 總管 來建構及執行適用於端點的 Defender API 端點的 API 查詢、測試和傳送要求。 |
如需詳細資訊,請參閱 Microsoft Defender 弱點管理 和 適用於端點的 Microsoft Defender。
Email和共同作業
在 [Email & 共同作業] 區段中,使用 適用於 Office 365 的 Microsoft Defender 監視、調查及管理電子郵件和共同作業應用程式的安全性威脅與回應。
![Microsoft Defender 入口網站中 [Email 調查] 頁面的螢幕快照](media/overview-defender-portal/email-investigations.png#lightbox)
| 功能 | 詳細資料 |
|---|---|
| 調查 | 執行並檢閱自動化調查。 |
| 總管 | 搜捕、調查及探索電子郵件和文件的威脅。 向下切入到特定類型的威脅,包括惡意代碼、網路釣魚和營銷活動。 |
| 檢閱 | 管理隔離的專案和受限制的寄件者。 |
| 活動 | 分析對貴組織的協調攻擊。 |
| 威脅追蹤器 | 檢閱已儲存和追蹤的查詢,並遵循趨勢營銷活動。 |
| 原則和規則 | 設定和管理安全策略以防範威脅,並接收活動警示。 |
如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender。
雲端應用程式
在 [雲端應用程式] 區段中,檢閱安全性,以使用 Microsoft Defender for Cloud Apps 將風險和暴露於雲端應用程式的風險降到最低。
| 功能 | 詳細資料 |
|---|---|
| 雲端探索 | 使用 探索報告取得雲端應用程式安全性的概觀。 檢閱範例報表,並建立新的報表。 |
| 雲端應用程式目錄 | 取得已知雲端應用程式及其相關風險的概觀。 您可以視需要批准和取消批准應用程式。 |
| OAuth 應用程式 | 取得 OAuth 應用程式的可見度。 檢閱應用程式,並篩選設定以向下切入。 |
| 活動記錄 | 依雲端名稱、IP 位址和相關裝置檢閱已連線的 應用程式活動 。 |
| 治理記錄 | 檢閱 治理動作。 |
| 原則 | 設定雲端應用程式的安全策略。 |
如需詳細資訊,請參閱 Microsoft Defender for Cloud Apps。
SOC 優化
在 SOC優化 頁面中,加強安全性控制以關閉威脅涵蓋範圍間距,並根據高精確度和可採取動作的建議來強化數據擷取率。 SOC 優化會根據您目前的涵蓋範圍和威脅環境,針對您的環境量身打造。
![Microsoft Defender 入口網站中 [SOC 優化] 頁面的螢幕快照](media/overview-defender-portal/soc-optimization-page.png#lightbox)
如需詳細資訊,請參閱 優化您的安全性作業。
報表
在 [ 報告] 頁面中,檢閱所有區域、資產和工作負載的安全性報告。 可用的報告取決於您可存取的安全性服務。
![Microsoft Defender 入口網站中 [報表] 頁面的螢幕快照](media/overview-defender-portal/reports-page.png#lightbox)
試驗
在試 用 版頁面中,檢閱試用版解決方案,其設計目的是協助您決定升級和購買。
![Microsoft Defender 入口網站中 [安全性試用] 頁面Microsoft螢幕快照](media/overview-defender-portal/trials-page.png#lightbox)