什么是 Microsoft 365 Defender?

  • 项目

备注

希望体验 Microsoft 365 Defender? 详细了解如何评估和试点Microsoft 365 Defender

适用于:

  • Microsoft 365 Defender

Microsoft 365 Defender 是一款统一的漏洞前和漏洞后企业防御套件,结合检测、预防、调查和应急为一体,可针对终结点、标识、电子邮件和应用程序提供集成的保护,抵御复杂的攻击。

借助集成的Microsoft 365 Defender解决方案,安全专业人员可以将这些产品接收的威胁信号拼接在一起,并确定威胁的完整范围和影响;威胁的进入方式、其影响以及它当前对组织的影响。 Microsoft 365 Defender采取自动操作来防止或停止攻击,并自行治愈受影响的邮箱、终结点和用户标识。

Microsoft 365 Defender 服务

Microsoft Defender for Endpoint
Microsoft Defender 漏洞管理
Microsoft Defender for Office 365
Microsoft Defender for Identity
Microsoft Defender for Cloud Apps

Microsoft 365 Defender交互式指南

在本交互式指南中,你将了解如何使用Microsoft 365 Defender保护组织。 你将了解Microsoft 365 Defender如何帮助检测安全风险、调查对组织的攻击,以及如何自动防止有害活动。

请查看交互指南

Microsoft 365 Defender保护

Microsoft 365 Defender服务保护:

  • 包含 Defender for Endpoint 的终结点 - Defender for Endpoint 是一个统一的终结点平台,用于预防性保护、违规后检测、自动调查和响应。
  • 具有 Defender 漏洞管理的资产 - Microsoft Defender 漏洞管理提供持续的资产可见性、基于风险的智能评估和内置的修正工具,以帮助安全和 IT 团队确定整个组织的关键漏洞和错误配置的优先级和解决。
  • 与Defender for Office 365的电子邮件和协作 - Defender for Office 365保护组织免受电子邮件、链接 (URL) 和协作工具构成的恶意威胁。
  • 具有 Defender for Identity 和 Azure Active Directory 的标识 (Azure AD) 标识保护 - Defender for Identity 使用本地 Active Directory域服务 (AD DS) 信号来识别、检测和调查针对组织的高级威胁、泄露标识和恶意内部操作。 Azure AD 标识保护在基于云的 Azure AD 中自动检测和修正基于标识的风险。
  • 具有Microsoft Defender for Cloud Apps的应用程序 - Microsoft Defender for Cloud Apps是一种全面的跨 SaaS 解决方案,可为云应用带来深度可见性、强大的数据控制和增强的威胁防护。

Microsoft 365 Defender独特的跨产品层将各个服务组件增强为:

  • 通过信号共享和自动操作帮助防范攻击,并协调服务中的防御性响应。
  • 通过将警报、可疑事件和受影响资产的数据加入到“事件”中,讲述安全团队在产品警报、行为和上下文中发生的攻击的完整故事。
  • 通过自动修正为受影响的资产触发自我修复,自动响应入侵。
  • 使安全团队能够跨终结点和 Office 数据执行详细且有效的威胁搜寻。

下面是一个示例,说明Microsoft 365 Defender门户如何将产品中的所有相关警报关联到单个事件中。

事件概述页

下面是事件相关警报列表的示例。

事件的警报列表

下面是基于电子邮件和终结点原始数据的基于查询的搜寻示例。

包含查询详细信息的高级搜寻页

Microsoft 365 Defender跨产品功能包括:

  • Microsoft 365 Defender门户中的跨产品单个玻璃窗格 - 在Microsoft 365 Defender 门户中,有关检测、受影响资产、自动执行的操作以及相关证据的所有信息的中心视图。

  • 组合事件队列 - 通过确保全面攻击范围、受影响的资产和自动修正操作组合在一起并及时显示,帮助安全专业人员专注于关键事项。

  • 对威胁的自动响应 - 关键威胁信息在Microsoft 365 Defender产品之间实时共享,以帮助阻止攻击的进度。

    例如,如果在受 Defender for Endpoint 保护的终结点上检测到恶意文件,它将指示Defender for Office 365扫描和删除所有电子邮件中的文件。 整个 Microsoft 365 安全套件将阻止该文件。

  • 针对受损设备、用户标识和邮箱的自我修复 - Microsoft 365 Defender使用 AI 支持的自动操作和 playbook 将受影响的资产修正回安全状态。 Microsoft 365 Defender利用套件产品的自动修正功能,确保尽可能自动修正与事件相关的所有受影响资产。

  • 跨产品威胁搜寻 - 安全团队可以利用他们独特的组织知识,通过对各种保护产品收集的原始数据创建自己的自定义查询来寻找妥协的迹象。 Microsoft 365 Defender提供对终结点和Defender for Office 365数据的 30 天历史原始信号和警报数据的基于查询的访问权限。

入门

Microsoft 365 Defender许可要求必须满足,然后才能在Microsoft 365 Defender门户中https://security.microsoft.com启用该服务,有关详细信息,请参阅: