Microsoft Defender

Microsoft Defender XDR

Microsoft Defender XDR — это единый набор защиты предприятия до и после нарушения безопасности. Defender XDR изначально координирует обнаружение, предотвращение, исследование и реагирование в конечных точках, удостоверениях, электронной почте и приложениях, обеспечивая интегрированную защиту от изощренных атак.

FastTrack предоставляет удаленные рекомендации для:

• Предоставление обзора Центр безопасности Microsoft 365.
  • Предоставление обзора инцидентов между продуктами, в том числе сосредоточение внимания на критически важных событиях путем обеспечения полного область атак, затронутых ресурсов и автоматизированных действий по исправлению, которые сгруппированы.
  • Демонстрация того, как Microsoft Defender XDR может управлять исследованием ресурсов, пользователей, устройств и почтовых ящиков, которые скомпрометируются с помощью автоматического самовосстановления.
  • Объяснение и примеры того, как клиенты могут упреждающе искать попытки вторжения и действия нарушения безопасности, влияющие на электронную почту, данные, устройства и учетные записи в нескольких наборах данных.
  • Показать клиентам, как они могут комплексно проверять и улучшать состояние безопасности с помощью Оценки безопасности Майкрософт.

Вне области поддержки

• Руководство по развертыванию или обучение по следующим вопросам:
  • Исправление или интерпретация различных типов оповещений и отслеживаемых действий.
  • Как исследовать пользователя, компьютер, путь бокового перемещения или сущность.
  • Пользовательская охота на угрозы.
• Управление информационной безопасностью и событиями безопасности (SIEM) или интеграция API.

Руководства по расширенному развертыванию Майкрософт

Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.

Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps — это решение для обеспечения безопасности SaaS (программное обеспечение как услуга). Он сочетает в себе управление состоянием безопасности SaaS, защиту от потери данных, защиту от приложений между приложениями и интегрированную защиту от угроз, чтобы обеспечить целостное покрытие ваших приложений. Применяя подход к безопасности SaaS, вы можете легко выявлять неправильные конфигурации. Это улучшает общее состояние приложения, реализует политики для защиты конфиденциальных данных и защищает сценарии "приложение — приложение", чтобы только приложения имели допустимые разрешения на доступ к другим данным приложения. При интеграции с Microsoft Defender XDR такие организации, как ваш, получают преимущество от использования сигнала От SaaS для активной охоты в своих средах и борьбы с инцидентами в своих приложениях, устройствах, удостоверениях и электронной почте.

FastTrack предоставляет удаленные рекомендации для:

• Настройка портала, в том числе:
  • Импорт групп пользователей.
  • Управление доступом и параметрами администратора.
  • Определение области развертывания для выбора определенных групп пользователей для мониторинга или исключения из мониторинга.
  • Настройка диапазонов IP-адресов и тегов.
  • Персонализация пользовательского интерфейса с логотипом и пользовательскими сообщениями.
• Интеграция сторонних служб, включая:
  • Microsoft Defender для конечной точки.
  • Microsoft Defender для удостоверений
  • Защита Microsoft Entra ID.
  • Защита информации Microsoft Purview.
• Настройка облачного обнаружения с помощью:
  • Microsoft Defender для конечных точек.
  • Zscaler.
  • iboss.
• Создание тегов и категорий приложений.
• Настройка оценок риска приложений на основе приоритетов вашей организации.
• Санкционирование и несанкционированное применение приложений.
• Просмотр панелей мониторинга Defender для облачных приложений и Cloud Discovery.
• Включение управления приложениями.
  • Направите клиента на страницу обзора и создайте до пяти (5) политик управления приложениями.
• Подключение рекомендуемых приложений с помощью соединителей приложений.
• Защита приложений с помощью управления условным доступом к приложениям в условном доступе на порталах Microsoft Entra ID и Defender for Cloud Apps.
• Развертывание управления условным доступом к приложениям для избранных приложений.
• Ознакомьтесь с возможностями управления состоянием безопасности SaaS (SSPM) в статье Рекомендации по оценке безопасности для доступных приложений.
• Использование журналов действий и файлов.
• Управление приложениями OAuth.
• Просмотр и настройка шаблонов политик.
• Предоставление помощи в настройке в основных вариантах использования SaaS (включая создание или обновление до шести (6) политик).
• Общие сведения о корреляции инцидентов на портале Microsoft Defender.

