Wprowadzenie z planem Ochrona punktu końcowego w usłudze Microsoft Defender 1

Dotyczy:

Portal Microsoft 365 Defender (https://security.microsoft.com) umożliwia wyświetlanie informacji o wykrytych zagrożeniach, zarządzanie alertami i zdarzeniami, wykonywanie wszelkich wymaganych działań w przypadku wykrytych zagrożeń i zarządzanie urządzeniami. W portalu Microsoft 365 Defender można rozpocząć interakcję z funkcjami ochrony przed zagrożeniami dostępnymi w usłudze Defender for Endpoint Plan 1. W poniższych sekcjach opisano sposób rozpoczęcia pracy:

Portal Microsoft 365 Defender

W portalu Microsoft 365 Defender (https://security.microsoft.com) będziesz wyświetlać alerty, zarządzać urządzeniami i wyświetlać raporty. Po zalogowaniu się do portalu Microsoft 365 Defender zaczniesz od strony głównej, jak pokazano na poniższej ilustracji:

Portal Microsoft 365 Defender

Strona główna udostępnia zespołowi ds. zabezpieczeń zagregowany widok migawek alertów, stanu urządzenia i wykrytych zagrożeń. Defender dla Chmury jest skonfigurowany tak, aby zespół ds. operacji zabezpieczeń mógł szybko i łatwo znaleźć informacje, których szuka.

Uwaga

Nasze przykłady przedstawione w tym artykule mogą różnić się od tego, co widzisz w portalu Microsoft 365 Defender. To, co widzisz w portalu, zależy od licencji i uprawnień. Ponadto zespół ds. zabezpieczeń może dostosować portal organizacji, dodając, usuwając i rozmieszczając karty.

Karty wyróżniają kluczowe informacje i zawierają zalecenia

Strona główna zawiera karty, takie jak karta Aktywne zdarzenia pokazana na poniższej ilustracji:

Karta Aktywne zdarzenia

Karta udostępnia informacje na pierwszy rzut oka wraz z linkiem lub przyciskiem, który można wybrać, aby wyświetlić bardziej szczegółowe informacje. Odwołując się do przykładowej karty Aktywne zdarzenia, możemy wybrać pozycję Wyświetl wszystkie zdarzenia , aby przejść do naszej listy zdarzeń.

Lista zdarzeń

Pasek nawigacyjny po lewej stronie ekranu umożliwia łatwe przechodzenie między zdarzeniami, alertami, centrum akcji, raportami i ustawieniami. W poniższej tabeli opisano pasek nawigacyjny.

Element paska nawigacyjnego Opis
Strona główna Przechodzi do strony głównej portalu Microsoft 365 Defender.
Zdarzenia & alerty Rozwija się, aby wyświetlić zdarzenia i alerty.
Zdarzenia & alerty > Incydentów Przechodzi do listy Incydenty . Zdarzenia są tworzone po wyzwoleniu alertów i/lub wykryciu zagrożeń. Domyślnie na liście Zdarzenia są wyświetlane dane z ostatnich 30 dni z najnowszym zdarzeniem wymienionym jako pierwsze.

Aby dowiedzieć się więcej, zobacz Incydenty.
Zdarzenia & alerty > Alerty Przechodzi do listy Alerty (nazywanej również kolejką alertów). Alerty są wyzwalane po wykryciu podejrzanego lub złośliwego pliku, procesu lub zachowania. Domyślnie na liście Alerty są wyświetlane dane z ostatnich 30 dni z najnowszym alertem wymienionym jako pierwszy.

Aby dowiedzieć się więcej, zobacz Alerty.
Centrum akcji Przechodzi do centrum akcji, które śledzi akcje korygowania i ręcznego reagowania. Centrum akcji śledzi takie działania:
— Program antywirusowy Microsoft Defender napotyka złośliwy plik, a następnie blokuje/usuwa ten plik.
- Twój zespół ds. zabezpieczeń izoluje urządzenie.
— Usługa Defender for Endpoint wykrywa plik i podda go kwarantannie.

Aby dowiedzieć się więcej, zobacz Centrum akcji.
Wskaźnik bezpieczeństwa Przedstawia reprezentację stanu zabezpieczeń organizacji wraz z listą akcji poprawy i metryk.

Aby dowiedzieć się więcej, zobacz Microsoft Secure Score (Wskaźnik bezpieczeństwa firmy Microsoft).
centrum Edukacja Przechodzi do listy ścieżek szkoleniowych, do których można uzyskać dostęp, aby dowiedzieć się więcej o Microsoft 365 możliwościach zabezpieczeń.
Punkty końcowe > Szukaj Przechodzi do strony, na której można wyszukiwać określone urządzenia według nazwy urządzenia. Na liście wyników można szybko zobaczyć szczegóły, takie jak poziom ryzyka i stan kondycji.
Punkty końcowe > Spis urządzeń Przechodzi do listy urządzeń dołączonych do usługi Defender for Endpoint. Zawiera informacje o urządzeniach, takie jak ich narażenie i poziom ryzyka.

