Microsoft Defender
Microsoft Defender XDR
Microsoft Defender XDR — это единый набор защиты предприятия до и после нарушения безопасности. Defender XDR изначально координирует обнаружение, предотвращение, исследование и реагирование в конечных точках, удостоверениях, электронной почте и приложениях, обеспечивая интегрированную защиту от изощренных атак.
FastTrack предоставляет удаленные рекомендации для:
- Предоставление обзора Центр безопасности Microsoft 365.
- Предоставление обзора инцидентов между продуктами, в том числе сосредоточение внимания на критически важных событиях путем обеспечения полного область атак, затронутых ресурсов и автоматизированных действий по исправлению, которые сгруппированы.
- Демонстрация того, как Microsoft Defender XDR может управлять исследованием ресурсов, пользователей, устройств и почтовых ящиков, которые скомпрометируются с помощью автоматического самовосстановления.
- Объяснение и примеры того, как клиенты могут упреждающе искать попытки вторжения и действия нарушения безопасности, влияющие на электронную почту, данные, устройства и учетные записи в нескольких наборах данных.
- Показать клиентам, как они могут комплексно проверять и улучшать состояние безопасности с помощью Оценки безопасности Майкрософт.
Вне области поддержки
- Руководство по развертыванию или обучение по следующим вопросам:
- Исправление или интерпретация различных типов оповещений и отслеживаемых действий.
- Как исследовать пользователя, компьютер, путь бокового перемещения или сущность.
- Пользовательская охота на угрозы.
- Управление информационной безопасностью и событиями безопасности (SIEM) или интеграция API.
Руководства по расширенному развертыванию Майкрософт
Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.
Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps — это решение для обеспечения безопасности SaaS (программное обеспечение как услуга). Он сочетает в себе управление состоянием безопасности SaaS, защиту от потери данных, защиту от приложений между приложениями и интегрированную защиту от угроз, чтобы обеспечить целостное покрытие ваших приложений. Применяя подход к безопасности SaaS, вы можете легко выявлять неправильные конфигурации. Это улучшает общее состояние приложения, реализует политики для защиты конфиденциальных данных и защищает сценарии "приложение — приложение", чтобы только приложения имели допустимые разрешения на доступ к другим данным приложения. При интеграции с Microsoft Defender XDR такие организации, как ваш, получают преимущество от использования сигнала От SaaS для активной охоты в своих средах и борьбы с инцидентами в своих приложениях, устройствах, удостоверениях и электронной почте.
FastTrack предоставляет удаленные рекомендации для:
- Настройка портала, в том числе:
- Импорт групп пользователей.
- Управление доступом и параметрами администратора.
- Определение области развертывания для выбора определенных групп пользователей для мониторинга или исключения из мониторинга.
- Настройка диапазонов IP-адресов и тегов.
- Персонализация пользовательского интерфейса с логотипом и пользовательскими сообщениями.
- Интеграция сторонних служб, включая:
- Microsoft Defender для конечной точки.
- Microsoft Defender для удостоверений
- Защита Microsoft Entra ID.
- Защита информации Microsoft Purview.
- Настройка облачного обнаружения с помощью:
- Microsoft Defender для конечных точек.
- Zscaler.
- iboss.
- Создание тегов и категорий приложений.
- Настройка оценок риска приложений на основе приоритетов вашей организации.
- Санкционирование и несанкционированное применение приложений.
- Просмотр панелей мониторинга Defender для облачных приложений и Cloud Discovery.
- Включение управления приложениями.
- Направите клиента на страницу обзора и создайте до пяти (5) политик управления приложениями.
- Подключение рекомендуемых приложений с помощью соединителей приложений.
- Защита приложений с помощью управления условным доступом к приложениям в условном доступе на порталах Microsoft Entra ID и Defender for Cloud Apps.
- Развертывание управления условным доступом к приложениям для избранных приложений.
- Ознакомьтесь с возможностями управления состоянием безопасности SaaS (SSPM) в статье Рекомендации по оценке безопасности для доступных приложений.
- Использование журналов действий и файлов.
- Управление приложениями OAuth.
- Просмотр и настройка шаблонов политик.
- Предоставление помощи в настройке в основных вариантах использования SaaS (включая создание или обновление до шести (6) политик).
- Общие сведения о корреляции инцидентов на портале Microsoft Defender.
Вне области поддержки
- Обсуждения, сравнивающие Defender для облачных приложений с другими предложениями безопасности cloud Access Security Broker (CASB) или SaaS.
- Настройка Defender для облачных приложений в соответствии с определенными нормативными требованиями.
- Развертывание службы в непроизводственной тестовой среде.
- Развертывание Cloud App Discovery в качестве подтверждения концепции.
