Microsoft 365 Defender

Примечание

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения:

  • Microsoft 365 Defender

Microsoft 365 Defender — это единый пакет защиты предприятия до и после взлома, который встроенным образом координирует обнаружение, предотвращение, расследование и реагирование между конечными точками, удостоверениями, электронной почтой и приложениями для обеспечения интегрированной защиты от комплексных атак.

С помощью интегрированного решения Microsoft 365 Defender специалисты по безопасности могут объединить сигналы об угрозах, которые каждый из этих продуктов получает, и определить полную область и влияние угрозы, как она вошел в среду, на что она влияет и как она в настоящее время влияет на организацию. Microsoft 365 Defender выполняет автоматическое действие по предотвращению или остановке атаки и самостоятельному восстановлению затронутых почтовых ящиков, конечных точек и удостоверений пользователей.

Службы Microsoft 365 Defender

Microsoft Defender для конечной точки
Управление уязвимостями Microsoft Defender
Microsoft Defender для Office 365
Microsoft Defender для удостоверений
Microsoft Defender for Cloud Apps

Microsoft 365 Defender интерактивного руководства

В этом интерактивном руководстве вы узнаете, как защитить свою организацию с помощью Microsoft 365 Defender. Вы увидите, как Microsoft 365 Defender помогает обнаруживать угрозы безопасности, исследовать атаки в организации и автоматически предотвращать вредоносные действия.

Ознакомьтесь с интерактивным руководством

Microsoft 365 Defender защиты

Microsoft 365 Defender службы защищают:

  • Конечные точки с Defender для конечной точки — Defender для конечной точки — это единая платформа конечных точек для профилактической защиты, обнаружения нарушений, автоматического исследования и реагирования.
  • Ресурсы с управлением уязвимостями Defender — Управление уязвимостями Microsoft Defender обеспечивают непрерывную видимость ресурсов, интеллектуальные оценки на основе рисков и встроенные средства исправления, чтобы помочь ИТ-командам и безопасности определять приоритеты и устранять критические уязвимости и неправильные настройки в организации.
  • Электронная почта и совместная работа с Defender для Office 365 — Defender для Office 365 защищает вашу организацию от вредоносных угроз, создаваемых сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы.
  • Удостоверения с Defender для удостоверений и Azure Active Directory (Azure AD) Защита идентификации — Defender для удостоверений использует ваши сигналы доменных служб локальная служба Active Directory (AD DS) для выявления, обнаружения и исследования сложных угроз, скомпрометированных удостоверений и вредоносных участников программы предварительной оценки действия, направленные на вашу организацию. Azure AD identity Protection автоматизирует обнаружение и устранение рисков на основе удостоверений в облачных Azure AD.
  • Приложения с Microsoft Defender for Cloud Apps — Microsoft Defender for Cloud Apps — это комплексное решение для кросс-SaaS, которое обеспечивает глубокую видимость, надежные элементы управления данными и улучшенную защиту от угроз в облачных приложениях.

Microsoft 365 Defender уникального уровня между продуктами дополняет отдельные компоненты службы до следующих компонентов:

  • Защита от атак и координация защитных ответов между службами с помощью обмена сигналами и автоматизированных действий.
  • Закадрируйте полную историю атак в оповещениях, поведении и контексте продуктов для групп безопасности, присоединив данные об оповещениях, подозрительных событиях и затронутых ресурсах к "инцидентам".
  • Автоматизация реагирования на компрометацию путем активации самостоятельного восстановления затронутых ресурсов с помощью автоматического исправления.
  • Разрешите командам по обеспечению безопасности выполнять подробную и эффективную охоту на угрозы между конечной точкой и Office данных.

Ниже приведен пример того, как портал Microsoft 365 Defender сопоставляет все связанные оповещения между продуктами с одним инцидентом.

Страница обзора инцидента

Ниже приведен пример списка связанных оповещений об инциденте.