Aby dowiedzieć się więcej, zobacz Spis urządzeń.
Punkty końcowe > Konfiguracja & punktów odniesienia Rozwija się, aby wyświetlić punkty odniesienia zabezpieczeń i zarządzanie konfiguracją.
Punkty końcowe > Konfiguracja & planów bazowych > Punkty odniesienia zabezpieczeń Punkty odniesienia zabezpieczeń to wstępnie skonfigurowane zasady i grupy ustawień, które mogą pomóc w wydajnym i skutecznym zastosowaniu zalecanych ustawień zabezpieczeń. Punkty odniesienia obejmują ustawienia oparte na najlepszych rozwiązaniach branżowych. Możesz zachować ustawienia domyślne lub dostosować punkty odniesienia zgodnie z potrzebami organizacji.

Aby dowiedzieć się więcej, zobacz Konfigurowanie urządzeń Windows 10 w Intune przy użyciu punktów odniesienia zabezpieczeń.
Punkty końcowe > Konfiguracja & planów bazowych > Zarządzanie konfiguracją Przechodzi do strony Zarządzanie konfiguracją urządzeń , na której można wyświetlać informacje o dołączonych urządzeniach i wykonywać kroki w celu dołączenia większej liczby urządzeń.
Raporty Przechodzi do raportów, takich jak raport dotyczący ochrony przed zagrożeniami, raport kondycji i zgodności urządzenia oraz raport dotyczący ochrony sieci Web.
Kondycja Zawiera linki do Kondycja usługi i Centrum komunikatów.
Zdrowia > Kondycja usługi Przechodzi do strony Kondycja usługi w Centrum administracyjne platformy Microsoft 365. Ta strona umożliwia wyświetlanie stanu kondycji we wszystkich usługach dostępnych w ramach subskrypcji organizacji.
Zdrowia > Centrum komunikatów Przechodzi do centrum komunikatów w Centrum administracyjne platformy Microsoft 365. Centrum komunikatów zawiera informacje o planowanych zmianach. Każdy komunikat zawiera opis nadchodzących zmian, wpływu na użytkowników i sposobu zarządzania zmianami.
Uprawnienia & ról Umożliwia udzielanie uprawnień do korzystania z portalu Microsoft 365 Defender. Uprawnienia są przyznawane za pośrednictwem ról w Azure Active Directory (Azure AD). Wybierz rolę i zostanie wyświetlone okienko wysuwane. Wysuwane okno zawiera link do usługi Azure AD, w którym można dodawać lub usuwać członków w grupie ról.

Aby dowiedzieć się więcej, zobacz Zarządzanie dostępem do portalu przy użyciu kontroli dostępu opartej na rolach.
Ustawienia Przechodzi do ogólnych ustawień portalu Microsoft 365 Defender (wymienionego jako Centrum zabezpieczeń) i usługi Defender dla punktu końcowego (wymienionego jako punkty końcowe).

Aby dowiedzieć się więcej, zobacz Ustawienia.
Więcej zasobów Wyświetla listę kolejnych portali i centrów, takich jak Azure Active Directory i portal zgodności usługi Microsoft Purview.

Aby dowiedzieć się więcej, zobacz Portale zabezpieczeń firmy Microsoft i centra administracyjne.

Porada

Aby dowiedzieć się więcej, zobacz omówienie portalu Microsoft 365 Defender.

Wyświetlanie zdarzeń & alertów i zarządzanie nimi

Po zalogowaniu się do portalu Microsoft 365 Defender upewnij się, że wyświetlasz zdarzenia i alerty oraz zarządzasz nimi. Zacznij od listy zdarzeń . Na poniższej ilustracji przedstawiono listę zdarzeń, w tym jeden o wysokiej ważności, a drugi o średniej ważności.

Lista zdarzeń

Wybierz zdarzenie, aby wyświetlić szczegóły dotyczące zdarzenia. Szczegółowe informacje obejmują alerty, które zostały wyzwolone, liczbę urządzeń i użytkowników, których dotyczy problem, oraz inne szczegóły. Na poniższej ilustracji przedstawiono przykład szczegółów zdarzenia.

Szczegóły zdarzenia

Użyj kart Alerty, Urządzenia i Użytkownicy , aby wyświetlić więcej informacji, takich jak alerty, które zostały wyzwolone, urządzenia, których dotyczy problem, i konta użytkowników, których dotyczy problem. Z tego miejsca można wykonywać ręczne akcje reagowania, takie jak izolowanie urządzenia, zatrzymywanie i kwazarowanie pliku itd.

Porada

Aby dowiedzieć się więcej na temat korzystania z widoku Zdarzenia , zobacz Zarządzanie zdarzeniami.