- Настройка инфраструктуры, установка или развертывание автоматической отправки журналов для непрерывных отчетов с помощью Docker или сборщика журналов.
- Создание отчета snapshot Cloud Discovery.
- Блокировка использования приложений с помощью сценариев блокировки.
- Добавление пользовательских приложений в Cloud Discovery.
- Подключение пользовательских приложений с помощью управления условным доступом к приложениям.
- Подключение и развертывание управления условным доступом к приложениям для любого приложения.
- Интеграция со сторонними поставщиками удостоверений (IDP) и поставщиками защиты от потери данных (DLP).
- Учебные курсы или руководства по расширенной охоте.
- Автоматическое исследование и исправление, включая сборники схем Microsoft Power Automate.
- Интеграция SIEM или API (включая Microsoft Sentinel).
Руководства по расширенному развертыванию Майкрософт
Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.
Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.
Microsoft Defender для конечной точки
Microsoft Defender для конечной точки — это платформа, предназначенная для того, чтобы помочь корпоративным сетям предотвращать, обнаруживать, исследовать и реагировать на сложные угрозы.
FastTrack предоставляет удаленные рекомендации для:
- Оценка версии ОС и подхода к управлению устройствами (включая Microsoft Intune, microsoft Endpoint Configuration Manager, групповая политика и сторонние конфигурации), а также состояние служб av Защитник Windows или другого программного обеспечения для обеспечения безопасности конечных точек.
- Подключение Microsoft Defender для конечной точки P1 и P2 с помощью:
- Локальный скрипт.
- групповая политика.
- Intune.
- Configuration Manager.
- Управление параметрами безопасности Defender для конечной точки.
- Предоставление рекомендуемых рекомендаций по настройке трафика Майкрософт через прокси-серверы и брандмауэры, ограничение сетевого трафика для устройств, которые не могут подключаться напрямую к Интернету.
- Включение службы Defender для конечной точки путем объяснения того, как развернуть профиль агента обнаружения и реагирования на конечные точки (EDR) с помощью одного из поддерживаемых методов управления.
- Руководство по развертыванию, помощь по настройке и обучение по следующим вопросам:
- Основные функции управления уязвимостями.
- Сокращение направлений атак. 1
- Защита нового поколения.
- Выявление конечных точек и реагирование на них.
- Автоматическое исследование и защита.
- Оценка безопасности для устройств.
- Microsoft Defender конфигурации SmartScreen с помощью Intune.
- Обнаружение устройств. 2
- Просмотр симуляций и учебников (например, сценариев практики, поддельных вредоносных программ и автоматизированных расследований).
- Общие сведения о функциях создания отчетов и аналитики угроз.
- Интеграция Microsoft Defender для Office 365, Microsoft Defender для удостоверений и Defender for Cloud Apps с Defender для конечной точки.
- Выполните пошаговые руководства на портале Microsoft Defender.
- Подключение и настройка следующих операционных систем:
- Windows 10/11, включая облачные компьютеры Windows 365.
- Windows Server 2012 R2. 3
- Windows Server 2016. 3
- Windows Server 2019. 3
- Windows Server 2022. 3
- Windows Server 2019 Core Edition. 3
- Поддерживаемые версии macOS.
- Android. 4
- Ios. 4
1 Поддерживаются только правила сокращения направлений атак, управляемый доступ к папкам и защита сети. Все остальные возможности сокращения направлений атак не область. Дополнительные сведения см. в следующем разделе Out of область.
2 Поддерживаются только некоторые аспекты обнаружения устройств. Дополнительные сведения см. в следующем разделе Out of область.
3 Windows Server 2012 R2 и 2016 поддержка ограничена подключением и настройкой единого агента. Серверы должны управляться поддерживаемой версией Configuration Manager.
4 Дополнительные сведения см. в следующем разделе Вне область сведения о защите от угроз на мобильных устройствах.
Вне области поддержки
- Руководство по подключению и включению предварительных версий функций.
- Устранение неполадок, возникающих во время взаимодействия (включая устройства, которые не удалось подключить).
- Поддержка Microsoft Defender для бизнеса.
- Подключение или настройка для следующих агентов Defender для конечной точки:
- Windows Server 2008.
- Linux.
- инфраструктура виртуальных рабочих столов (VDI) (постоянный или непостоянный), включая Виртуальный рабочий стол Azure и сторонние решения VDI.
- Подключение и настройка сервера:
- Настройка прокси-сервера для автономной связи.
- Настройка пакетов развертывания Configuration Manager на экземплярах и версиях Configuration Manager нижнего уровня.
- Серверы, не управляемые Configuration Manager.
- Интеграция Defender для конечной точки с Microsoft Defender для серверов (Microsoft Defender для облака).