Список оповещений об инциденте

Ниже приведен пример охоты на основе запросов на основе необработанных данных электронной почты и конечной точки.

 Страница "Расширенная охота" с подробными сведениями о запросе

Microsoft 365 Defender компоненты для разных продуктов:

  • Единая панель разных продуктов на портале Microsoft 365 Defender — централизованное представление всех сведений об обнаружении, затронутых ресурсах, выполненных автоматических действиях и связанных свидетельствах в одной очереди и одной области на портале Microsoft 365 Defender.

  • Очередь объединенных инцидентов. Чтобы помочь специалистам по безопасности сосредоточиться на важном, обеспечивая полную область атаки, затронутые ресурсы и автоматические действия по исправлению группируются и отображаются своевременно.

  • Автоматическое реагирование на угрозы. Сведения о критических угрозах совместно используются в режиме реального времени между Microsoft 365 Defender продуктов, чтобы остановить ход атаки.

    Например, если в конечной точке, защищенной Defender для конечной точки, обнаружен вредоносный файл, будет Defender для Office 365 отсканировать и удалить файл из всех сообщений электронной почты. Файл будет заблокирован при появлении всем Microsoft 365 безопасности.

  • Самовосстановление скомпрометированных устройств , удостоверений пользователей и почтовых ящиков — Microsoft 365 Defender использует автоматические действия и сборники схем на основе искусственного интеллекта для восстановления затронутых ресурсов в безопасное состояние. Microsoft 365 Defender использует возможности автоматического исправления продуктов набора, чтобы обеспечить автоматическое исправление всех затронутых ресурсов, связанных с инцидентом, где это возможно.

  • Межпроигрывная охота на угрозы. Команды безопасности могут использовать свои уникальные знания организации для поиска признаков компрометации путем создания собственных пользовательских запросов к необработанным данным, собранным различными продуктами защиты. Microsoft 365 Defender предоставляет доступ на основе запросов к 30 дням исторических необработанных сигналов и данных оповещений между конечной точкой и Defender для Office 365 данных.

Начало работы

Microsoft 365 Defender необходимо выполнить требования к лицензированию, прежде чем вы сможете включить службу на портале Microsoft 365 Defenderhttps://security.microsoft.com. Дополнительные сведения см. в следующих статьях:

Портал Microsoft 365 Defender

Портал Microsoft 365 Defender объединяет защиту, обнаружение, исследование и реагирование на угрозы электронной почты , совместной работы, удостоверений , устройств и приложений в централизованном расположении.

Эта единая панель объединяет функциональные возможности существующих порталов безопасности Майкрософт, таких как портал Microsoft 365 Defender и Office 365 Security & Compliance Center. На Microsoft 365 Defender внимание уделяется быстрому доступу к информации, упрощению макетов и их совместному использованию. Он включает следующее:

  • Microsoft Defender для Office 365 Microsoft Defender для Office 365 помогает организациям защитить свою организацию с помощью набора функций предотвращения, обнаружения, исследования и охоты для защиты электронной почты и Office 365 ресурсов.
  • Microsoft Defender для конечной точки обеспечивает профилактическую защиту, обнаружение нарушений безопасности, автоматическое исследование и реагирование на устройства в организации.
  • Microsoft 365 Defender является частью решения Майкрософт по расширенному обнаружению и реагированию ( XDR), которое использует портфель безопасности Microsoft 365 для автоматического анализа данных об угрозах в разных доменах и создания изображения атаки на одной панели мониторинга.
  • Microsoft Defender for Cloud Apps — это комплексное решение для кросс-SaaS и PaaS, которое обеспечивает глубокую видимость, надежные элементы управления данными и улучшенную защиту от угроз в облачных приложениях.