Вне области поддержки

• Обсуждения, сравнивающие Defender для облачных приложений с другими предложениями безопасности cloud Access Security Broker (CASB) или SaaS.
• Настройка Defender для облачных приложений в соответствии с определенными нормативными требованиями.
• Развертывание службы в непроизводственной тестовой среде.
• Развертывание Cloud App Discovery в качестве подтверждения концепции.
• Настройка инфраструктуры, установка или развертывание автоматической отправки журналов для непрерывных отчетов с помощью Docker или сборщика журналов.
• Создание отчета snapshot Cloud Discovery.
• Блокировка использования приложений с помощью сценариев блокировки.
• Добавление пользовательских приложений в Cloud Discovery.
• Подключение пользовательских приложений с помощью управления условным доступом к приложениям.
• Подключение и развертывание управления условным доступом к приложениям для любого приложения.
• Интеграция со сторонними поставщиками удостоверений (IDP) и поставщиками защиты от потери данных (DLP).
• Учебные курсы или руководства по расширенной охоте.
• Автоматическое исследование и исправление, включая сборники схем Microsoft Power Automate.
• Интеграция SIEM или API (включая Microsoft Sentinel).

Руководства по расширенному развертыванию Майкрософт

Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.

Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.

Microsoft Defender для конечной точки

Microsoft Defender для конечной точки — это платформа, предназначенная для того, чтобы помочь корпоративным сетям предотвращать, обнаруживать, исследовать и реагировать на сложные угрозы.

FastTrack предоставляет удаленные рекомендации для:

• Оценка версии ОС и подхода к управлению устройствами (включая Microsoft Intune, microsoft Endpoint Configuration Manager, групповая политика и сторонние конфигурации), а также состояние служб av Защитник Windows или другого программного обеспечения для обеспечения безопасности конечных точек.
• Подключение Microsoft Defender для конечной точки P1 и P2 с помощью:
  • Локальный скрипт.
  • групповая политика.
  • Intune.
  • Configuration Manager.
  • Управление параметрами безопасности Defender для конечной точки.
• Предоставление рекомендуемых рекомендаций по настройке трафика Майкрософт через прокси-серверы и брандмауэры, ограничение сетевого трафика для устройств, которые не могут подключаться напрямую к Интернету.
• Включение службы Defender для конечной точки путем объяснения того, как развернуть профиль агента обнаружения и реагирования на конечные точки (EDR) с помощью одного из поддерживаемых методов управления.
• Руководство по развертыванию, помощь по настройке и обучение по следующим вопросам:
  • Основные функции управления уязвимостями.
  • Сокращение направлений атак. ¹
  • Защита нового поколения.
  • Выявление конечных точек и реагирование на них.
  • Автоматическое исследование и защита.
  • Оценка безопасности для устройств.
  • Microsoft Defender конфигурации SmartScreen с помощью Intune.
  • Обнаружение устройств. ²
• Просмотр симуляций и учебников (например, сценариев практики, поддельных вредоносных программ и автоматизированных расследований).
• Общие сведения о функциях создания отчетов и аналитики угроз.
• Интеграция Microsoft Defender для Office 365, Microsoft Defender для удостоверений и Defender for Cloud Apps с Defender для конечной точки.
• Выполните пошаговые руководства на портале Microsoft Defender.
• Подключение и настройка следующих операционных систем:
  • Windows 10/11, включая облачные компьютеры Windows 365.
  • Windows Server 2012 R2. ³
  • Windows Server 2016. ³
  • Windows Server 2019. ³
  • Windows Server 2022. ³
  • Windows Server 2019 Core Edition. ³
  • Поддерживаемые версии macOS.
  • Android. ⁴
  • Ios. ⁴

¹ Поддерживаются только правила сокращения направлений атак, управляемый доступ к папкам и защита сети. Все остальные возможности сокращения направлений атак не область. Дополнительные сведения см. в следующем разделе Out of область.

² Поддерживаются только некоторые аспекты обнаружения устройств. Дополнительные сведения см. в следующем разделе Out of область.

³ Windows Server 2012 R2 и 2016 поддержка ограничена подключением и настройкой единого агента. Серверы должны управляться поддерживаемой версией Configuration Manager.

⁴ Дополнительные сведения см. в следующем разделе Вне область сведения о защите от угроз на мобильных устройствах.

