Microsoft Defender 入口網站中的 適用於身分識別的 Microsoft Defender
注意事項
想要體驗 Microsoft Defender 全面偵測回應 嗎? 深入瞭解如何評估和試驗 Microsoft Defender 全面偵測回應。
適用於:
適用於身分識別的 Microsoft Defender 現在是 Microsoft Defender 入口網站的一部分,這是監視和管理 Microsoft 身分識別、數據、裝置、應用程式和基礎結構安全性的首頁。 Microsoft Defender 入口網站可讓安全性系統管理員在一個位置執行其安全性工作,以簡化工作流程,並整合來自其他 Microsoft Defender 全面偵測回應 服務的功能。
適用於身分識別的 Microsoft Defender 會將身分識別焦點資訊提供給 Microsoft Defender 入口網站呈現的事件和警示。 這項資訊是提供內容以及讓 Microsoft Defender 全面偵測回應 內其他產品警示相互關聯的關鍵。
Microsoft Defender 入口網站中的融合式體驗
Microsoft Defender 入口網站結合了可保護、偵測、調查及響應電子郵件、共同作業、身分識別和裝置威脅的安全性功能,現在包含舊版適用於身分識別的 Defender 入口網站中提供的所有功能。
雖然數據放置可能與傳統適用於身分識別的 Defender 入口網站不同,但您的數據現在已整合到 [Microsoft Defender 入口網站] 頁面,讓您可以檢視所有受監視實體的數據。
下列各節說明在 Microsoft Defender 入口網站中找到的增強型適用於身分識別的Defender功能。
注意事項
使用適用於身分識別的傳統Defender入口網站的客戶現在會自動重新導向至 Microsoft Defender入口網站,而無須選擇還原回傳統入口網站。
設定和狀態
| 區域 | 說明 |
|---|---|
| 全域排除專案 | 全域排除專案可讓您定義要在所有適用於身分識別的Defender偵測中排除的特定實體,例如IP位址、裝置或網域。 例如,如果您只排除裝置,則排除範圍只會套用至在偵測過程中具有 裝置 識別的偵測。 如需詳細資訊,請參閱 全域排除的實體。 |
| 管理動作和目錄服務帳戶 | 您可能想要藉由停用其帳戶或重設其密碼來回應遭入侵的使用者。 當您採取其中一個動作時,預設會將 Microsoft Defender 入口網站設定為使用本機系統帳戶。 因此,如果您想要擁有更多控制權,只需要設定動作和目錄服務帳戶設定,並定義不同的使用者帳戶來執行使用者補救動作。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 動作帳戶。 |
| 自定義許可權角色 | Microsoft Defender 入口網站支援自定義許可權角色。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 角色型存取控制 (RBAC) |
| Microsoft 安全分數 | 適用於身分識別的 Defender 安全性狀態評估可在 Microsoft 安全分數中取得。 每個評量都是可下載的報告,其中包含使用指示和工具,可建置補救或解決問題的行動計劃。 依 身 分識別篩選 Microsoft 安全分數,以檢視適用於身分識別的 Defender 評量。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 的安全性狀態評估。 |
| API | 使用下列任一 Microsoft Defender 全面偵測回應 API 搭配適用於身分識別的 Defender: - 透過 API 查詢活動 - 透過 API 管理安全性警示 - 將安全性警示和活動 Stream 至 Microsoft Sentinel 秘訣:Microsoft Defender 入口網站只會儲存 30 天的進階搜捕數據。 如果您需要較長的保留期間,請將活動串流至 Microsoft Sentinel 或其他合作夥伴安全性資訊,以及 (SIEM) 系統的事件管理。 |
| 上線 | 適用於身分識別的 Defender 現在已針對新客戶自動上線,不需要設定工作區。 如果您需要刪除實例,請開啟 Microsoft 支援案例。 |
調查
| 區域 | 說明 |
|---|---|
| 身分識別 區域 | 在 Microsoft Defender 入口網站中,展開 [身分識別] 區域,以檢視具有常用數據的圖形和小工具儀錶板、[健康情況問題] 頁面、列出適用於身分識別的 Defender 部署的所有健康情況問題,以及 [工具] 頁面,其中包含常用工具和文件的連結。 如需詳細資訊, 請參閱檢視 ITDR 儀錶板 和 適用於身分識別的 Defender 健康情況問題。 |
| 身分識別頁面 | Microsoft Defender 入口網站的身分識別詳細數據頁面提供每個身分識別的內含數據,例如: - 任何相關聯的警示 - Active Directory 帳戶控制 - 具風險的橫向動作路徑 - 活動和警示的時間軸 - 觀察到的位置、裝置和群組的詳細數據。 如需詳細資訊,請參閱在 Microsoft Defender 入口網站中調查使用者。 |
| 裝置頁面 | Microsoft Defender 入口網站警示辨識項會列出所有連線到每個可疑活動的裝置和使用者。 在警示中選取特定裝置以存取裝置詳細數據頁面,進一步調查。 如需詳細資訊,請參閱 適用於端點的 Microsoft Defender 裝置清單中的調查裝置。 |
