Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Единая платформа SecOps корпорации Майкрософт для обеспечения безопасности объединяет службы безопасности Майкрософт на портале Microsoft Defender.
Портал предоставляет единое расположение для мониторинга, управления и настройки безопасности перед взломом и после нарушения безопасности в локальных и многооблачных ресурсах.
- Безопасность до нарушения безопасности. Упреждающая визуализация, оценка, исправление и мониторинг состояния безопасности организации для снижения рисков безопасности и направлений атак.
- Безопасность после нарушения безопасности. Непрерывно отслеживайте, выявляйте, исследуйте и реагируйте на угрозы кибербезопасности в реальном времени и возникающие угрозы кибербезопасности для ресурсов организации.
Службы портала
Портал Defender объединяет в себе множество служб безопасности Майкрософт.
| Служба | Сведения |
|---|---|
|
Microsoft Defender XDR Обнаружение угроз кибербезопасности и реагирование на них. |
Defender XDR включает набор служб, объединенных на портале Defender для обеспечения единой защиты от угроз на предприятии. Defender XDR службы собирают, сопоставляют и анализируют данные об угрозах и сигналы для конечных точек и устройств, удостоверений, электронной почты, приложений и ресурсов OT/IoT. На портале можно просматривать оповещения и инциденты системы безопасности и реагировать на них, автоматически прерывать атаки и упреждающе искать угрозы. Дополнительные сведения о Defender XDR см. на портале Defender. |
|
Microsoft Sentinel Собирайте, анализируйте данные безопасности и управляйте ими в большом масштабе с помощью автоматизации и оркестрации. |
Microsoft Sentinel полностью интегрируется с Defender XDR на портале Defender, предоставляя дополнительные возможности защиты от угроз, такие как нарушение атак, унифицированные сущности и инциденты, а также оптимизация SOC. Дополнительные сведения см. в разделе Microsoft Sentinel на портале Defender. |
|
Аналитика угроз Microsoft Defender Интеграция аналитики угроз в операции SOC. |
Платформа аналитики угроз Defender расширяет возможности аналитики угроз, которые включены в Defender XDR и Microsoft Sentinel. Соберите данные из нескольких источников, чтобы предоставить пул сигналов и данных аналитики угроз. Группы безопасности используют эти данные для анализа действий злоумышленников, анализа атак и поиска угроз безопасности. |
|
Управление рисками Microsoft Security Упреждающее снижение рисков безопасности. |
Используйте Управление рисками, чтобы уменьшить количество направлений атак организации и исправить состояние безопасности. Непрерывное обнаружение ресурсов и данных для получения комплексного представления о безопасности в бизнес-ресурсах. С помощью дополнительного контекста данных, который предоставляет Управление рисками, вы можете четко визуализировать, анализировать и устранять слабые области безопасности. |
|
Microsoft Defender для облака Защита облачных рабочих нагрузок. |
Defender для облака улучшает состояние многооблачной безопасности и защищает облачные рабочие нагрузки от угроз. Defender для облака интегрируется с порталом Defender для предоставления единого представления оповещений системы безопасности в облаке и единого расположения для исследований. |
Доступ к порталу
На странице Разрешения на портале Defender используйте следующие методы для настройки доступа пользователей:
| Методы | Сведения |
|---|---|
| Роли глобального Microsoft Entra | Учетные записи со следующими глобальными ролями Microsoft Entra могут получать доступ к Microsoft Defender XDR функциям и данным:
|
| Пользовательские роли | Разрешить доступ к определенным данным, задачам и функциям с помощью пользовательских ролей. Пользовательские роли управляют детальным доступом и могут использоваться вместе с Microsoft Entra глобальными ролями. |
| Унифицированный RBAC | Единое управление доступом на основе ролей (RBAC) предоставляет модель управления разрешениями для управления разрешениями пользователей на портале Defender и между службами на портале. |
разрешения Microsoft Sentinel
При подключении к единой платформе SecOps корпорации Майкрософт существующие разрешения Azure RBAC используются для работы с Microsoft Sentinel функциями на портале Defender.
- Управление ролями и разрешениями для Microsoft Sentinel пользователей в портал Azure.
- Все изменения Azure RBAC отражаются на портале Defender.
Дополнительные сведения см. в разделе Роли и разрешения в Microsoft Sentinel.