Если вам нужны сведения о том, что изменилось с Office 365 Security & Compliance Center или портале Microsoft 365 Defender, см. следующие сведения:

Примечание

Портал Microsoft 365 Defender использует и применяет существующий доступ на основе ролей и перемещает каждую модель безопасности на единый портал. Каждая конвергентная рабочая нагрузка имеет собственный доступ на основе ролей. Роли, уже входящих в продукты, будут автоматически Microsoft 365 Defender портале. Однако Microsoft Defender for Cloud Apps по-прежнему будут обрабатывать собственные роли и разрешения.

Что следует ожидать

Все содержимое безопасности, которое вы используете в Office 365 Security & Compliance Center и Центр безопасности Microsoft 365, теперь можно найти на Microsoft 365 Defender портале.

Портал Microsoft 365 Defender помогает командам безопасности исследовать атаки и реагировать на них путем передачи сигналов из разных рабочих нагрузок в набор унифицированных интерфейсов для:

  • Оповещений и инцидентов
  • Охоты на угрозы
  • Центра уведомлений
  • Аналитики угроз

Microsoft 365 Defender внимание уделяется unity, ясности и общим целям по мере объединения Microsoft Defender для Office 365 и Microsoft Defender для конечной точки. Слияние было основано на приоритетах, перечисленных ниже, и выполнено без ущерба для возможностей, которые каждый набор безопасности использовал в сочетании:

  • Стандартные блоки
  • Общая терминология
  • Общие сущности
  • Четность функций с другими рабочими нагрузками

Примечание

Портал Microsoft 365 Defender доступен без необходимости, чтобы клиенты могли выполнить миграцию или приобрести новую лицензию. Например, этот новый портал доступен администраторам с подпиской E3 так же, как и администраторам с планами Microsoft Defender для Office 365 1 и 2; однако Exchange Online Protection или Defender для Office 365 Клиенты плана 1 видят только функции безопасности, поддерживаемые лицензией на подписку. Цель портала — централизовать безопасность.

Объединенных исследований

Централизация сведений о безопасности создает единое место для исследования инцидентов безопасности в Microsoft 365. Основным примером является инциденты в разделе "Инциденты& оповещения при быстром запуске Microsoft 365 Defender.

Страница "Инциденты" на Microsoft 365 Defender портале

При выборе имени инцидента отображается страница, демонстрирующее значение централизации сведений о безопасности.

Страница сводки по инциденту на портале Microsoft 365 Defender

В верхней части страницы инцидента вы увидите вкладки "Сводка ", "Оповещения ", "Устройства ", "Пользователи ", " Почтовые ящики ", " Исследования ", "Свидетельство и ответ" и " Graph". Выберите эти вкладки, чтобы получить более подробные сведения. Например, на вкладке " Пользователи" отображаются сведения для пользователей из конвергентных рабочих нагрузок (Microsoft Defender для конечной точки, Microsoft Defender для удостоверений и Microsoft Defender for Cloud Apps) и диапазон источников, таких как локальная служба Active Directory доменных служб (AD DS), Azure AD и сторонних поставщиков удостоверений. Дополнительные сведения см. в разделе "Исследование пользователей".

Укажите время, чтобы просмотреть инциденты в своей среде, детализировать эти вкладки и попеть понять, как получить доступ к информации, предоставленной для инцидентов, для различных видов угроз.

Дополнительные сведения см. в разделе об инцидентах в Microsoft 365 Defender.

Улучшенные процессы

Общие элементы управления и содержимое отображаются в одном месте или сжаты в один канал данных, что упрощает поиск. Например, унифицированные параметры.

Унифицированные параметры

Страница Параметры на портале Microsoft 365 Defender

Разрешения & ролей

Роли конечных точек & групп, отображаемых на странице & разрешений

Доступ к Microsoft 365 Defender настраивается с помощью Azure AD глобальных ролей или с помощью пользовательских ролей. Сведения о Defender для конечной точки см. в статье "Назначение пользователю доступа к Microsoft 365 Defender портала". Дополнительные Defender для Office 365 см. в разделе "Разрешения" Портал соответствия требованиям Microsoft Purview и Microsoft 365 Defender.

