возможности и сценарии Microsoft Defender для конечной точки партнеров
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Партнеры могут легко расширить свои существующие предложения безопасности на основе открытой платформы, а также широкий и полный набор API для создания расширений и интеграции с Defender для конечной точки.
API охватывают функциональные области, включая обнаружение, управление, реагирование, уязвимости и широкий спектр вариантов использования аналитики. В зависимости от варианта использования и необходимости партнеры могут выполнять потоковую передачу или запрашивать данные из Defender для конечной точки.
Сценарий 1. Корреляция внешних оповещений и автоматическое исследование и исправление
Defender для конечной точки предоставляет уникальные возможности автоматического исследования и исправления для обеспечения реагирования на инциденты в большом масштабе.
Интеграция возможностей автоматического исследования и реагирования с другими решениями, такими как продукты безопасности сети или другие продукты безопасности конечных точек, помогают устранять оповещения. Интеграция также сводит к минимуму сложности, связанные с корреляцией сигналов сети и устройства, эффективно оптимизируя действия по расследованию и исправлению угроз на устройствах.
Defender для конечной точки добавляет поддержку для этого сценария в следующих формах:
Внешние оповещения могут быть отправлены в Defender для конечной точки и представлены параллельно с дополнительными оповещениями на основе устройств из Defender для конечной точки. Это представление предоставляет полный контекст оповещения с реальным процессом и полной историей атаки.
После создания оповещения сигнал передается всем конечным точкам Defender для конечной точки, защищенным на предприятии. Defender для конечной точки немедленно принимает автоматический ответ или ответ с помощью оператора для устранения оповещения.
Сценарий 2. Интеграция с оркестрацией безопасности и реагированием на автоматизацию (SOAR)
Решения оркестрации могут помочь в создании сборников схем и интеграции полнофункциональной модели данных и действий, которые API Defender для конечной точки предоставляют для оркестрации ответов, таких как запрос данных устройства, активация изоляции устройства, блокировка и разрешение оповещений и т. д.
Сценарий 3. Сопоставление индикаторов
Индикатор компрометации ( IoCs) сопоставления является важной функцией в каждом решении для защиты конечных точек. Эта возможность доступна в Defender для конечной точки и позволяет задавать список индикаторов для предотвращения, обнаружения и исключения сущностей. Можно определить выполняемое действие, а также длительность применения действия.
Приведенные выше сценарии служат примерами расширяемости платформы. Вы не ограничиваетесь примерами, и мы, безусловно, рекомендуем использовать открытую платформу для обнаружения и изучения других сценариев.
Чтобы интегрировать решение в Defender для конечной точки, выполните действия, описанные в статье Стать партнером Microsoft Defender для конечной точки.
Связанная статья
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.