Работа на портале
На домашней странице представление определяется службами, включенными в подписки. Параметры доступа зависят от разрешений портала.
| Функция | Сведения |
|---|---|
| Домашняя страница | На домашней странице отображается состояние безопасности вашей среды. Просмотрите активные угрозы, ресурсы, подверженные риску, и сводку по состоянию безопасности. Используйте панель мониторинга для актуальной snapshot и при необходимости детализировать подробные сведения. |
| Уведомления портала | Уведомления портала позволяют получать актуальные сведения, включая обновления, события, выполненные или выполняемые действия, а также предупреждения и ошибки. Уведомления сортируются по времени их создания на панели уведомлений, при этом в первую очередь отображается последнее. Дополнительные сведения см. в разделе Настройка уведомлений об оповещениях. |
| Поиск | При поиске на портале результаты классифицируются по разделам, связанным с вашими условиями поиска. Поиск предоставляет результаты на портале, из Microsoft Tech Community и из документации Microsoft Learn. Журнал поиска хранится в браузере и доступен в течение 30 дней. |
| Экскурсия | Получите интерактивный обзор по управлению безопасностью конечных точек или управлению безопасностью электронной почты и совместной работы. |
| Новые возможности | Узнайте о последних обновлениях в блоге Microsoft Defender XDR. |
| Сообщество | Учитесь у других пользователей в местах обсуждения безопасности Майкрософт в Tech Community. |
| Добавление карточек | Настройте домашнюю страницу для получения наиболее важных для вас сведений. |
Управление экспозицией
В разделе Управление экспозицией просмотрите общее состояние состояния безопасности, воздействия и риска.
| Функция | Сведения |
|---|---|
| Общие сведения об управлении экспозицией | Эта панель мониторинга позволяет быстро просмотреть устройства и облачные ресурсы, включая устройства с выходом в Интернет и критически важные ресурсы. Узнайте, насколько хорошо выполняются ваши ключевые инициативы по обеспечению безопасности, и подробно изучите основные метрики для ценных уязвимостей. Получение уровней уязвимости для различных типов ресурсов и отслеживание хода выполнения безопасности с течением времени. |
| Области атак | Визуализация данных о воздействии с помощью карты направлений атаки. Изучите ресурсы и подключения на карте и выполните детализацию, чтобы сосредоточиться на конкретных ресурсах. На панели мониторинга управления путями атаки просмотрите потенциальные пути атаки в организации, которые могут использовать злоумышленники, а также точки задуша и критически важные ресурсы в пути. |
| Аналитика экспозиции | Просмотрите и изучите агрегированные данные о безопасности и аналитические сведения о ресурсах и рабочих нагрузках. Оцените состояние и готовность к наиболее важным проектам безопасности и отслеживайте метрики проекта с течением времени. Получите рекомендации по безопасности для устранения проблем с уязвимостью. |
| Оценка безопасности | Просмотрите метрики состояния на основе оценки безопасности Майкрософт. |
| Соединители данных | Подключите сторонние продукты к Управление рисками и запросите новые соединители. |
Дополнительные сведения см. в разделе Управление рисками Microsoft Security.
Исследование и реагирование
Раздел "Исследование и реагирование " предоставляет единое расположение для изучения инцидентов безопасности и реагирования на угрозы на предприятии.
Исследование инцидентов и оповещений
Управление инцидентами безопасности и их расследование в одном расположении и из одной очереди на портале Defender. В очередях инцидентов и оповещений отображаются текущие инциденты безопасности и оповещения в службах.
| Функция | Сведения |
|---|---|
| Инциденты | На панели мониторинга Инциденты просмотрите список последних инцидентов и приорите приоритеты тех, которые отмечены как инциденты с высоким уровнем серьезности. Каждая группа инцидентов связана с оповещениями и связанными данными, которые составляют атаку. Детализация инцидента, чтобы получить полную историю атаки, включая сведения о связанных оповещениях, устройствах, пользователях, расследованиях и доказательствах. |
| Оповещения | На панели мониторинга Оповещений просмотрите оповещения. Оповещения — это сигналы, выдаваемые службами портала в ответ на действия по обнаружению угроз. В очереди унифицированных оповещений отображаются новые и неосуществимые оповещения за последние семь дней с самыми последними оповещениями в верхней части. Фильтрация оповещений для изучения при необходимости. |
Дополнительные сведения см. в разделе Инциденты и оповещения на портале Microsoft Defender.
Охота на угрозы
Область охоты позволяет упреждающе проверять события безопасности и данные для обнаружения известных и потенциальных угроз.
| Функция | Сведения |
|---|---|
| Расширенная охота | Изучите необработанные данные и запрашивайте их в течение 30 дней. Вы можете выполнять запросы с помощью средства интерактивного запроса, использовать примеры запросов или использовать язык запросов Kusto (KQL) для создания собственных запросов. |
| Правила настраиваемого обнаружения | Создание настраиваемых правил обнаружения для упреждающего мониторинга событий и состояния системы и реагирования на них. Используйте настраиваемые правила обнаружения для активации оповещений системы безопасности или действий автоматического реагирования. |
Дополнительные сведения см. в разделах Упреждающая охота на угрозы с помощью расширенной охоты и Обзор пользовательских обнаружений.
