Microsoft Defender for Endpoint

Microsoft Defender for Endpoint 是一个企业端点安全平台，旨在帮助企业网络预防、检测、调查和响应高级威胁。

1.      技术概述

Microsoft Defender for Endpoint使用以下内置于Windows 10和Microsoft强大云服务中的技术组合：

• 终结点行为传感器：

嵌入在 Windows 10 中的这些传感器从操作系统收集和处理行为信号，并将此传感器数据发送到 Microsoft Defender for 终结点的专用、隔离的云实例。

• 云安全分析：

利用 Windows 生态系统、企业云产品（如 Office 365）和在线资产中的大数据、设备学习和独特的 Microsoft 光学器件，将行为信号转换为见解、检测和对高级威胁的建议响应。

• 威胁情报：

威胁情报由 Microsoft 猎人、安全团队生成，并由合作伙伴提供的威胁情报进行增强，使 Defender for Endpoint 能够识别攻击者工具、技术和过程，并在收集的传感器数据中观察到这些工具、技术和过程时生成警报。

2.        主要功能

• 核心防御者漏洞管理

内置的核心漏洞管理功能使用基于风险的现代方法来发现、评估、确定优先级和修复端点漏洞和配置错误。为了进一步增强评估安全状况和降低风险的能力，计划 2 提供了新的 Defender 漏洞管理附加组件。

有关可供你使用的不同漏洞管理功能的详细信息，请参阅比较 Microsoft Defender 漏洞管理产品/服务。

• ·        攻击面减少

攻击面减少功能集提供了堆栈中的第一道防线。通过确保正确设置配置设置并应用漏洞利用缓解技术，这些功能可以抵御攻击和利用。这组功能还包括网络保护和 Web 保护，用于控制对恶意 IP 地址、域和 URL 的访问。

• ·        新一代保护

为了进一步加强网络的安全边界，Microsoft Defender for Endpoint 使用旨在捕获所有类型的新出现的威胁的下一代保护。

• ·        端点检测和响应

端点检测和响应功能用于检测、调查和响应可能已通过前两个安全支柱的高级威胁。高级搜寻提供基于查询的威胁搜寻工具，可让您主动查找漏洞并创建自定义检测。

• ·        自动调查和修正

结合能够快速响应高级攻击，Microsoft Defender for Endpoint 提供了自动调查和修正功能，有助于在几分钟内大规模减少警报量。

• ·        微软设备安全标志

面向终结点的 Defender 包括适用于设备的 Microsoft 安全分数，可帮助你动态评估企业网络的安全状态、识别未受保护的系统，并采取建议的操作来提高组织的整体安全性。

• ·        微软威胁专家

Microsoft Defender for Endpoint 的新托管威胁搜寻服务提供主动式搜寻、优先级划分以及其他上下文和见解，进一步使安全运营中心 （SOC） 能够快速准确地识别和响应威胁。

• 集中式配置和管理，API

将 Microsoft Defender for Endpoint 集成到您现有的工作流中。

• ·        与微软解决方案集成

Defender for Endpoint 直接集成了各种 Microsoft 解决方案，包括：

• Microsoft Defender for Cloud
• Sentinel
• Intune
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Identity
• Microsoft Defender for Office
• Skype for Business
• Microsoft 365 Defender

借助 Microsoft 365 Defender、Defender for Endpoint 和各种 Microsoft 安全解决方案，形成一个统一的入侵前和入侵后企业防御套件，该套件可跨端点、标识、电子邮件和应用程序进行本机集成，以检测、预防、调查和自动响应复杂的攻击。