練習安全性管理

  • 30 分鐘

威脅與弱點管理

威脅與弱點管理儀表板。

若要執行健全的安全性方案並降低組織風險,有效地識別、評估和修正端點弱點至關重要。 威脅和弱點管理是一種能降低組織暴露程度、強化端點表面區域,並提高組織彈性的基礎結構。

此基礎結構可協助組織在不需要代理程式或定期掃描的情況下,根據感應器立即發現弱點和錯誤配置。 它會根據許多因素來排定問題的優先順序。 這些因素包含貴組織中威脅形勢偵測、易受攻擊裝置上的敏感性資訊,以及商務內容。

威脅和弱點管理是內建的即時雲端技術,與Microsoft端點安全性堆疊、Microsoft Intelligent Security Graph 和應用程式分析 知識庫 完全整合。 它可透過整合 Microsoft Intune 和 Microsoft 端點管理員來建立安全性工作或票證。

它為跨安全性操作、安全性管理和IT系統管理的差距提供下列解決方案:

  • 即時端點偵測和回應(EDR)深入資訊與端點漏洞相關聯
  • 在暴險發現脈絡中連結的電腦安全性漏洞與安全性設定評估資料
  • 內建修正在 Microsoft Intune 和 Microsoft 端點管理員中執行

例如,當您使用入口網站中的安全性建議時,系統管理員可能會要求更新應用程式,這樣就能通知 Intune 小組修正要求。

安全性建議。

受攻擊面縮小

受攻擊面縮小功能集透過確保正確設定和應用程式緩解技術,提供了堆疊的第一道防線。

  • 硬體隔離 可在啟動時和執行過程中,保護並維持系統的完整性,並透過本地和遠端認證驗證系統完整性。 Microsoft Edge 的 [容器隔離] 可協助防止主機作業系統受到惡意網站的攻擊。
  • 應用程式控制 會遠離所有應用程式都被預設為信任,要求應用程式必須取得信任才能執行的傳統應用程式信任模型。
  • 攻擊防護 可將緩解技巧套用到貴組織使用的應用程式,包括個別和全組織範圍。
  • 網路防護 可擴充 Microsoft Edge 中 Microsoft Defender SmartScreen 所提供的惡意程式碼和社交工程保護,以涵蓋貴組織裝置上的網路流量和連線能力。
  • 受控資料夾存取 可協助保護關鍵系統資料夾中的檔案,避免受到惡意和可疑應用程式所做的變更,包括檔案加密勒索代碼勒索軟體。
  • 受攻擊面縮小使用可停止 Office、指令碼和郵件式惡意程式所使用的媒介的智慧規則,降低應用程式的受攻擊面。
  • 網路防火牆 使用可封鎖進出本機裝置的未授權網路流量的主機型雙向網路流量篩選。

下列螢幕快照顯示針對保護 Office 應用程式之受攻擊面縮小規則的偵測圖表:

受攻擊面縮小規則。

下一代保護

Microsoft Defender 防毒軟體是一套內建的反惡意程式碼解決方案,為電腦、可攜式電腦,以及伺服器提供下一代保護。 Microsoft Defender 防毒軟體包括:

  • 雲端提供的防護功能,可近乎即時地偵測並封鎖最近新興的威脅。 除了機器學習和 Intelligent Security Graph,雲端提供的防護功能也是新一代技術的一部分,可加強 Microsoft Defender 防毒軟體的功能。
  • 隨時掃描,其使用進階的檔案和程序行為監視及其他啟發式學習法 (也稱為「即時保護」)。
  • 以機器學習、人力和自動化資料分析及深入的威脅抵禦研究為基礎的專屬保護更新。

應考慮下列 proxy 和網路設定:

  • 適用於端點的 Microsoft Defender 感應器需要 Microsoft Windows HTTP (WinHTTP) 回報感應器資料,並與適用於端點的 Microsoft Defender 服務通訊。
  • 內嵌的適用於端點的 Microsoft Defender 感應器會以 LocalSystem 帳戶在系統內容執行。 感應器使用 Microsoft Windows HTTP Services (WinHTTP)來啟用與適用於端點的 Microsoft Defender 雲端服務的通訊。
  • WinHTTP 配置設定與 Windows 網際網路(WinINet)網際網路流覽 proxy 設定無關,且只能使用下列自動探索方法來探索 proxy 伺服器:
    • 透明Proxy
    • Web Proxy 自動探索通訊協定 (WPAD)

端點偵測及回應

適用於端點的 Microsoft Defender 端點偵測和回應功能提供近乎即時且可採取動作的進階攻擊偵測。 安全性分析人員可以有效地排定警示的優先順序、深入了解入侵的全貌,並採取回應動作來補救威脅。

偵測到威脅時,系統中就會建立警示,讓分析者可進行調查。 系統會將採用相同攻擊技巧或歸咎於相同攻擊者的警示彙總到稱為事件的實體中。 以這種方式彙總警示,可讓分析人員集體調查和回應威脅。

受到「假設入侵」思維的靈感所啟發,適用於端點的 Microsoft Defender 會持續收集網路行為遙測資料。 其中包括進程資訊、網路活動、內核和記憶體管理員的深度光纖、使用者登入活動、登錄和文件系統變更等等。 此資訊會儲存六個月,讓分析人員能夠及時重返攻擊開始的時候。 接著,分析人員即可在各種檢視中進行樞紐分析,並透過多個面向著手調查。

[安全性作業] 儀錶板 (顯示在螢幕快照中) 端點偵測和回應功能的呈現位置。 它提供在需要進行回應動作的情況下,查看檢測的方式並強調其重點。

安全性作業儀錶板的螢幕快照。

自動化調查與補救措施

適用於端點的 Microsoft Defender 在多部電腦上提供全面的可見度。 透過這類光學器件,服務就能產生多重警示。 對於一般安全性作業小組而言,個別解決所產生的警示量可能具有挑戰性。 為了解決這個問題,適用於端點的 Microsoft Defender 使用自動化調查和修正功能,以大幅降低需要個別調查的警示量。

自動化調查。

「自動調查」功能會使用各種檢查演算法和分析師所使用的程式(例如行動手冊)來檢查警示,並採取立即修正動作來解決違規問題。 這會大幅降低警示量,讓安全性操作專家能夠專注于更複雜的威脅和其他高價值的方案。 在下列的調查螢幕擷取畫面中,我們可以看到偵測到並自動修正的惡意程式碼:

偵測並已修正惡意程式碼。

探索如何以威脅與弱點管理降低組織風險

觀看互動式指南的影片版本 (提供更多語言的字幕)。

利用威脅與弱點管理降低組織風險。

請務必在視訊播放程序中選取全螢幕選項。 當您完成時,使用瀏覽器的 [上一頁] 箭號,返回此頁面。