Microsoft Defender XDR简介
(一)概述
Microsoft Defender XDR 是一个集成式威胁防护套件,其中包含检测电子邮件、终端(Endpoint)、应用程序和标识中恶意活动的解决方案。
- Explore Extended Detection & Response (XDR) 可以联动MDE修改 Intune内的状态,并在Entra ID内标识出来,会禁止用户访问一切需要公司身份的资源
- Microsoft Defender for Identity 可以检测Active Directory 域入侵行为
(二)Defender门户
(i) 自动调查(automated investigations)
自动调查中的技术使用各种检查算法,并基于安全分析人员使用的流程。 AIR 功能旨在检查警报并立即采取措施来解决违规问题。 AIR 功能明显减少了警报量,使安全运营人员能够专注于更复杂的威胁和其他高价值的计划。 操作中心持续跟踪自动启动的所有调查及其详细信息,例如调查状态、检测源以及任何挂起或已完成的操作。
(ii) 高级搜索(advanced hunting)
| 表名 | 说明 |
|---|---|
| AlertEvidence | 与警报关联的文件、IP 地址、URL、用户或设备 |
| AlertInfo | 来自 Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Cloud App Security 和 Microsoft Defender for Identity 的警报,包括严重性信息和威胁分类 |
| CloudAppEvents | 涉及 Office 365 以及其他云应用和服务中的帐户和对象的事件 |
| DeviceEve | 多个事件类型,包括由安全控制(例如 Windows Defender 防病毒和攻击保护)触发的事件 |
| DeviceFileCertificateInfo | 从终结点上的证书验证事件获取的签名文件的证书信息 |
| DeviceFileEvents | 文件创建、修改和其他文件系统事件 |
| DeviceImageLoadEvents | DLL 加载事件 |
| DeviceInfo | 计算机信息,包括操作系统信息 |
| DeviceLogonEvents | 设备上的登录和其他身份验证事件 |
| DeviceNetworkEvents | 网络连接及相关事件 |
| DeviceNetworkInfo | 设备的网络属性,包括物理适配器、IP 和 MAC 地址,以及连接的网络和域 |
| DeviceProcessEvents | 进程创建及相关事件 |
| DeviceRegistryEvents | 注册表项的创建和修改 |
| DeviceTvmSecureConfigurationAssessment | 威胁和漏洞管理评估事件,指示设备上各种安全配置的状态 |
| DeviceTvmSecureConfigurationAssessmentKB | 威胁和漏洞管理用于评估设备的各种安全配置的知识库;包括到各种标准和基准的映射 |
| DeviceTvmSoftwareInventory | 设备上安装的软件清单,包括其版本信息和终止支持状态 |
| DeviceTvmSoftwareVulnerabilities | 在设备上找到的软件漏洞以及解决每个漏洞的可用安全更新列表 |
| DeviceTvmSoftwareVulnerabilitiesKB | 公开披露的漏洞的知识库,包括是否公开提供攻击代码 |
| EmailAttachmentInfo | 有关附加到电子邮件的文件的信息 |
| EmailEvents | Microsoft 365 电子邮件事件,包括电子邮件传递和阻止事件 |
| EmailPostDeliveryEvents | Microsoft 365 将电子邮件传送到收件人邮箱后发生的安全事件 |
| EmailUrlInfo | 有关电子邮件中的 URL 的信息 |
| IdentityDirectoryEvents | 涉及运行 Active Directory (AD) 的本地域控制器的事件。 此表涵盖了域控制器上的一系列与标识相关的事件和系统事件。 |
| IdentityInfo | 来自各种来源(包括 Microsoft Entra ID)的帐户信息 |
| IdentityLogonEvents | Active Directory 和 Microsoft 联机服务上的身份验证事件 |
| IdentityQueryEvents | 对用户、组、设备和域等 Active Directory 对象的查询 |
(三)Microsoft Security Graph
(i) Microsoft Graph 公开 REST API 和客户端库以访问以下 Microsoft 云服务上的数据:
- Microsoft 365 核心服务:Bookings、Calendar、Delve、Excel、Microsoft Purview 电子数据展示、Microsoft Search、OneDrive、OneNote、Outlook/Exchange、People(Outlook 联系人)、Planner、SharePoint、Teams、To Do、Viva Insights
- 企业移动性 + 安全性服务:高级威胁分析、高级威胁防护、Microsoft Entra ID、Identity Manager 和 Intune
- Windows 服务:活动、设备、通知、通用打印
- Dynamics 365 Business Central 服务
总结
Microsoft Defender XDR 是微软提供的一体化安全平台,集成邮件、终端、应用程序和身份的威胁检测与响应功能,支持自动调查与高级搜寻,并通过 Microsoft Graph 实现跨服务的数据联动与访问,提升整体安全防护能力。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