Примечание

Microsoft Defender для конечной точки в Microsoft 365 Defender поддерживает предоставление доступа управляемым поставщикам служб безопасности (MSSP) таким же образом, как доступ предоставляется на Microsoft 365 Defender портале.

Интегрированные отчеты

Отчеты также унифицированы в Microsoft 365 Defender. Администраторы могут начинать с общего отчета о безопасности и ветвления в определенные отчеты о конечных точках, отправлять сообщения электронной почты & совместной работы. Ссылки здесь динамически создаются на основе конфигурации рабочей нагрузки.

Быстрое просмотр Microsoft 365 среды

На домашней странице отображается множество общих карточек, необходимых командам безопасности. Состав карточек и данных зависит от роли пользователя. Так Microsoft 365 Defender портале использует управление доступом на основе ролей, различные роли будут видеть карточки, которые более значимы для их повседневных заданий.

Эти подробные сведения помогут вам следить за последними действиями в организации. Microsoft 365 Defender объединяет сигналы из разных источников, чтобы представить целостное представление Microsoft 365 среды.

Карточки делятся на следующие категории:

Поиск между сущностями (предварительная версия)

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений. Панель поиска находится в верхней части страницы. По мере ввода предложения предоставляются для упрощения поиска сущностей. Страница расширенных результатов поиска централизует результаты всех сущностей.

Вы можете выполнять поиск по следующим сущностям в Defender для конечной точки и Defender для удостоверений:

  • Устройства поддерживаются как для Defender для конечной точки, так и для Defender для удостоверений. Поддерживает использование операторов поиска.

  • Пользователи — поддерживается для Defender для конечной точки, Defender для удостоверений и Defender для облака приложений.

  • Файлы, IP-адреса и URL-адреса — те же возможности, что и в Defender для конечной точки.

    Примечание

    Поиск по IP-адресам и URL-адресам точно совпадает и не отображается на странице результатов поиска— они ведут непосредственно на страницу сущности.

  • TVM — те же возможности, что и в Defender для конечной точки (уязвимости, программное обеспечение и рекомендации).

Аналитика угроз с улучшенным покрытием данных

Отслеживайте возникающие угрозы и реагируйте на них с помощью следующего интерфейса Microsoft 365 Defender аналитики угроз:

  • Улучшенное покрытие данных между Microsoft Defender для конечной точки и Microsoft Defender для Office 365, что делает возможным совместное управление инцидентами, автоматическое исследование, исправление и упреждающее или реактивное обнаружение угроз в домене.
  • Обнаружение и устранение рисков, связанных с электронной почтой, Microsoft Defender для Office 365 в дополнение к данным конечной точки, уже доступным из Microsoft Defender для конечной точки.
  • Представление инцидентов, связанных с угрозами, которые объединяют оповещения в сквозные истории атак Microsoft Defender для конечной точки и Microsoft Defender для Office 365, чтобы сократить рабочую очередь, а также упростить и ускорить исследование.
  • Попытки атаки обнаружены и блокируются Microsoft 365 Defender решениями. Кроме того, существуют данные, которые можно использовать для выполнения профилактических действий, которые устраняют риск дальнейшей уязвимости и увеличивают устойчивость.
  • Улучшенная структура, которая помещает в центр внимания практические сведения, чтобы помочь вам быстро идентифицировать данные, чтобы в срочном порядке сосредоточиться на отчетах, изучить их и использовать их.

Централизованный центр Обучение

Microsoft 365 Defender портале есть центр обучения, который создает официальные рекомендации из таких ресурсов, как блог по безопасности Майкрософт, сообщество по безопасности Майкрософт на YouTube и официальная документация на сайте docs.microsoft.com.

В центре обучения руководство по совместной & электронной почты (Microsoft Defender для Office 365) выполняется параллельно с конечной точкой (Microsoft Defender для конечной точки) и Microsoft 365 Defender ресурсами обучения.