Просмотр ожидающих исправлений угроз
Действия по защите от угроз приводят к действиям по устранению угроз. Действия могут выполняться автоматически или вручную. Действия, требующие утверждения или вмешательства вручную, доступны в центре уведомлений.
| Функция | Сведения |
|---|---|
| Центр уведомлений | Просмотрите список действий, требующих внимания. Утверждение или отклонение действий по одному за раз или в пакетном режиме. Вы можете просмотреть журнал действий для отслеживания исправлений. |
| сданные работы. | Отправляйте в корпорацию Майкрософт подозрительные спам, URL-адреса, проблемы с электронной почтой и многое другое. |
Дополнительные сведения см. в разделах Автоматизированное исследование и реагирование и Центр уведомлений.
Каталог партнеров
В разделе Каталог партнеров содержатся сведения о партнерах Defender.
Портал Defender поддерживает следующие типы интеграции партнеров:
- Интеграция сторонних разработчиков, помогающая защитить пользователей с помощью эффективной защиты от угроз.
- Профессиональные службы , которые расширяют возможности обнаружения, исследования и аналитики угроз.
Аналитика угроз
В разделе Аналитика угроз на портале получите прямую видимость активных и текущих кампаний по угрозам, а также получите доступ к информации аналитики угроз, предоставляемой платформой Аналитики угроз Defender.
| Функция | Сведения |
|---|---|
| Аналитика угроз | Узнайте, какие угрозы в настоящее время актуальны в вашей организации. Оценка серьезности угроз, детализация конкретных отчетов об угрозах и действия по идентификации. Доступны различные типы отчетов по аналитике угроз. |
| Профили аналитики | Просмотрите курированное содержимое аналитики угроз, упорядоченное по субъектам угроз, инструментам и известным уязвимостям. |
| Intel Обозреватель | Просмотрите сведения об аналитике угроз и детализируйте поиск и исследование. |
| Проекты аналитики | Анализ и создание проектов для организации индикаторов интереса и индикаторов компрометации из исследования. Проект включает связанные артефакты и подробный журнал имен, описаний, участников совместной работы и профилей мониторинга. |
Дополнительные сведения см. в статье Аналитика угроз.
Ресурсы
На странице Активы представлено единое представление обнаруженных и защищенных ресурсов, включая устройства, пользователей, почтовые ящики и приложения. Просмотрите общее количество ресурсов каждого типа и детализировать сведения о конкретных ресурсах.
| Функция | Сведения |
|---|---|
| Устройства | На странице Инвентаризация устройств получите общие сведения об обнаруженных устройствах в каждом клиенте, к которому у вас есть доступ. Просмотрите устройства по типам и сосредоточьтесь на устройствах с высоким риском или критических устройствах. Группируйте устройства логически, добавив теги для контекста, и исключите устройства, которые вы не хотите оценивать. Запустите автоматическое исследование для устройств. |
| Удостоверения | Получите сводку инвентаризации пользователей и учетных записей. |
Дополнительные сведения см. в разделах Страница сущности устройства и Страница сущности Пользователя.
Microsoft Sentinel
Получите доступ к возможностям Microsoft Sentinel на портале Defender.
| Функция | Сведения |
|---|---|
| Поиск | Поиск по журналам и доступ к прошлым поискам. |
| Управление угрозами | Визуализация и мониторинг подключенных данных с помощью книг. Анализ инцидентов и классификация оповещений с помощью сущностей. Упреждающее поиск угроз и использование записных книжек для проведения расследований. Интегрируйте аналитику угроз в обнаружение угроз и используйте платформу MITRE ATT&CK в аналитике и инцидентах. |
| Управление содержимым | Обнаружение и установка исходного содержимого (OOTB) из центра содержимого. Используйте репозитории Microsoft Sentinel для подключения к внешним исходным системам для непрерывной интеграции и доставки (CI/CD), а не развертывать и обновлять пользовательское содержимое вручную. |
| Конфигурация | Прием данных с помощью соединителей данных. Создание списков отслеживания для сопоставления и упорядочения источников данных. Настройте правила аналитики для запроса и анализа собранных данных. Автоматизация реагирования на угрозы. |
Дополнительные сведения см. в разделе Microsoft Sentinel и Microsoft Sentinel на портале Microsoft Defender.