Вне области поддержки

• Руководство по подключению и включению предварительных версий функций.
• Устранение неполадок, возникающих во время взаимодействия (включая устройства, которые не удалось подключить).
• Поддержка Microsoft Defender для бизнеса.
• Подключение или настройка для следующих агентов Defender для конечной точки:
  • Windows Server 2008.
  • Linux.
  • инфраструктура виртуальных рабочих столов (VDI) (постоянный или непостоянный), включая Виртуальный рабочий стол Azure и сторонние решения VDI.
• Подключение и настройка сервера:
  • Настройка прокси-сервера для автономной связи.
  • Настройка пакетов развертывания Configuration Manager на экземплярах и версиях Configuration Manager нижнего уровня.
  • Серверы, не управляемые Configuration Manager.
  • Интеграция Defender для конечной точки с Microsoft Defender для серверов (Microsoft Defender для облака).
• Подключение и настройка macOS:
  • Развертывание на основе JAMF.
  • Другое развертывание на основе продукта управления мобильными устройствами (MDM).
  • Развертывание вручную.
• Подключение и настройка защиты мобильных устройств от угроз (Android и iOS):
  • Неуправляемый перенос собственных устройств (BYOD) или устройств, управляемых другими корпоративными системами управления мобильностью.
  • Настройте политики защиты приложений (например, управление мобильными приложениями (MAM)).
  • Устройства Android, зарегистрированные администратором.
  • Помощь в сосуществовании нескольких профилей VPN.
  • Подключение устройств к Intune. Дополнительные сведения о помощи по подключению см. в разделе Microsoft Intune.
• Конфигурация следующих возможностей сокращения направлений атак:
  • Изоляция аппаратного приложения и браузера (включая Application Guard).
  • Элемент управления приложениями, включая AppLocker и Защитник Windows управление приложениями.
  • Управление устройством.
  • Защита от эксплойтов.
  • Брандмауэры сети и конечных точек.
• Настройка или управление функциями защиты учетных записей, такими как:
  • Credential Guard.
  • Членство в локальной группе пользователей.
• Настройка Или управление BitLocker.

Примечание.

Сведения о помощи BitLocker с Windows 11 см. в разделе Windows 11.

• Настройка или управление обнаружением сетевых устройств.
• Настройка или управление следующими возможностями обнаружения устройств:
  • Подключение неуправляемых устройств, не область для FastTrack (например, Linux).
  • Настройка или исправление устройств Интернета вещей (IoT), включая оценку уязвимостей устройств Интернета вещей с помощью Defender для Интернета вещей.
  • Интеграция со сторонними инструментами.
  • Исключения для обнаружения устройств.
  • Предварительная помощь в работе с сетями.
  • Устранение неполадок с сетью.
• Моделирование атак (включая тестирование на проникновение).
• Развертывание или конфигурация экспертов Майкрософт по угрозам.
• Руководство по настройке или обучению подключений API или SIEM.
• Учебные курсы или руководства по расширенной охоте.
• Учебные материалы или руководства по использованию или созданию запросов Kusto.
• Обучение или рекомендации по настройке SmartScreen Defender с использованием объектов групповая политика , Безопасность Windows или Microsoft Edge.
• Надстройка управления уязвимостями Defender.
• Автономное управление уязвимостями Defender.

Обратитесь к партнеру Майкрософт за помощью в этих службах.

Руководства по расширенному развертыванию Майкрософт

Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.

Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.

Microsoft Defender для удостоверений

Microsoft Defender для удостоверений — это облачное решение для обеспечения безопасности. Он использует ваши локальные сигналы Active Directory для идентификации, обнаружения и расследования сложных угроз, скомпрометированных удостоверений и злонамеренных внутренних действий, направленных против вашей организации.

FastTrack предоставляет удаленные рекомендации для:

• Запуск средства определения размера для планирования емкости ресурсов.
• Создание экземпляра Defender для удостоверений.
• Настройка сбора событий Windows в доменные службы Active Directory (AD DS), службы федерации Active Directory (AD FS) (AD FS) и службах сертификатов Active Directory (AD CS).
• Управление доступом администратора с помощью групп ролей.
• Скачивание, развертывание и настройка датчика на контроллерах домена Active Directory для сред с одним и несколькими лесами.
• Скачивание, развертывание и настройка датчика на серверах AD FS.
• Конфигурация портала, в том числе:
  • Добавление тегов к конфиденциальным учетным записям, устройствам или группам.
  • Email уведомления о проблемах работоспособности и оповещениях системы безопасности.
  • Исключения оповещений.
  • Запланированные отчеты.
• Предоставление рекомендаций по развертыванию, помощь по настройке и обучение по следующим вопросам:
  • Отчеты об оценке состояния безопасности удостоверений в оценке безопасности Майкрософт.
  • Отчеты о рейтинге приоритета исследования пользователей и рейтинге исследования пользователей.
  • Неактивные отчеты пользователей.
  • Параметры исправления в скомпрометированных учетных записях.
• Упрощение миграции с Advanced Threat Analytics (ATA) в Defender для удостоверений (если применимо).

