Microsoft Defender för Endpoint i Microsoft Defender-portalen

Microsoft Defender för Endpoint är en del av Microsoft Defender portalen, vilket ger en enhetlig upplevelse för säkerhetsteam att hantera incidenter och aviseringar, söka efter hot och automatisera undersökningar och svar. Microsoft Defender-portalen (https://security.microsoft.com) kombinerar säkerhetsfunktioner som skyddar tillgångar och identifierar, undersöker och svarar på hot.

Slutpunkter som bärbara datorer, telefoner, surfplattor, routrar och brandväggar är startpunkterna i nätverket. Microsoft Defender för Endpoint hjälper dig att skydda dessa slutpunkter genom att ge insyn i aktiviteterna i nätverket och genom att identifiera och svara på avancerade hot.

Den här guiden visar vad du kan förvänta dig när du kör Microsoft Defender för Endpoint i Microsoft Defender-portalen.

Ha kunskap innan du börjar

Om du vill använda Microsoft Defender för Endpoint i Microsoft Defender-portalen måste du ha en Microsoft Defender för Endpoint licens. Mer information finns i Microsoft Defender för Endpoint licensiering.

Kontrollera dessutom att du har kraven på maskinvara och programvara, webbläsare, nätverksanslutning och kompatibilitet med Microsoft Defender Antivirus. Mer information finns i Microsoft Defender för Endpoint minimikrav.

Du måste också ha de behörigheter som krävs för att få åtkomst till Microsoft Defender-portalen. Mer information finns i Använda grundläggande behörigheter för att komma åt portalen.

Vad du kan förvänta dig

Undersökning och svar

Undersöknings- och svarsfunktioner i Microsoft Defender-portalen hjälper dig att undersöka och reagera på incidenter och aviseringar. Incidenter är grupper av aviseringar som är relaterade till varandra.

Incidenter och aviseringar

Enheter som är inblandade i incidenter visas i en incident sida attack berättelse, incident diagram och tillgångar fliken. Du kan visa information om incidenten, inklusive de enheter som är inblandade, aviseringarna som utlöste incidenten och de åtgärder som vidtagits. Du kan tillämpa åtgärder på incidenten, till exempel isolera enheter, samla in undersökningspaket med mera.

Skärmbild av fliken Tillgångar som visar de enheter som är inblandade i en incident.

Enskilda aviseringar visas på sidan Aviseringar. Du kan visa information om aviseringen, inklusive de enheter som är inblandade, incidenten som aviseringen ingår i och de åtgärder som vidtas. Du kan också tillämpa åtgärder på aviseringen på aviseringssidan.

Jakt

Sök proaktivt efter hot, skadlig programvara och skadlig aktivitet i dina slutpunkter, Office 365-postlådor med mera med hjälp av avancerade sökfrågor. Dessa kraftfulla frågor kan användas för att hitta och granska hotindikatorer och entiteter för både kända och potentiella hot.

Anpassade identifieringsregler kan skapas från avancerade jaktfrågor som hjälper dig att proaktivt watch för händelser som kan tyda på intrångsaktivitet och felkonfigurerade enheter.

Åtgärdscenter och inlämningar

Åtgärdscentret visar de undersökningar som skapats av automatiserade undersöknings- och svarsfunktioner. Den här automatiserade självåterställning i Microsoft Defender-portalen kan hjälpa säkerhetsteamen genom att automatiskt svara på specifika händelser. Du kan visa åtgärder som tillämpas på enheter, status för åtgärderna och godkänna eller avvisa de automatiserade åtgärderna. Gå till sidan Åtgärdscenter under Undersökning & åtgärder för svar > & inlämningar > Åtgärdscenter.

Skärmbild av Åtgärdscenter i Microsoft Defender-portalen.

Du kan skicka filer, e-postbilagor och URL:er till Microsoft Defender för analys i överföringsportalen. Du kan också visa status för inlämningarna och resultatet av analysen. Gå till sidan underavsnitt under Undersökning & svarsåtgärder > & inskickade inlämningar>.

Hotinformation

Du kan visa nya hot, nya attacktekniker, utbredd skadlig kod och information om hotaktörer och kampanjer på sidan Hotinformation . Få åtkomst till instrumentpanelen för hotanalys för att visa den senaste hotinformationen och insikterna. Du kan också visa läsning och förstå hur du skyddar mot vissa hot via analytikerrapporten.

Gå till sidan hotanalys under Hotanalys för hotinformation>.