Откроется центр обучения с Обучение по темам, таким как "How to Investigate Using Microsoft 365 Defender?" и "Microsoft Defender для Office 365 рекомендации". В настоящее время этот раздел курируются группой продуктов безопасности в корпорации Майкрософт. Каждый Обучение пути отражает проецемое время, необходимое для получения основных понятий. Например, "Действия, которые необходимо выполнить при Microsoft Defender для Office 365 учетной записи пользователя", попросят 8 минут, и это полезное обучение на лету.

После щелчка по содержимому может быть полезно закладки этого сайта и упорядочить закладки в папку "Безопасность" или "Критический". Чтобы просмотреть все Обучение пути, щелкните ссылку "Показать все" на главной панели.

Примечание

В верхней части центра обучения Microsoft 365 Defender есть полезные фильтры, которые позволяют выбирать между продуктами (в настоящее время Microsoft 365 Defender, Microsoft Defender для конечной точки и Microsoft Defender для Office 365). Обратите внимание, что в списке указано количество учебных ресурсов для каждого раздела, что поможет обучающимся отслеживать, сколько ресурсов у них есть для обучения и обучения.

Наряду с фильтром "Продукт" перечислены текущие разделы, типы ресурсов (от видео до вебинары), уровни знания или опыта работы с областями безопасности, ролями безопасности и функциями продукта.

Совет

Существует множество других возможностей обучения в Microsoft Learn. Вы найдете обучение сертификации, например курс MS-500T02-A: реализация Microsoft 365 угроз.

Отправьте нам свой отзыв

Нам нужен ваш отзыв. Мы всегда хотим улучшить работу, поэтому если вы хотите увидеть что-то, посмотрите это видео, чтобы узнать, как вы можете доверять нам читать ваши отзывы.

Вы также можете оставить отзыв из этой статьи. В конце раздела "Отзывы" в разделе "Отправить и просмотреть отзыв" доступны следующие параметры: "Этот продукт" или "Эта страница".

Используйте кнопку "Этот продукт " для обратной связи с продуктом :

  1. Выберите этот продукт в нижней части статьи.
    1. Щелкните правой кнопкой мыши и выберите команду "Открыть на новой вкладке", если вы хотите продолжать читать эти направления.
  2. Откроется форум UserVoice.
  3. У вас есть 2 варианта:
    1. Прокрутите вниз до текстового поля Как улучшить соответствие требованиям или защитить пользователей в Office 365 ? И вставьте Microsoft 365 Defender. Вы можете найти в результатах такие идеи, как ваша, и проголосовать за нее, или использовать кнопку для публикации новой идеи.
    2. Если вы уверены, что эта проблема уже зарегистрирована и хотите создать ее профиль с помощью голосов (или голосов), используйте поле "Отправить отзыв" в правой части UserVoice. Найдите Microsoft 365 Defender, найдите проблему и нажмите кнопку "Проголосовать", чтобы вызвать ее состояние.

Используйте эту страницу для обратной связи по самой статье. Благодарим за ваши отзывы. Ваш голос помогает нам улучшать продукты.

Узнайте, что Microsoft 365 Defender портала

Продолжайте изучать функции и возможности в Microsoft 365 Defender:

Обучение аналитиков безопасности

С помощью этой схемы обучения из Microsoft Learn вы можете понять, Microsoft 365 Defender как она помогает выявлять, контролировать и устранять угрозы безопасности.

Учебный курс. Обнаружение кибератак и реагирование на них с помощью Microsoft 365 Defender
Значок учебного курса Microsoft 365 Defender. Microsoft 365 Defender объединяет сигналы угроз из конечных точек, удостоверений, электронной почты и приложений для обеспечения интегрированной защиты от сложных кибератак. Microsoft 365 Defender — это централизованный интерфейс для исследования инцидентов и реагирования на них, а также для профилактического поиска текущих вредоносных действий в области кибербезопасности.

1 ч 38 мин. Схема обучения 5 модулей

См. также