- Подключение и настройка macOS:
- Развертывание на основе JAMF.
- Другое развертывание на основе продукта управления мобильными устройствами (MDM).
- Развертывание вручную.
- Подключение и настройка защиты мобильных устройств от угроз (Android и iOS):
- Неуправляемый перенос собственных устройств (BYOD) или устройств, управляемых другими корпоративными системами управления мобильностью.
- Настройте политики защиты приложений (например, управление мобильными приложениями (MAM)).
- Устройства Android, зарегистрированные администратором.
- Помощь в сосуществовании нескольких профилей VPN.
- Подключение устройств к Intune. Дополнительные сведения о помощи по подключению см. в разделе Microsoft Intune.
- Конфигурация следующих возможностей сокращения направлений атак:
- Изоляция аппаратного приложения и браузера (включая Application Guard).
- Элемент управления приложениями, включая AppLocker и Защитник Windows управление приложениями.
- Управление устройством.
- Защита от эксплойтов.
- Брандмауэры сети и конечных точек.
- Настройка или управление функциями защиты учетных записей, такими как:
- Credential Guard.
- Членство в локальной группе пользователей.
- Настройка Или управление BitLocker.
Примечание.
Сведения о помощи BitLocker с Windows 11 см. в разделе Windows 11.
- Настройка или управление обнаружением сетевых устройств.
- Настройка или управление следующими возможностями обнаружения устройств:
- Подключение неуправляемых устройств, не область для FastTrack (например, Linux).
- Настройка или исправление устройств Интернета вещей (IoT), включая оценку уязвимостей устройств Интернета вещей с помощью Defender для Интернета вещей.
- Интеграция со сторонними инструментами.
- Исключения для обнаружения устройств.
- Предварительная помощь в работе с сетями.
- Устранение неполадок с сетью.
- Моделирование атак (включая тестирование на проникновение).
- Развертывание или конфигурация экспертов Майкрософт по угрозам.
- Руководство по настройке или обучению подключений API или SIEM.
- Учебные курсы или руководства по расширенной охоте.
- Учебные материалы или руководства по использованию или созданию запросов Kusto.
- Обучение или рекомендации по настройке SmartScreen Defender с использованием объектов групповая политика , Безопасность Windows или Microsoft Edge.
- Надстройка управления уязвимостями Defender.
- Автономное управление уязвимостями Defender.
Обратитесь к партнеру Майкрософт за помощью в этих службах.
Руководства по расширенному развертыванию Майкрософт
Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.
Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.
Microsoft Defender для удостоверений
Microsoft Defender для удостоверений — это облачное решение для обеспечения безопасности. Он использует ваши локальные сигналы Active Directory для идентификации, обнаружения и расследования сложных угроз, скомпрометированных удостоверений и злонамеренных внутренних действий, направленных против вашей организации.
FastTrack предоставляет удаленные рекомендации для:
- Запуск средства определения размера для планирования емкости ресурсов.
- Создание экземпляра Defender для удостоверений.
- Настройка сбора событий Windows в доменные службы Active Directory (AD DS), службы федерации Active Directory (AD FS) (AD FS) и службах сертификатов Active Directory (AD CS).
- Управление доступом администратора с помощью групп ролей.
- Скачивание, развертывание и настройка датчика на контроллерах домена Active Directory для сред с одним и несколькими лесами.
- Скачивание, развертывание и настройка датчика на серверах AD FS.
- Конфигурация портала, в том числе:
- Добавление тегов к конфиденциальным учетным записям, устройствам или группам.
- Email уведомления о проблемах работоспособности и оповещениях системы безопасности.
- Исключения оповещений.
- Запланированные отчеты.
- Предоставление рекомендаций по развертыванию, помощь по настройке и обучение по следующим вопросам:
- Отчеты об оценке состояния безопасности удостоверений в оценке безопасности Майкрософт.
- Отчеты о рейтинге приоритета исследования пользователей и рейтинге исследования пользователей.
- Неактивные отчеты пользователей.
- Параметры исправления в скомпрометированных учетных записях.
- Упрощение миграции с Advanced Threat Analytics (ATA) в Defender для удостоверений (если применимо).
Вне области поддержки
- Развертывание Defender для удостоверений в качестве подтверждения концепции.
- Развертывание или выполнение следующих действий датчика Defender для удостоверений:
- Планирование емкости вручную.
- Развертывание автономного датчика.
- Развертывание датчика с помощью адаптера объединения сетевой карты (NIC).
- Развертывание датчика с помощью стороннего средства.
- Подключение к облачной службе Defender для удостоверений через подключение веб-прокси.