Enhets inventerings rapport

Sidan Tillgångar > enheter innehåller enhetsinventeringen, som visar alla enheter i organisationen där aviseringar genererades. Du kan visa information om enheterna, inklusive IP-adress, allvarlighetsnivå, enhetskategori och enhetstyp.

Skärmbild av sidan Enhetsinventering i Microsoft Defender-portalen.

Microsoft Defender för hantering av sårbarhetshantering och slutpunktskonfiguration

Du hittar Microsoft Defender – hantering av säkerhetsrisker instrumentpanel under Sårbarhetshantering för > slutpunkter. Defender for Vulnerability Management hjälper dig att identifiera, prioritera och åtgärda sårbarheter i nätverket. Läs mer om krav och behörigheter och hur du registrerar enheter för att Defender – hantering av säkerhetsrisker.

Instrumentpanelen för enhetskonfiguration finns i Instrumentpanelen för konfigurationshantering > för > slutpunkter. Du kan snabbt se enhetssäkerhet, registrering via Microsoft Intune och Microsoft Defender för Endpoint, webbskyddstäckning och hantering av attackytan.

Säkerhetsadministratörer kan distribuera slutpunktssäkerhetsprinciper till enheter i din organisation under Endpoints > Configuration Management > Endpoint Security-principer. Läs mer om principer för slutpunktssäkerhet.

Rapporter

Du kan visa rapporter om enhetshälsa, sårbara enheter, månatlig säkerhetssammanfattning, webbskydd, brandvägg, enhetskontroll och regler för minskning av attackytan på sidan Rapporter .

Skärmbild av sidan Rapporter som markerar slutpunktsrelaterade rapporter i Microsoft Defender-portalen.

Allmänna inställningar

Enhetsidentifiering

På sidan Inställningar > Enhetsidentifiering kan du konfigurera inställningar för enhetsidentifiering, inklusive identifieringsmetod, undantag, aktivering av Enterprise IOT (åtkomstberoende) och konfigurera autentiserade genomsökningsscheman. Mer information finns i Enhetsidentifiering.

Skärmbild av sidan Enhetsidentifiering i Microsoft Defender-portalen.

Slutpunktsinställningar

Gå till sidan Inställningar > Slutpunkter för att konfigurera inställningar för Microsoft Defender för Endpoint, inklusive avancerade funktioner, e-postaviseringar, behörigheter med mera.

Skärmbild av sidan Inställningar i Microsoft Defender-portalen där slutpunktsinställningarna är markerade.

E-postaviseringar

Du kan skapa regler för specifika enheter, allvarlighetsgrad för aviseringar och sårbarheter för att skicka e-postaviseringar till specifika användare eller grupper. Mer information finns i följande information:

Behörigheter och roller

Om du vill hantera roller, behörigheter och enhetsgrupper för slutpunkter navigerar du till Behörigheter under Inställningars > slutpunkter. Du kan skapa och definiera roll och tilldela behörigheter under Roller och skapa och organisera enheter i grupper under Enhetsgrupper.

Alternativt kan du navigera till slutpunktsroller & grupper på sidan Systembehörigheter>.

API:er och MSSP:er

API:et för Microsoft Defender XDR-aviseringar är det officiella API:et som gör det möjligt för kunder att arbeta med aviseringar i alla Defender XDR produkter med hjälp av en enda integrering. Mer information finns i Migrera från MDE SIEM API till API:et för Microsoft Defender XDR-aviseringar.

Om du vill auktorisera en hanterad säkerhetstjänstleverantör (MSSP) för att få åtkomst till aviseringar måste du ange program- och klient-ID:t för MSSP. Mer information finns i MSSP-integrering.

Regler

Du kan skapa regler och principer för att hantera indikatorer, filtrera webbinnehåll, hantera automatiseringsuppladdningar och undantag för automationsmappar med mera. Om du vill skapa de här reglerna går du till Regler under Slutpunkter för inställningar>. Mer information om hur du hanterar dessa regler finns i följande länkar:

Hantering av säkerhetsinställningar

I Omfånget > För konfigurationshantering >> av slutpunkter för slutpunkter kan du tillåta att Microsoft Intune säkerhetsinställningar framtvingas av Microsoft Defender för Endpoint. Mer information finns i Använda Microsoft Intune för att konfigurera och hantera Microsoft Defender Antivirus.

Enhetshantering

Du kan registrera eller avregistrera enheter och köra ett test för enhetsidentifiering på sidan Inställningar > Slutpunkter > Enhetshantering . Se Publicera för att Microsoft Defender för Endpoint för att få information om stegen för att registrera enheter. Information om hur du avregistrerar enheter finns i Avregistrera enheter.

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.