Microsoft Defender门户提供统一的安全作,可集成以下解决方案:
- SIEM) (安全信息和事件管理
- SOAR) (安全业务流程、自动化和响应
- 扩展的检测和响应 (XDR)
- 态势和曝光管理
- 云安全性、威胁情报和生成 AI
为了涵盖所有这些功能,Defender 门户结合了Microsoft Defender XDR、Microsoft Sentinel、Microsoft 安全风险管理 和Microsoft Defender门户中的智能 Microsoft Security Copilot 副驾驶®。 集成更多Microsoft Defender服务,以增加安全性,并提供针对复杂攻击的集成保护。 Defender 门户提供一个位置,用于监视、检测、调查、修正和应对入侵前后的网络安全风险和威胁。
保护资产
通过在 Defender 门户中集成Defender XDR、Microsoft Sentinel和其他 Defender 服务来保护各种资产。
Microsoft Defender XDR服务包括以下资产保护功能:
| 功能 | 安全产品 |
|---|---|
| 识别、检测和调查Microsoft Entra ID威胁。 | Microsoft Defender for Identity |
| 防范电子邮件、URL 链接和Office 365协作工具带来的威胁。 | Microsoft Defender for Office 365 |
| 监视和保护终结点设备。 监视、检测和调查设备泄露,并自动响应安全威胁。 | Microsoft Defender for Endpoint |
| 通过将 (Defender XDR保护扩展到 OT 环境来识别和保护 OT) 和 IT 资源的运营技术。 | 适用于 IoT 的Microsoft Defender |
| 识别资产和软件清单,并评估设备状况以查找安全漏洞。 | Microsoft Defender 漏洞管理 |
| 保护和控制对 SaaS 云应用的访问。 | Microsoft Defender for Cloud Apps |
针对未获得Microsoft Defender XDR许可的服务的资产保护包括以下功能:
| 功能 | 安全产品 |
|---|---|
| 监视和保护非Microsoft和本地设备、服务和解决方案。 | Microsoft Sentinel |
| 发现和评估资产,并修正风险以减少攻击面。 | Microsoft 安全风险管理 |
| 改进多云和本地安全态势,保护云工作负载免受威胁。 | Microsoft Defender for Cloud |
简化安全管理
结合Microsoft安全服务(如Defender XDR、Microsoft Sentinel等),在整个组织中对终结点、标识、云应用和工作负载以及电子邮件进行端到端的入侵前后保护。
Defender 门户提供组织安全态势以及威胁检测和响应的单一集中式视图。 它提供一个合并的事件队列,将有关安全风险和违规的信息分组在一起。
释放分析师时间,因为统一的安全仪表板使分析师能够跨越组织孤岛,确定最关键威胁的优先级,并有效地搜寻企图的违规行为。
下图显示了 Defender 门户中的统一事件队列,其中包含来自多个服务源的事件。
降低安全风险并防止攻击
作为组织风险管理框架的一部分,持续降低安全风险并防止网络安全攻击。 Defender 门户通过 Microsoft 安全风险管理 和 Microsoft Defender for Cloud 提供全面的曝光管理和云保护功能,如下所示:
- 持续发现组织资产并评估其安全状况。
- 从代码到运行时保护云工作负载。
- 聚合数据和威胁情报以发现安全漏洞和弱点,包括分析潜在的攻击路径。
- 调查和查询,深入了解安全状况。
- 确定资产修正的优先级,重点关注关键资源,以减少安全漏洞和攻击面。
下图显示了 Defender 门户中曝光管理的概述页:
减少威胁检测和响应时间
Standard网络安全指标侧重于检测 (TTD) 的时间和 (TTR) 的响应时间。 检测 (TTD 的时间) 度量安全团队发现事件所需的时间。 响应 (TTR 的时间) 度量检测到威胁后做出响应所需的时间。 TTD 和 TTR 越短,检测和响应策略就越有效。
Microsoft Defender门户关联来自 Defender 产品、Microsoft Sentinel、Microsoft安全研究和威胁情报的数百万个信号,以识别正在进行的攻击。 它启动自动攻击中断以自动遏制攻击,提前限制横向移动并减少攻击影响。 自动攻击中断有助于降低与生产力损失相关的成本,为 SecOps 团队控制提供控制,以调查和修正受损资产。
自动攻击中断通过包含设备并包含或禁用用户来缓解攻击来响应威胁。
下图显示了触发了自动攻击中断的事件示例。
有关详细信息,请参阅 Microsoft Defender XDR 中的自动攻击中断。
使用 AI 转换 SOC 工作效率
智能 Microsoft Security Copilot 副驾驶®将 AI 和人类专业知识的强大功能汇集在一起,帮助 SOC 团队更快、更有效地应对攻击。 Security Copilot嵌入在 Defender 门户中,使安全团队能够有效地汇总事件、分析脚本和代码、分析文件、汇总设备信息、使用引导响应解决事件、生成 KQL 查询以及创建事件报告。 Security Copilot可帮助你:
- 减少暴露并改善姿势。 通过见解来发现关键暴露风险和风险降低建议,防止违规。
- 防止和中断威胁。 使用事件摘要 MITRE ATT&CK 框架映射和自动警报扩充来确定和确定优先级。
-
为分析师提供支持:
- 通过引导响应、自动修正和摘要报告生成来加速事件解决。
- 根据分析恶意脚本和文件的最佳做法,通过定制提示提供智能帮助,并建议 KQL 查询。
下图显示了 Microsoft Copilot 集成在 Defender 门户中的事件页中。
有关详细信息,请参阅 Microsoft Defender 中的Microsoft Copilot。