Zarządzanie urządzeniami

Aby wyświetlić urządzenia organizacji i zarządzać nimi, na pasku nawigacyjnym w obszarze Punkty końcowe wybierz pozycję Spis urządzeń. Zostanie wyświetlona lista urządzeń, jak pokazano na poniższej ilustracji:

Spisz urządzeń

Lista zawiera urządzenia, dla których zostały wygenerowane alerty. Domyślnie wyświetlane dane są używane w ciągu ostatnich 30 dni z najnowszymi elementami wymienionymi jako pierwsze. Wybierz urządzenie, aby wyświetlić więcej informacji na jego temat. Zostanie otwarte okienko wysuwane, jak pokazano na poniższej ilustracji:

Szczegóły wybranego urządzenia

Okienko wysuwane wyświetla szczegóły, takie jak wszystkie aktywne alerty dla urządzenia, i zawiera linki do podjęcia akcji, takie jak izolowanie urządzenia.

Jeśli na urządzeniu są aktywne alerty, możesz je wyświetlić w okienku wysuwanym. Wybierz pojedynczy alert, aby wyświetlić więcej szczegółów na jego temat. Możesz też wykonać akcję, taką jak Izolowanie urządzenia, aby można było dokładniej zbadać urządzenie, minimalizując ryzyko zainfekowania innych urządzeń.

Porada

Aby dowiedzieć się więcej, zobacz Badanie urządzeń na liście urządzeń usługi Defender for Endpoint.

Wyświetlanie raportów

W usłudze Defender for Endpoint Plan 1 w portalu Microsoft 365 Defender dostępnych jest kilka raportów. Aby uzyskać dostęp do raportów, wykonaj następujące kroki:

  1. Przejdź do portalu Microsoft 365 Defender (https://security.microsoft.com) i zaloguj się.

  2. Na pasku nawigacyjnym wybierz pozycję Raporty.

  3. Wybierz raport z listy. Zostaną wyświetlone następujące trzy raporty:

    • Raport ochrony przed zagrożeniami
    • Raport kondycji urządzenia
    • Raport dotyczący ochrony sieci Web

Porada

Aby uzyskać więcej informacji, zobacz Raporty dotyczące ochrony przed zagrożeniami.

Raport ochrony przed zagrożeniami

Aby uzyskać dostęp do raportu ochrony przed zagrożeniami, w portalu Microsoft 365 Defender wybierz pozycję Raporty, a następnie wybierz pozycję Ochrona przed zagrożeniami. Raport Threat Protection przedstawia trendy alertów, stan, kategorie i nie tylko. Widoki są rozmieszczone w dwóch kolumnach: Trendy alertów i Stan alertu, jak pokazano na poniższej ilustracji:

Raport ochrony przed zagrożeniami

Przewiń w dół, aby wyświetlić wszystkie widoki na każdej liście.

  • Domyślnie widoki w kolumnie Trendy alertów wyświetlają dane z ostatnich 30 dni, ale można ustawić widok do wyświetlania danych z ostatnich trzech miesięcy, ostatnich sześciu miesięcy lub niestandardowego zakresu czasu (do 180 dni).
  • Widoki w kolumnie Stan alertu są migawką z poprzedniego dnia roboczego.

Porada

Aby dowiedzieć się więcej, zobacz Raport ochrony przed zagrożeniami w usłudze Defender for Endpoint.

Raport kondycji urządzenia

Aby uzyskać dostęp do raportu kondycji urządzenia, w portalu Microsoft 365 Defender wybierz pozycję Raporty, a następnie wybierz pozycję Kondycja urządzenia. Raport Kondycja urządzenia pokazuje stan kondycji i oprogramowanie antywirusowe na różnych urządzeniach w organizacji. Podobnie jak w raporcie Ochrona przed zagrożeniami widoki są rozmieszczone w dwóch kolumnach: Trendy urządzeń i Podsumowanie urządzenia, jak pokazano na poniższej ilustracji:

Raport kondycji urządzenia

Przewiń w dół, aby wyświetlić wszystkie widoki na każdej liście. Domyślnie widoki w kolumnie Trendy urządzeń wyświetlają dane z ostatnich 30 dni, ale można zmienić widok, aby wyświetlić dane z ostatnich trzech miesięcy, ostatnich sześciu miesięcy lub niestandardowego zakresu czasu (do 180 dni). Widoki podsumowania urządzenia to migawki z poprzedniego dnia roboczego.

Porada

Aby dowiedzieć się więcej, zobacz Kondycja urządzenia.

Raport dotyczący ochrony sieci Web

Aby uzyskać dostęp do raportu kondycji urządzenia, w portalu Microsoft 365 Defender wybierz pozycję Raporty, a następnie wybierz pozycję Ochrona w Internecie. Raport dotyczący ochrony sieci Web pokazuje wykrycia w czasie, takie jak złośliwe adresy URL i próby uzyskania dostępu do zablokowanych adresów URL, jak pokazano na poniższej ilustracji:

Raport dotyczący ochrony sieci Web

Przewiń w dół, aby wyświetlić wszystkie widoki w raporcie ochrony sieci Web. Niektóre widoki zawierają linki, które umożliwiają wyświetlanie dodatkowych szczegółów, konfigurowanie funkcji ochrony przed zagrożeniami, a nawet zarządzanie wskaźnikami, które służą jako wyjątki w usłudze Defender for Endpoint.

Porada

Aby dowiedzieć się więcej, zobacz Ochrona w internecie.

Następne kroki