- Создание и настройка учетных записей службы каталогов или управление учетными записями действий в Active Directory, включая групповые управляемые учетные записи служб (gMSA).
- Создание и настройка разрешений для базы данных AD FS.
- Создание учетных записей или устройств honeytokens и управление ими.
- Включение разрешения сетевых имен (NNR).
- Включение и настройка контейнера Удаленных объектов.
- Руководство по развертыванию или обучение по следующим вопросам:
- Исправление или интерпретация различных типов оповещений и отслеживаемых действий.
- Исследование пользователя, компьютера, пути бокового смещения или сущности.
- Угроза или расширенная охота.
- Реагирование на инциденты.
- Предоставляет руководство по лаборатории оповещений системы безопасности для Defender для удостоверений.
- Предоставление уведомлений, когда Defender для удостоверений обнаруживает подозрительные действия, отправляя оповещения системы безопасности на сервер системного журнала через назначенный датчик.
- Настройка Defender для удостоверений для выполнения запросов с помощью удаленного протокола диспетчера учетных записей безопасности (SAMR) для идентификации локальных администраторов на определенных компьютерах.
- Настройка решений VPN для добавления сведений из VPN-подключения на страницу профиля пользователя.
- Интеграция SIEM или API (включая Microsoft Sentinel).
Требования к исходной среде
- Соответствует предварительным требованиям Defender для удостоверений.
- Развернуты Active Directory, AD FS и AD CS.
- Контроллеры домена Active Directory, на которых вы планируете установить датчики Defender для удостоверений, имеют подключение к Интернету к облачной службе Defender для удостоверений.
- Брандмауэр и прокси-сервер должны быть открыты для связи с облачной службой Defender для удостоверений (*.atp.azure.com порт 443 должен быть открыт).
- Контроллеры домена, работающие на одном из следующих серверов:
- Windows Server 2016.
- Windows Server 2019 с KB4487044 (сборка ОС 17763.316 или более поздней версии).
- Windows Server 2022.
- Microsoft платформа .NET Framework 4.7 или более поздней версии.
- Требуется не менее шести (6) ГБ дискового пространства и рекомендуется 10 ГБ.
- Два (2) ядра и шесть (6) ГБ ОЗУ, установленные на контроллере домена.
Руководства по расширенному развертыванию Майкрософт
Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.
Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.
Microsoft Defender для Office 365
Microsoft Defender для Office 365 защищает вашу организацию от вредоносных угроз, связанных с сообщениями электронной почты, ссылками (URL-адресами), вложениями и инструментами совместной работы, такими как Microsoft Teams, SharePoint и Outlook. С помощью представлений угроз в режиме реального времени и таких средств, как Обозреватель угроз, вы можете искать потенциальные угрозы и опережать их. Используйте обучение имитации атак для выполнения реалистичных сценариев атак в вашей организации. Эти имитированные атаки помогут вам определить и найти уязвимых пользователей до того, как реальная атака повлияет на вашу прибыль.
FastTrack предоставляет удаленные рекомендации для:
- Ознакомьтесь с анализатором конфигурации и (или) Defender для Office 365 рекомендуемого анализатора конфигурации (ORCA).
- Настройка режима оценки.
- Включение предустановленных политик, безопасных ссылок (включая безопасные документы), безопасных вложений, защиты от вредоносных программ, фишинга, нежелательной почты, защиты от спуфингом, олицетворения и политик карантина.
- Включение защиты Teams.
- Настройка параметров сообщений, сообщаемых пользователем.
- Использование симулятора атак и настройка расширенной политики доставки
- Обзор отправки списка разрешенных и заблокированных клиентов (TABL), страницы сущностей электронной почты, отчетов, кампаний, обозревателя угроз и аналитики угроз.
- Обзор автоматизации автоматической очистки нулевого часа (ZAP), а также исследования и реагирования (AIR).
- Общие сведения о корреляции инцидентов на портале Microsoft Defender.
- Переход от стороннего поставщика в соответствии с рекомендациями Майкрософт за исключением создания инвентаризации текущих параметров, перемещения функций, изменяющих сообщения, в Microsoft 365 и настройки расширенной фильтрации соединителей.
Вне области поддержки
- Обсуждения, сравнивающие Defender для Office 365 с другими предложениями безопасности.
- Развертывание Defender для Office 365 в качестве подтверждения концепции.
- Анализ потока обработки почты.
- Улучшенная фильтрация.
- Учебные курсы или руководства по расширенной охоте.
- Интеграция с сборниками схем Microsoft Power Automate.
- Интеграция SIEM или API (включая Microsoft Sentinel).
Требования к исходной среде
Помимо подключения ядра FastTrack, необходимо также настроить Exchange Online.
Руководства по расширенному развертыванию Майкрософт
Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.
Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по