Вне области поддержки

• Развертывание Defender для удостоверений в качестве подтверждения концепции.
• Развертывание или выполнение следующих действий датчика Defender для удостоверений:
  • Планирование емкости вручную.
  • Развертывание автономного датчика.
  • Развертывание датчика с помощью адаптера объединения сетевой карты (NIC).
  • Развертывание датчика с помощью стороннего средства.
  • Подключение к облачной службе Defender для удостоверений через подключение веб-прокси.
• Создание и настройка учетных записей службы каталогов или управление учетными записями действий в Active Directory, включая групповые управляемые учетные записи служб (gMSA).
• Создание и настройка разрешений для базы данных AD FS.
• Создание учетных записей или устройств honeytokens и управление ими.
• Включение разрешения сетевых имен (NNR).
• Включение и настройка контейнера Удаленных объектов.
• Руководство по развертыванию или обучение по следующим вопросам:
  • Исправление или интерпретация различных типов оповещений и отслеживаемых действий.
  • Исследование пользователя, компьютера, пути бокового смещения или сущности.
  • Угроза или расширенная охота.
  • Реагирование на инциденты.
• Предоставляет руководство по лаборатории оповещений системы безопасности для Defender для удостоверений.
• Предоставление уведомлений, когда Defender для удостоверений обнаруживает подозрительные действия, отправляя оповещения системы безопасности на сервер системного журнала через назначенный датчик.
• Настройка Defender для удостоверений для выполнения запросов с помощью удаленного протокола диспетчера учетных записей безопасности (SAMR) для идентификации локальных администраторов на определенных компьютерах.
• Настройка решений VPN для добавления сведений из VPN-подключения на страницу профиля пользователя.
• Интеграция SIEM или API (включая Microsoft Sentinel).

Требования к исходной среде

• Соответствует предварительным требованиям Defender для удостоверений.
• Развернуты Active Directory, AD FS и AD CS.
• Контроллеры домена Active Directory, на которых вы планируете установить датчики Defender для удостоверений, имеют подключение к Интернету к облачной службе Defender для удостоверений.
  • Брандмауэр и прокси-сервер должны быть открыты для связи с облачной службой Defender для удостоверений (*.atp.azure.com порт 443 должен быть открыт).
• Контроллеры домена, работающие на одном из следующих серверов:
  • Windows Server 2016.
  • Windows Server 2019 с KB4487044 (сборка ОС 17763.316 или более поздней версии).
  • Windows Server 2022.
• Microsoft платформа .NET Framework 4.7 или более поздней версии.
• Требуется не менее шести (6) ГБ дискового пространства и рекомендуется 10 ГБ.
• Два (2) ядра и шесть (6) ГБ ОЗУ, установленные на контроллере домена.

Руководства по расширенному развертыванию Майкрософт

Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.

Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.

Microsoft Defender для Office 365

Microsoft Defender для Office 365 защищает вашу организацию от вредоносных угроз, связанных с сообщениями электронной почты, ссылками (URL-адресами), вложениями и инструментами совместной работы, такими как Microsoft Teams, SharePoint и Outlook. С помощью представлений угроз в режиме реального времени и таких средств, как Обозреватель угроз, вы можете искать потенциальные угрозы и опережать их. Используйте обучение имитации атак для выполнения реалистичных сценариев атак в вашей организации. Эти имитированные атаки помогут вам определить и найти уязвимых пользователей до того, как реальная атака повлияет на вашу прибыль.

FastTrack предоставляет удаленные рекомендации для:

• Ознакомьтесь с анализатором конфигурации и (или) Defender для Office 365 рекомендуемого анализатора конфигурации (ORCA).
• Настройка режима оценки.
• Включение предустановленных политик, безопасных ссылок (включая безопасные документы), безопасных вложений, защиты от вредоносных программ, фишинга, нежелательной почты, защиты от спуфингом, олицетворения и политик карантина.
• Включение защиты Teams.
• Настройка параметров сообщений, сообщаемых пользователем.
• Использование симулятора атак и настройка расширенной политики доставки
• Обзор отправки списка разрешенных и заблокированных клиентов (TABL), страницы сущностей электронной почты, отчетов, кампаний, обозревателя угроз и аналитики угроз.
• Обзор автоматизации автоматической очистки нулевого часа (ZAP), а также исследования и реагирования (AIR).
• Общие сведения о корреляции инцидентов на портале Microsoft Defender.
• Переход от стороннего поставщика в соответствии с рекомендациями Майкрософт за исключением создания инвентаризации текущих параметров, перемещения функций, изменяющих сообщения, в Microsoft 365 и настройки расширенной фильтрации соединителей.

Вне области поддержки

• Обсуждения, сравнивающие Defender для Office 365 с другими предложениями безопасности.
• Развертывание Defender для Office 365 в качестве подтверждения концепции.
• Анализ потока обработки почты.
• Улучшенная фильтрация.
• Учебные курсы или руководства по расширенной охоте.
• Интеграция с сборниками схем Microsoft Power Automate.
• Интеграция SIEM или API (включая Microsoft Sentinel).

Требования к исходной среде

Помимо подключения ядра FastTrack, необходимо также настроить Exchange Online.

Руководства по расширенному развертыванию Майкрософт

Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.

Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.