Microsoft Defender for Identity w portalu Microsoft Defender
Uwaga
Chcesz skorzystać z usługi Microsoft Defender XDR? Dowiedz się więcej o tym, jak można oceniać i pilotować usługę Microsoft Defender XDR.
Dotyczy:
Microsoft Defender for Identity jest teraz częścią portalu Microsoft Defender, domu do monitorowania zabezpieczeń i zarządzania nimi w tożsamościach, danych, urządzeniach, aplikacjach i infrastrukturze firmy Microsoft. Portal Microsoft Defender umożliwia administratorom zabezpieczeń wykonywanie zadań zabezpieczeń w jednej lokalizacji, co upraszcza przepływy pracy i integruje funkcje innych usług Microsoft Defender XDR.
Microsoft Defender for Identity współtworzy informacje dotyczące tożsamości w zdarzeniach i alertach prezentowanych przez portal Microsoft Defender. Te informacje są kluczem do udostępniania kontekstu i korelowania alertów z innych produktów w ramach Microsoft Defender XDR.
Konwergentne środowiska w portalu Microsoft Defender
Portal Microsoft Defender łączy funkcje zabezpieczeń, które chronią, wykrywają, badają i reagują na zagrożenia związane z pocztą e-mail, współpracą, tożsamością i urządzeniem, a teraz obejmują wszystkie funkcje dostępne w klasycznym portalu usługi Defender for Identity.
Chociaż umieszczanie danych może różnić się od klasycznego portalu usługi Defender for Identity, dane są teraz zintegrowane ze stronami portalu Microsoft Defender, dzięki czemu można wyświetlać dane we wszystkich monitorowanych jednostkach.
W poniższych sekcjach opisano ulepszone funkcje usługi Defender for Identity znalezione w portalu Microsoft Defender.
Uwaga
Klienci korzystający z klasycznego portalu usługi Defender for Identity są teraz automatycznie przekierowywani do portalu Microsoft Defender bez możliwości powrotu do portalu klasycznego.
Konfiguracja i postawa
| Obszar | Opis |
|---|---|
| Wykluczenia globalne | Wykluczenia globalne umożliwiają definiowanie niektórych jednostek, takich jak adresy IP, urządzenia lub domeny, które mają być wykluczone we wszystkich wykrywaniach tożsamości w usłudze Defender. Jeśli na przykład wykluczasz tylko urządzenie, wykluczenie dotyczy tylko wykrywania, które ma identyfikację urządzenia w ramach wykrywania. Aby uzyskać więcej informacji, zobacz Globalne wykluczone jednostki. |
| Zarządzanie kontami akcji i usług katalogowych | Możesz odpowiedzieć użytkownikom, których bezpieczeństwo zostało naruszone, wyłączając ich konta lub resetując ich hasło. Podczas wykonywania jednej z tych akcji portal Microsoft Defender jest domyślnie skonfigurowany do korzystania z lokalnego konta systemowego. W związku z tym należy skonfigurować ustawienia akcji i konta usługi katalogowej tylko wtedy, gdy chcesz mieć większą kontrolę i zdefiniować inne konto użytkownika do wykonywania akcji korygowania użytkowników. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity konta akcji. |
| Role uprawnień niestandardowych | Portal Microsoft Defender obsługuje niestandardowe role uprawnień. Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR kontroli dostępu opartej na rolach (RBAC) |
| Wskaźnik bezpieczeństwa Microsoft | Ocena stanu zabezpieczeń usługi Defender for Identity jest dostępna w obszarze Wskaźnik bezpieczeństwa firmy Microsoft. Każda ocena to raport do pobrania z instrukcjami dotyczącymi użycia i narzędzi do tworzenia planu działania na potrzeby korygowania lub rozwiązywania problemu. Filtruj wskaźnik bezpieczeństwa firmy Microsoft według tożsamości , aby wyświetlić oceny usługi Defender for Identity. Aby uzyskać więcej informacji, zobacz oceny stanu zabezpieczeń Microsoft Defender for Identity. |
