Microsoft Defender ATP集成指南
Microsoft Defender高级威胁防护(ATP)是一个综合性平台,提供预防性保护、漏洞后检测、自动化调查和响应功能。该系统配备先进的终端检测与响应(EDR)功能,支持Windows、Linux和MacOS等传统操作系统。
上述功能可及时检测攻击并提供可操作的洞察。通过运用高级安全分析技术,分析人员能有效划分警报优先级,全面掌握安全漏洞影响范围,并执行适当响应措施以降低潜在威胁。
关于Defender ATP与 移动安全 控制台通信
该 移动安全 控制台已配置为通过API访问实现与Microsoft Defender ATP的警报共享。控制台接收来自设备的威胁报告。若上报威胁的严重性达到或超过配置时设置的最低阈值,威胁详情将传输至已配置的Microsoft Defender ATP集成端。
Microsoft Defender ATP控制台默认仅发送严重级别威胁。威胁详情包含可获取的用户信息、设备信息、操作系统及威胁取证数据。当移动设备上的威胁被解决时,Microsoft Defender ATP会自动更新最新威胁状态信息。
Microsoft Defender ATP集成端配置为可接收MDM托管与非托管设备的威胁详情。Microsoft Defender ATP接收来自所有集成控制台MDM供应商的威胁事件。
配置步骤
执行以下步骤以设置 移动安全 控制台集成:
-
登录 移动安全 控制台。
-
在导航面板中,选择 管理 .
-
当 管理 页面打开后,选择 集成 选项卡,再选择 威胁报告 选项卡,将打开以下窗口:
-
点击绿色的 添加集成 按钮,将打开显示可选集成合作伙伴列表的窗口。
-
选择所需的集成。
-
点击‘ 添加到Azure Active Directory’ 按钮,授权移动安全应用具备向Microsoft Defender ATP报告警报数据所需的权限。
-
用户点击按钮后,将被跳转至Microsoft Azure Active Directory (AAD)控制台以接受连接。输入管理员凭据(确保具备全局管理员权限,参考Microsoft Defender ATP集成指南4.26.x版,2020年1月第9页),随后点击接受按钮以获取所有必要权限。
-
在打开的窗口中点击 继续 按钮。
-
将打开另一个窗口以完成集成设置。在此窗口输入以下信息:
-
名称 – 为Microsoft Azure Sentinel环境中的此集成输入唯一名称
-
过滤级别 – 从下拉菜单中选择需上报的威胁严重级别:
-
关键 - 仅显示关键严重级别。
-
高及以上 - 显示高和关键严重级别
-
低及以上 - 显示低、高和关键严重级别
-
普通及以上 - 显示所有严重级别。
-
-
-
点击 完成 按钮,当配置并正确保存后,主威胁报告窗口将打开,显示集成成功。