评估和试点 Microsoft 365 Defender

适用于:

  • Microsoft 365 Defender

本文系列的工作原理

本系列文章旨在逐步完成设置从端到端的试用 XDR 环境的整个过程,以便你可以评估Microsoft 365 Defender的功能,甚至在准备就绪时直接将评估环境推广到生产环境。

如果你不考虑 XDR,可以扫描这 7 篇链接的文章,了解解决方案的全面性。

Microsoft 365 Defender是 Microsoft XDR 网络安全解决方案

Microsoft 365 Defender是一种 (XDR) 解决方案的 eXtend 检测和响应可自动收集、关联和分析来自 Microsoft 365 环境中的信号、威胁和警报数据,包括终结点、电子邮件、应用程序和标识。 它利用人工智能 (AI) 和自动化 自动 阻止攻击,并将受影响的资产修正为安全状态。

将 XDR 视为安全性的下一步,在一个位置统一终结点 (终结点检测和响应或 EDR) 、电子邮件、应用和标识安全。

用于评估Microsoft 365 Defender的 Microsoft 建议

Microsoft 建议在现有生产订阅中创建评估Office 365。 这样,你将立即获得真实见解,并可以调整设置以应对环境中当前的威胁。 获得经验并熟悉平台后,只需将每个组件(一次一个)提升为生产。

网络安全攻击的解剖

Microsoft 365 Defender是基于云的统一、入侵前和违规后企业防御套件。 它协调终结点、标识、应用、电子邮件、协作应用程序及其所有数据的 预防检测调查响应

在此图中,攻击正在进行中。 网络钓鱼电子邮件到达组织中员工的收件箱,该员工在不知不觉中打开电子邮件附件。 这会安装恶意软件,从而导致一系列事件,这些事件可能以敏感数据被盗而告终。 但在这种情况下,Defender for Office 365正在运行。

各种攻击尝试

在此图中:

  • Exchange Online Protection是Microsoft Defender for Office 365的一部分,可以检测网络钓鱼电子邮件,并使用邮件流规则 (也称为传输规则) ,以确保它永远不会到达收件箱。
  • Defender for Office 365使用安全附件测试附件并确定其有害,因此到达的邮件不是用户可操作的,或者策略阻止邮件到达。
  • Defender for Endpoint 管理连接到公司网络的设备,并检测可能被利用的设备和网络漏洞。
  • Defender for Identity 注意到突然的帐户更改,例如特权提升或高风险横向移动。 它还报告容易被利用的身份问题,如不受约束的 Kerberos 委派,以便安全团队进行更正。
  • Microsoft Defender for Cloud Apps会注意到异常行为,例如不可能旅行、凭据访问以及异常下载、文件共享或邮件转发活动,并将这些行为报告给安全团队。

Microsoft 365 Defender组件保护设备、标识、数据和应用程序

Microsoft 365 Defender由这些安全技术组成,并行操作。 不需要所有这些组件即可从 XDR 和Microsoft 365 Defender的功能中受益。 你还将通过使用一个或两个实现增益和效率。

组件 说明 参考资料
Microsoft Defender for Identity Microsoft Defender for Identity使用 Active Directory 信号来识别、检测和调查针对组织的高级威胁、泄露标识和恶意内部操作。 什么是 Microsoft Defender for Identity?
Exchange Online Protection Exchange Online Protection是基于云的本机 SMTP 中继和筛选服务,有助于保护组织免受垃圾邮件和恶意软件的侵害。 Exchange Online Protection (EOP) 概述 - Office 365
Microsoft Defender for Office 365 Microsoft Defender for Office 365保护组织免受电子邮件、链接 (URL) 和协作工具构成的恶意威胁。 Microsoft Defender for Office 365 - Office 365
Microsoft Defender for Endpoint Microsoft Defender for Endpoint是设备保护、违规后检测、自动调查和建议响应的统一平台。 Microsoft Defender for Endpoint - Windows 安全性
Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps是一种全面的跨 SaaS 解决方案,可为云应用带来深度可见性、强大的数据控制和增强的威胁防护。 什么是 Defender for Cloud Apps 许可?
Azure AD 标识保护 Azure AD 标识保护评估数十亿次登录尝试中的风险数据,并使用此数据评估每个登录环境的风险。 Azure AD 使用此数据来允许或阻止帐户访问,具体取决于条件访问策略的配置方式。 Azure AD 标识保护与Microsoft 365 Defender分开获得许可。 它包含在Azure Active Directory Premium P2中。 什么是标识保护?

