возможности и сценарии Microsoft Defender для конечной точки партнеров

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Партнеры могут легко расширить свои существующие предложения безопасности на основе открытой платформы, а также широкий и полный набор API для создания расширений и интеграции с Defender для конечной точки.

API охватывают функциональные области, включая обнаружение, управление, реагирование, уязвимости и широкий спектр вариантов использования аналитики. В зависимости от варианта использования и необходимости партнеры могут выполнять потоковую передачу или запрашивать данные из Defender для конечной точки.

Сценарий 1. Корреляция внешних оповещений и автоматическое исследование и исправление

Defender для конечной точки предоставляет уникальные возможности автоматического исследования и исправления для обеспечения реагирования на инциденты в большом масштабе.

Интеграция возможностей автоматического исследования и реагирования с другими решениями, такими как продукты безопасности сети или другие продукты безопасности конечных точек, помогают устранять оповещения. Интеграция также сводит к минимуму сложности, связанные с корреляцией сигналов сети и устройства, эффективно оптимизируя действия по расследованию и исправлению угроз на устройствах.

Defender для конечной точки добавляет поддержку для этого сценария в следующих формах:

• Внешние оповещения могут быть отправлены в Defender для конечной точки и представлены параллельно с дополнительными оповещениями на основе устройств из Defender для конечной точки. Это представление предоставляет полный контекст оповещения с реальным процессом и полной историей атаки.

• После создания оповещения сигнал передается всем конечным точкам Defender для конечной точки, защищенным на предприятии. Defender для конечной точки немедленно принимает автоматический ответ или ответ с помощью оператора для устранения оповещения.

Сценарий 2. Интеграция с оркестрацией безопасности и реагированием на автоматизацию (SOAR)

Решения оркестрации могут помочь в создании сборников схем и интеграции полнофункциональной модели данных и действий, которые API Defender для конечной точки предоставляют для оркестрации ответов, таких как запрос данных устройства, активация изоляции устройства, блокировка и разрешение оповещений и т. д.

Сценарий 3. Сопоставление индикаторов

Индикатор компрометации ( IoCs) сопоставления является важной функцией в каждом решении для защиты конечных точек. Эта возможность доступна в Defender для конечной точки и позволяет задавать список индикаторов для предотвращения, обнаружения и исключения сущностей. Можно определить выполняемое действие, а также длительность применения действия.

Приведенные выше сценарии служат примерами расширяемости платформы. Вы не ограничиваетесь примерами, и мы, безусловно, рекомендуем использовать открытую платформу для обнаружения и изучения других сценариев.

Чтобы интегрировать решение в Defender для конечной точки, выполните действия, описанные в статье Стать партнером Microsoft Defender для конечной точки.

Связанная статья

• Обзор управления и интерфейсов API

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.