Microsoft Defender ATP集成指南
Microsoft Defender高级威胁防护(ATP)是一个综合性平台,提供预防性保护、入侵后检测、自动化调查和响应功能。该系统配备先进的终端检测与响应(EDR)功能,支持Windows、Linux和MacOS等传统操作系统。
上述功能可及时检测攻击并提供可操作的洞察。通过运用先进的安全分析技术,分析人员能有效划分警报优先级,全面掌握安全漏洞影响范围,并采取适当响应措施以降低潜在威胁。
关于Defender ATP与 移动安全 控制台通信
该 移动安全 控制台已设置为通过API访问实现与Microsoft Defender ATP的警报共享。控制台接收来自设备的威胁报告。当上报威胁的严重性达到或超过配置期间设置的最低阈值时,威胁详情将传输至已配置的Microsoft Defender ATP集成模块。
默认情况下,Microsoft Defender ATP控制台仅配置为发送严重性为关键的威胁。威胁详情包含可获取的用户信息、设备信息、操作系统及威胁取证数据。当移动设备上的威胁被解决后,Microsoft Defender ATP会自动更新最新威胁状态信息。
Microsoft Defender ATP集成模块配置为可接收MDM托管和非托管设备的威胁详情。Microsoft Defender ATP接收来自所有集成控制台MDM供应商的威胁事件。
配置步骤
执行以下步骤以设置 移动安全 控制台集成:
-
登录 移动安全 控制台。
-
在导航面板中选择 管理 .
-
当 管理 页面打开后,选择 集成 标签页,再选择 威胁报告 标签页,随后将打开以下窗口:
-
点击绿色 添加集成 按钮,将打开显示可选集成合作伙伴列表的窗口。
-
选择所需集成。
-
点击‘ 添加到Azure Active Directory’ 按钮,授权移动安全应用程序具备向Microsoft Defender ATP上报警报数据所需的权限。
-
用户点击按钮后,将被引导至Microsoft Azure Active Directory (AAD)控制台接受连接。输入管理员凭据(确保具备全局管理员权限——参见《Microsoft Defender ATP集成指南》4.26.x版,2020年1月第9页),随后点击接受按钮以获取所有必要权限。
-
在打开的窗口中点击 继续 按钮。
-
随后将打开另一个窗口以完成集成设置。请在此窗口中输入以下信息:
-
名称 - 为Microsoft Azure Sentinel环境中的此集成输入唯一名称
-
过滤级别 - 从下拉菜单中选择需上报的严重级别:
-
严重 - 仅显示严重级别。
-
高及更高 - 显示高和严重级别
-
低及更高 - 显示低、高和严重级别
-
普通及更高 - 显示所有严重级别
-
-
-
点击 完成 按钮,当配置正确保存后,主威胁报告窗口将打开,显示集成成功。