Microsoft 365 Defender体系结构

下图说明了关键Microsoft 365 Defender组件和集成的高级体系结构。 本系列文章提供了每个 Defender 组件的详细体系结构和用例方案。

Microsoft 365 Defender门户的高级体系结构

在此图中:

  • Microsoft 365 Defender合并来自所有 Defender 组件的信号,以跨域提供 XDR () 的扩展检测和响应。 这包括统一的事件队列、用于停止攻击的自动响应、针对被入侵设备的自我修复 (、用户标识和邮箱) 、跨威胁搜寻和威胁分析。
  • Microsoft Defender for Office 365 可保护你的组织免受电子邮件、链接 (URL) 和协作工具带来的恶意威胁。 它与Microsoft 365 Defender共享这些活动产生的信号。 Exchange Online Protection (集成了 EOP) ,为传入的电子邮件和附件提供端到端保护。
  • Microsoft Defender for Identity从运行 Active Directory 联合服务的服务器收集信号, (AD FS) ,本地 Active Directory域服务 (AD DS) 。 它使用这些信号来保护混合标识环境,包括防止黑客使用被入侵的帐户在本地环境中的工作站间横向移动。
  • Microsoft Defender for Endpoint从组织使用的设备收集信号并保护设备。
  • Microsoft Defender for Cloud Apps收集组织使用云应用发出的信号,并保护环境与这些应用(包括已批准和未经批准的云应用)之间流动的数据。
  • Azure AD 标识保护评估数十亿次登录尝试中的风险数据,并使用此数据评估每个登录环境的风险。 Azure AD 使用此数据来允许或阻止帐户访问,具体取决于条件访问策略的配置方式。 Azure AD 标识保护与Microsoft 365 Defender分开获得许可。 它包含在Azure Active Directory Premium P2中。

Microsoft SIEM 和 SOAR 可以使用来自Microsoft 365 Defender的数据

此图中未包含的其他可选体系结构组件:

  • 可以将来自所有Microsoft 365 Defender组件的详细信号数据集成到 Microsoft Sentinel 中,并与其他日志记录源结合使用,以提供完整的 SIEM 和 SOAR 功能和见解。
  • 若要详细了解如何使用 Microsoft Sentinel(Azure SIEM)将Microsoft 365 Defender作为 XDR,请参阅本概述文章和 Microsoft Sentinel 和Microsoft 365 Defender集成步骤
  • 有关 Microsoft Sentinel (中的 SOAR 的详细信息,包括 Microsoft Sentinel GitHub 存储库) 中的 playbook 链接,请阅读 本文

网络安全Microsoft 365 Defender评估过程

Microsoft 建议按说明的顺序启用 Microsoft 365 的组件:

Microsoft 365 Defender门户中的高级别评估过程

下表描述了此图。

序列号 步骤 说明
1 创建评估环境 此步骤可确保拥有Microsoft 365 Defender的试用许可证。
2 启用 Defender for Identity 查看体系结构要求,启用评估,并演练用于识别和修正不同攻击类型的教程。
3 启用Defender for Office 365 确保满足体系结构要求,启用评估,然后创建试点环境。 此组件包括Exchange Online Protection,因此你将在此处实际评估这两个组件。
4 启用 Defender for Endpoint 确保满足体系结构要求,启用评估,然后创建试点环境。
5 启用Microsoft Defender for Cloud Apps 确保满足体系结构要求,启用评估,然后创建试点环境。
6 调查并响应威胁 模拟攻击并开始使用事件响应功能。
7 将试用版提升到生产 将 Microsoft 365 组件逐一升级到生产。

通常建议使用此顺序,并根据部署和配置功能通常需要付出多少努力,快速利用功能的价值。 例如,Defender for Office 365配置的时间比在 Defender for Endpoint 中注册设备所需的时间要短。 当然,你应该确定组件的优先级以满足你的业务需求,并且可以按不同的顺序启用这些组件。

转到下一步

了解和/或创建Microsoft 365 Defender评估环境