| 進階搜捕 | Microsoft Defender 入口網站可協助您使用進階搜尋查詢主動搜尋威脅和惡意活動。 這些功能強大的查詢可用來找出並檢閱已知和潛在威脅的威脅指標和實體。 從進階搜捕查詢建置自定義偵測規則,以協助您主動 watch 可能表示入侵活動和裝置設定錯誤的事件。 如需詳細資訊,請參閱在 Microsoft Defender 入口網站中使用進階搜捕主動搜捕威脅。 |
| 全域搜尋 | 使用 Microsoft Defender 入口網站頁面頂端的搜尋列來搜尋 Microsoft Defender 全面偵測回應 監視的任何實體,包括身分識別、端點、Office 365 數據、Active Directory 群組 (預覽) 等等。 直接從搜尋下拉式清單中選取結果,或選取 [ 所有使用者 ] 或 [ 所有裝置 ] 以查看與指定搜尋字詞相關聯的所有實體。 |
| 橫向動作路徑 | 除了使用者詳細數據頁面上的 [橫向動作路徑] 索引標籤之外,Microsoft Defender 入口網站還會在 [進階搜捕] 頁面和橫向動作路徑安全性評估上提供橫向動作路徑數據。 如需詳細資訊,請參閱瞭解及調查使用 適用於身分識別的 Microsoft Defender (LMP) 橫向動作路徑。 |
偵測和回應
| 區域 | 說明 |
|---|---|
| 警示和事件相互關聯 | 適用於身分識別的Defender警示現在包含在 Microsoft Defender入口網站的警示佇列中,可供自動化事件相互關聯功能使用。 在一個位置檢視所有警示,並以比之前更快的速度判斷缺口的範圍。 如需詳細資訊,請參閱在 Microsoft Defender 入口網站中調查適用於身分識別的Defender警示。 |
| 警示排除專案 | Microsoft Defender 入口網站的警示介面更方便使用者使用,並包含搜尋函式和全域排除專案,這表示您可以從適用於身分識別的 Defender 所產生的所有警示中排除任何實體。 如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中設定適用於身分識別的 Defender 偵測排除專案。 |
| 警示微調 | 警示微調先前稱為 警示歸併,可讓您調整警示並將其優化。 警示微調可減少誤判,讓您的SOC小組專注於高優先順序的警示,並改善整個系統的威脅偵測涵蓋範圍。 在 Microsoft Defender 全面偵測回應 中,根據辨識項類型建立規則條件,然後在符合條件的任何規則類型上套用您的規則。 如需詳細資訊,請 參閱微調警示。 |
| 補救動作 | Microsoft Defender 入口網站使用者詳細數據頁面提供適用於身分識別的Defender補救動作,例如停用帳戶或要求重設密碼。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 中的補救動作。 |
快速參考
下表列出 適用於身分識別的 Microsoft Defender 與 Microsoft Defender 入口網站之間的瀏覽變更。
| 適用於的Defender 身份 | Microsoft Defender 入口網站 |
|---|---|
| Timeline | - Microsoft Defender 入口網站警示/事件佇列 |
| 報告 | 下列類型的報表可從 Microsoft Defender 入口網站的 [報>>表身分識別報表管理] 頁面取得,可立即下載或排定定期電子郵件傳遞: - 您應該處理的警示和健康情況問題的摘要報告。 - 每次對敏感性群組進行修改時的清單。 - 偵測到以純文字傳送的來源電腦和帳戶密碼清單。 - 在橫向動作路徑中公開的敏感性帳戶清單。 如需詳細資訊,請參閱 報表管理。 |
| 身分識別頁面 | Microsoft Defender入口網站使用者詳細數據頁面 |
| 裝置頁面 | Microsoft Defender 入口網站裝置詳細數據頁面 |
| 群組頁面 | Microsoft Defender 入口網站群組側邊窗格 |
| 警示頁面 | Microsoft Defender 入口網站警示詳細數據頁面 提示:使用警示微調將您在 Microsoft Defender 入口網站中看到的警示優化。 |
| 搜尋 | Microsoft Defender 入口網站 全域搜尋 |
| 健康情況問題 | Microsoft Defender 入口網站身分識別>健康情況問題 |
| 實體活動 | - 進階搜捕 - 裝置頁面 >時間軸 - 身分識別頁面 >[時程表] 索引標籤 - 群組窗格>時間軸索引標籤 |
| 設定 | 設定 ->身分識別 |
| 用戶和帳戶 | 資產 ->身分識別 |
| 身分識別安全性狀態 | 適用於身分識別的 Microsoft Defender的安全性狀態評估 |
| 將新工作區上線 | 設定 -> 身分識別 (自動) |
| About | 關於身分>識別的設定> |
後續步驟
如需詳細資訊,請參閱:
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
即將推出:在 2024 年,我們將隨著內容的意見反應機制逐步淘汰 GitHub 問題,並以新的意見反應系統來取代。 如需詳細資訊,請參閱 https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應