| API | Użyj dowolnego z następujących interfejsów API Microsoft Defender XDR z usługą Defender for Identity: - Wykonywanie zapytań o działania za pośrednictwem interfejsu API - Zarządzanie alertami zabezpieczeń za pośrednictwem interfejsu API - Stream alertów zabezpieczeń i działań w usłudze Microsoft Sentinel Porada: portal Microsoft Defender przechowuje zaawansowane dane wyszukiwania zagrożeń tylko przez 30 dni. Jeśli potrzebujesz dłuższych okresów przechowywania, przesyłaj strumieniowo działania do usługi Microsoft Sentinel lub innego systemu zarządzania informacjami o zabezpieczeniach i zdarzeniami partnera (SIEM). |
| Dołączania | Dołączanie usługi Defender for Identity jest teraz automatyczne dla nowych klientów bez konieczności konfigurowania obszaru roboczego. Jeśli chcesz usunąć wystąpienie, otwórz zgłoszenie do pomocy technicznej firmy Microsoft. |
Dochodzenia
| Obszar | Opis |
|---|---|
| Obszar Tożsamości | W portalu Microsoft Defender rozwiń obszar Tożsamości, aby wyświetlić pulpit nawigacyjny wykresów i widżetów z często używanymi danymi, stronę Problemy z kondycją, listę wszystkich problemów z kondycją wdrożenia usługi Defender for Identity oraz stronę Narzędzia z linkami do często używanych narzędzi i dokumentacji. Aby uzyskać więcej informacji, zobacz Wyświetlanie pulpitu nawigacyjnego ITDR i problemów z kondycją usługi Defender for Identity. |
| Strona tożsamości | Strona szczegółów tożsamości portalu Microsoft Defender udostępnia dane inkluzywne dotyczące każdej tożsamości, takie jak: — Wszystkie skojarzone alerty — Kontrola konta usługi Active Directory - Ryzykowne ścieżki ruchu bocznego — Oś czasu działań i alertów - Szczegóły dotyczące obserwowanych lokalizacji, urządzeń i grup. Aby uzyskać więcej informacji, zobacz Badanie użytkowników w portalu Microsoft Defender. |
| Strona urządzenia | Dowód alertu portalu Microsoft Defender zawiera listę wszystkich urządzeń i użytkowników połączonych z każdym podejrzanym działaniem. Zbadaj dokładniej, wybierając określone urządzenie w alercie, aby uzyskać dostęp do strony szczegółów urządzenia. Aby uzyskać więcej informacji, zobacz Badanie urządzeń na liście urządzeń Ochrona punktu końcowego w usłudze Microsoft Defender. |
| Zaawansowane wyszukiwanie zagrożeń | Portal Microsoft Defender pomaga aktywnie wyszukiwać zagrożenia i złośliwe działania przy użyciu zaawansowanych zapytań wyszukiwania zagrożeń. Te zaawansowane zapytania mogą służyć do lokalizowania i przeglądania wskaźników zagrożeń i jednostek dla znanych i potencjalnych zagrożeń. Twórz niestandardowe reguły wykrywania z zaawansowanych zapytań wyszukiwania zagrożeń, aby ułatwić proaktywne watch dla zdarzeń, które mogą wskazywać na działanie naruszenia zabezpieczeń i nieprawidłowo skonfigurowane urządzenia. Aby uzyskać więcej informacji, zobacz Proaktywne wyszukiwanie zagrożeń z zaawansowanym wyszukiwaniem zagrożeń w portalu Microsoft Defender. |
| Wyszukiwanie globalne | Użyj paska wyszukiwania w górnej części strony portalu Microsoft Defender, aby wyszukać dowolną jednostkę monitorowaną przez Microsoft Defender XDR, w tym tożsamości, punkty końcowe, dane Office 365, grupy usługi Active Directory (wersja zapoznawcza) i inne. Wybierz wyniki bezpośrednio z listy rozwijanej wyszukiwania lub wybierz pozycję Wszyscy użytkownicy lub Wszystkie urządzenia , aby wyświetlić wszystkie jednostki skojarzone z danym terminem wyszukiwania. |
| Ścieżki ruchu bocznego | Portal Microsoft Defender udostępnia dane ścieżki ruchu bocznego na stronie Zaawansowane wyszukiwanie zagrożeń i oceny zabezpieczeń ścieżki ruchu poprzecznego, a także kartę Ścieżki ruchu poprzecznego na stronie szczegółów użytkownika. Aby uzyskać więcej informacji, zobacz Understand and investigate lateral movement paths (LMPs) with Microsoft Defender for Identity (Omówienie i badanie bocznych ścieżek przenoszenia przy użyciu Microsoft Defender for Identity). |
Wykrywanie i reagowanie
| Obszar | Opis |
|---|---|
| Korelacja alertów i zdarzeń | Alerty usługi Defender for Identity są teraz uwzględniane w kolejce alertów portalu Microsoft Defender, udostępniając je funkcji automatycznej korelacji zdarzeń. Wyświetl wszystkie alerty w jednym miejscu i określ zakres naruszenia jeszcze szybciej niż wcześniej. Aby uzyskać więcej informacji, zobacz Badanie alertów usługi Defender for Identity w portalu Microsoft Defender. |
| Wykluczenia alertów | Interfejs alertów portalu Microsoft Defender jest bardziej przyjazny dla użytkownika i zawiera funkcję wyszukiwania i wykluczenia globalne, co oznacza, że można wykluczyć dowolną jednostkę ze wszystkich alertów generowanych przez usługę Defender for Identity. Aby uzyskać więcej informacji, zobacz Konfigurowanie wykluczeń wykrywania tożsamości w usłudze Defender w Microsoft Defender XDR. |
| Dostrajanie alertów | Dostrajanie alertów, znane wcześniej jako pomijanie alertów, umożliwia dostosowywanie i optymalizowanie alertów. Dostrajanie alertów zmniejsza liczbę wyników fałszywie dodatnich, umożliwiając zespołom SOC skupienie się na alertach o wysokim priorytecie i zwiększenie zasięgu wykrywania zagrożeń w całym systemie. W Microsoft Defender XDR utwórz warunki reguły na podstawie typów dowodów, a następnie zastosuj regułę do dowolnego typu reguły zgodnego z warunkami. Aby uzyskać więcej informacji, zobacz Dostrajanie alertu. |
| Działania naprawcze | Akcje korygowania usługi Defender for Identity, takie jak wyłączanie kont lub wymaganie resetowania hasła, są dostępne na stronie szczegółów użytkownika portalu Microsoft Defender. Aby uzyskać więcej informacji, zobacz Akcje korygowania w Microsoft Defender for Identity. |
Szybkie odwołanie
W poniższej tabeli wymieniono zmiany w nawigacji między Microsoft Defender for Identity a portalem Microsoft Defender.
| Defender dla Tożsamości | Portal Microsoft Defender |
|---|---|
| Oś czasu | — Microsoft Defender portalu — alerty/kolejka zdarzeń |
| Raporty | Następujące typy raportów są dostępne na > stroniezarządzania raportamitożsamości raportów> w portalu Microsoft Defender w celu natychmiastowego pobrania lub zaplanowanego okresowego dostarczania wiadomości e-mail: — Podsumowanie raportów dotyczących alertów i problemów zdrowotnych, które należy rozwiązać. - Lista każdej modyfikacji w poufnych grupach. — lista haseł do komputera źródłowego i konta, które są wykrywane jako wysyłane w postaci zwykłego tekstu. — Lista poufnych kont uwidoczniona w bocznych ścieżkach przenoszenia. Aby uzyskać więcej informacji, zobacz Zarządzanie raportami. |
| Strona tożsamości | strona szczegółów użytkownika portalu Microsoft Defender |
| Strona urządzenia | strona szczegółów urządzenia portalu Microsoft Defender |
| Strona grupy | okienko po stronie grup portalu Microsoft Defender |
| Strona alertu | strona szczegółów alertu portalu Microsoft Defender Porada: Użyj dostrajania alertów, aby zoptymalizować alerty widoczne w portalu Microsoft Defender. |
| Szukaj | wyszukiwanie globalne portalu Microsoft Defender |
| Problemy z kondycją | Problemy z kondycją tożsamości > w portalu Microsoft Defender |
| Działania jednostki | - Zaawansowane wyszukiwanie zagrożeń — Oś czasu strony > urządzenia — Karta Oś czasu strony > tożsamości - KartaOś czasu okienka > grupy |
| Ustawienia | Ustawienia —>tożsamości |
| Użytkownicy i konta | Zasoby —>tożsamości |
| Stan zabezpieczeń tożsamości | Oceny stanu bezpieczeństwa Microsoft Defender for Identity |
| Dołączanie nowego obszaru roboczego | Ustawienia —>tożsamości (automatycznie) |
| O | Ustawienia > tożsamości > — informacje |
Następne kroki
Więcej informacji można znaleźć w następujących artykułach:
- Powiązane filmy wideo dotyczące Microsoft Defender for Identity
- Microsoft Defender XDR
- Microsoft Defender for Identity
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla