Развертывание поддерживаемых служб

Область применения:

  • Microsoft Defender XDR

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Microsoft Defender XDR интегрирует различные службы безопасности Майкрософт, предоставляя централизованные возможности обнаружения, предотвращения и исследования сложных атак. В этой статье описываются поддерживаемые службы, их требования к лицензированию, преимущества и ограничения, связанные с развертыванием одной или нескольких служб, а также приводятся ссылки на то, как можно полностью развернуть их по отдельности.

Поддерживаемые службы

Лицензия Microsoft 365 E5, E5 Security, A5 или A5 Security или действующее сочетание лицензий предоставляют доступ к следующим поддерживаемым службам и дают право на использование XDR в Microsoft Defender. См. требования к лицензированию

Поддерживаемая служба Описание
Microsoft Defender для конечной точки Набор защиты конечных точек, созданный на основе мощных датчиков поведения, облачной аналитики и аналитики угроз
Microsoft Defender для Office 365 Расширенная защита приложений и данных в Office 365, включая электронную почту и другие средства совместной работы
Microsoft Defender для удостоверений Защита от расширенных угроз, скомпрометированных удостоверений и вредоносных участников программы предварительной оценки с помощью коррелированных сигналов Active Directory
Microsoft Defender for Cloud Apps Выявление киберугроз и борьба с ними в облачных службах Майкрософт и сторонних служб

Развернутые службы и функции

XDR в Microsoft Defender обеспечивает лучшую видимость, корреляцию и исправление при развертывании дополнительных поддерживаемых служб.

Преимущества полного развертывания

Чтобы получить полные преимущества XDR в Microsoft Defender, рекомендуется развернуть все поддерживаемые службы. Ниже перечислены некоторые основные преимущества полного развертывания.

  • Инциденты определяются и сопоставляются на основе оповещений и сигналов событий от всех доступных датчиков и возможностей анализа для конкретных служб.
  • Сборники схем автоматического исследования и исправления (AIR) применяются к различным типам сущностей, включая устройства, почтовые ящики и учетные записи пользователей.
  • Более комплексную расширенную схему охоты можно запрашивать данные о событиях и сущностях с устройств, почтовых ящиков и других сущностей.

Сценарии ограниченного развертывания

Каждая поддерживаемая служба, которую вы развертываете, предоставляет очень богатый набор необработанных сигналов и коррелированных сведений. Хотя ограниченное развертывание не приводит к отключению функций XDR в Microsoft Defender, это влияет на возможность обеспечения полной видимости конечных точек, приложений, данных и удостоверений. В то же время любые возможности исправления применяются только к сущностям, которые управляются развернутыми службами.

В приведенной ниже таблице показано, как каждая поддерживаемая служба предоставляет дополнительные данные, возможности получения дополнительных аналитических сведений путем корреляции данных, а также улучшенные возможности по исправлению и реагированию.

Служба Данные (сигналы & коррелированная информация) Исправление & области ответа
Microsoft Defender для конечной точки — состояния конечной точки и необработанные события
— Обнаружение конечных точек и оповещения, включая антивирусную программу, EDR, сокращение направлений атак.
— сведения о файлах и других сущностях, наблюдаемых в конечных точках.
Конечные точки
Microsoft Defender для Office 365 — Состояния почты и почтового ящика и необработанные события
— Обнаружение электронной почты, вложений и ссылок
-Почтовых ящиков
— Учетные записи Microsoft 365
Microsoft Defender для удостоверений — сигналы Active Directory, включая события проверки подлинности.
— Обнаружение поведения, связанного с удостоверениями;
Удостоверения
Microsoft Defender for Cloud Apps — Обнаружение несанкционированных облачных приложений и служб (теневой ИТ)
— предоставление данных облачным приложениям
— Действия с угрозами, связанные с облачными приложениями
Облачные приложения

Развертывание служб

Для развертывания каждой службы обычно требуется подготовить ее в клиенте и выполнить первоначальную настройку. Приведенная ниже таблица поможет вам понять, как развертывается каждая из этих служб.

Служба Инструкции по подготовке Исходная конфигурация
Microsoft Defender для конечной точки Руководство по развертыванию Microsoft Defender для конечной точки См. инструкции по подготовке
Microsoft Defender для Office 365 Нет, подготавливается вместе с Office 365 Настройка политик защиты Defender для Office 365
Microsoft Defender для удостоверений Краткое руководство. Создание экземпляра Microsoft Defender для удостоверений См. инструкции по подготовке
Microsoft Defender for Cloud Apps Нет Краткое руководство. Начало работы с Microsoft Defender for Cloud Apps

После развертывания поддерживаемых служб включите XDR в Microsoft Defender.

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.