Удостоверения
В разделе Удостоверения портала Defender отслеживайте работоспособность пользователей и учетных записей и заблаговременно управляйте рисками, связанными с удостоверениями, с помощью Defender для удостоверений.
| Функция | Сведения |
|---|---|
| Панель мониторинга ITDR | На панели мониторинга Обнаружения удостоверений и реагирования на угрозы (ITDR) получите аналитические сведения и данные в режиме реального времени о состоянии безопасности пользователей и учетных записей. Панель мониторинга содержит сведения о развертывании Defender для удостоверений, сведения о удостоверениях с высоким уровнем привилегий и сведения об инцидентах, связанных с удостоверениями. Если возникла проблема с рабочей областью Defender для удостоверений, она возникает на странице Проблемы работоспособности. |
| Проблемы с работоспособностью | На этой странице отображаются все глобальные проблемы работоспособности Defender для удостоверений или на основе датчиков. |
| Средства | Получите доступ к общим средствам для управления Defender для удостоверений. |
Дополнительные сведения см. в разделе Microsoft Defender для удостоверений.
Конечные точки
В разделе Конечные точки портала отслеживайте уязвимости ресурсов и управляйте ими с помощью Управление уязвимостями Microsoft Defender.
| Функция | Сведения |
|---|---|
| Управление уязвимостями | Проверьте состояние уязвимости на панели мониторинга. Получите рекомендации на основе оценки уязвимостей устройств и исправьте их по мере необходимости. Проверьте инвентаризацию программного обеспечения организации, включая уязвимые компоненты, сертификаты и оборудование. Ознакомьтесь с cvEs и рекомендациями по безопасности. Просмотрите временная шкала события, чтобы определить влияние уязвимостей. Используйте оценку базовых показателей безопасности для оценки устройств по тестам безопасности. |
| Подключенные приложения | Получите сведения о приложениях Microsoft Entra, подключенных к Defender для конечной точки. |
| Обозреватель API | Используйте обозреватель API для создания и выполнения запросов API, тестирования и отправки запросов для доступных конечных точек API Defender для конечной точки. |
Дополнительные сведения см. в разделе Управление уязвимостями Microsoft Defender и Microsoft Defender для конечной точки.
Email и совместная работа
В разделе Email & совместной работы отслеживайте, изучайте угрозы безопасности и ответы на сообщения электронной почты и приложения для совместной работы, а также управляйте ими с помощью Microsoft Defender для Office 365.
| Функция | Сведения |
|---|---|
| Исследования | Выполнение и проверка автоматизированных исследований. |
| Обозреватель | Поиск, исследование и изучение угроз электронной почты и документов. Подробные сведения о конкретных типах угроз, включая вредоносные программы, фишинг и кампании. |
| Проверка | Управление элементами, помещенными в карантин, и ограниченными отправителями. |
| Кампании | Анализ скоординированных атак на организацию. |
| Средство отслеживания угроз | Просмотрите сохраненные и отслеживаемые запросы и следите за популярными кампаниями. |
| Политики и правила | Настройка политик безопасности и управление ими для защиты от угроз и получения оповещений о действиях. |
Дополнительные сведения см. в разделе Microsoft Defender для Office 365.
Облачные приложения
В разделе Облачные приложения просмотрите сведения о безопасности, чтобы свести к минимуму риски и подверженность облачным приложениям с помощью Microsoft Defender for Cloud Apps.
| Функция | Сведения |
|---|---|
| Обнаружение в облаке | Общие сведения об облачной безопасности приложений с помощью отчетов об обнаружении. Просмотрите пример отчета и создайте новые отчеты. |
| Каталог облачных приложений | Получите общие сведения об известных облачных приложениях и связанных с ними рисках. При необходимости вы можете санкционировать и несанкционированные приложения. |
| Приложения OAuth | Получите видимость приложений OAuth. Просмотрите приложения и отфильтруйте параметры для детализации. |
| Журнал действий | Проверьте действия подключенных приложений по имени облака, IP-адресу и связанным устройствам. |
| Журнал управления | Просмотрите действия по управлению. |
| Политики | Настройка политик безопасности для облачных приложений. |
Дополнительные сведения см. в разделе Microsoft Defender for Cloud Apps.
Оптимизация SOC
На странице оптимизации SOC ужесточите элементы управления безопасностью, чтобы закрыть пробелы в покрытии угроз, а также ужесточите частоту приема данных на основе высокой точности и практических рекомендаций. Оптимизация SOC адаптирована к вашей среде и основана на текущем покрытии и ландшафте угроз.
Дополнительные сведения см. в статье Оптимизация операций безопасности.
Отчеты
На странице Отчеты просмотрите отчеты о безопасности во всех областях, ресурсах и рабочих нагрузках. Доступные отчеты зависят от служб безопасности, к которых у вас есть доступ.
Испытания
На странице Пробные версии просмотрите пробные решения, предназначенные для принятия решений об обновлениях и покупках.
