零信任
FastTrack 提供有关实施零信任安全原则的全面指导。 零信任模型假定存在漏洞,并会验证每个请求,就好像请求是源自不受控制的网络一样。 此方法可确保跨网络、应用程序和环境提供可靠的安全性。 FastTrack 通过专注于标识、设备、应用程序、数据、基础结构和网络来实现这一点。 借助 FastTrack,你可以自信地推进零信任安全之旅,并有效地保护数字资产。
借助 Microsoft Defender,可以通过提供扩展的检测和响应 (XDR) 功能来实现零信任原则。 这包括自动收集、关联和分析来自 Microsoft 365 环境(包括终结点、电子邮件、应用程序和标识)的信号、威胁和警报数据。 通过与 Microsoft Sentinel 集成,可以创建全面的 XDR 和安全信息与事件管理, (SIEM) 解决方案来增强组织的安全态势。
Microsoft 安全风险管理
Microsoft 安全风险管理是一种安全解决方案,可提供跨公司资产和工作负载的安全态势的统一视图。 安全风险管理通过安全上下文丰富了资产信息,有助于主动管理攻击面、保护关键资产以及探索和缓解暴露风险。
FastTrack 提供远程指南:
- 先决条件概述,包括基于角色的访问控制 (RBAC) 指南。
- 概述:
- 识别和管理关键资产。
- 可用的 3P 数据连接器。
- 如何利用攻击路径,包括:
- 攻击面图。
- 扼流点。
- 爆炸半径。
- 入口点。
- 目标。
- 曝光地图。
- 使用安全计划管理风险,包括:
- 安全指标。
- 安全性建议。
- 安全事件。
超出范围
- 企业公开图架构和运算符概述。
- 自定义企业曝光图查询写入。
- 在客户环境中识别/创建自定义关键资产。
- 排查 3P 数据连接器问题。
- 修复攻击路径中识别的漏洞。
- 在客户环境中自定义安全计划。
- 攻击模拟 (包括渗透测试) 。
- 威胁和威胁搜寻的诊断。
- 排查参与期间遇到的问题 (包括) 网络问题。
Microsoft Defender XDR
Microsoft Defender XDR是一个统一的入侵前和入侵后企业防御套件。 Defender XDR跨终结点、标识、电子邮件和应用本机协调检测、预防、调查和响应,以提供针对复杂攻击的集成保护。
FastTrack 提供远程指南:
- 提供Microsoft Defender门户的概述。
- 提供跨产品事件的概述,包括通过确保完整的攻击范围、受影响的资产和组合在一起的自动修正操作来专注于关键事件。
- 演示Microsoft Defender XDR如何协调资产、用户、设备和邮箱的调查,这些资产、用户、设备和邮箱通过自动自我修复而遭到入侵。
- 说明并提供客户如何主动搜寻跨多个数据集影响电子邮件、数据、设备和帐户的入侵尝试和违规活动的示例。
- 向客户展示如何使用Microsoft 安全风险管理来全面查看和改进其安全状况。
- 提供有关Microsoft Defender门户的教育和配置指南。
- 连接Microsoft Sentinel工作区。
- 查看 Defender 门户中的以下功能。
- 搜索。
- 威胁管理。
- 内容管理。
- 配置。
- 提供有关Defender XDR攻击中断功能的教育和配置指南。
- 查看与Microsoft Defender XDR相关的Microsoft 安全风险管理中的计划和建议,例如:
- 业务Email妥协 (BEC) 计划。
- CIS 基础倡议。
- 勒索软件防护。
超出范围
- 部署指南或有关以下内容的教育:
- 如何修正或解释各种警报类型和监视的活动。
- 如何调查用户、计算机、横向移动路径或实体。
- 自定义威胁搜寻。
- 安全信息和事件管理 (SIEM) 或 API 集成。
- 预览功能。
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps是一种多用途软件即服务 (SaaS) 安全解决方案。 它结合了 SaaS 安全态势管理、数据丢失防护、应用到应用保护和集成威胁防护,以确保应用的全面覆盖。 通过采用 SaaS 安全方法,可以轻松识别错误配置。 这可改善整体应用状况,实施策略以保护敏感数据,并保护应用到应用方案,以确保只有应用具有访问其他应用数据的可接受权限。 在本机集成到Microsoft Defender XDR时,像你这样的组织受益于使用 SaaS 的信号来主动搜寻其环境,并跨应用、设备、标识和电子邮件应对事件。
FastTrack 提供远程指南:
- 配置门户,包括:
- 导入用户组。
- 管理管理员访问权限和设置。
- 确定部署范围以选择要监视或从监视中排除的特定用户组。
- 如何设置 IP 范围和标记。
- 使用徽标和自定义消息个性化最终用户体验。
- 集成第一方服务,包括:
- Microsoft Defender for Endpoint。
- Microsoft Defender for Identity。
- Microsoft Entra ID 保护。
- Microsoft Purview 信息保护。
- 使用设置云发现:
- 终结点的Microsoft Defender。
- Zscaler。
- iboss。
- 创建应用标记和类别。
- 根据组织的优先级自定义应用风险分数。
- 批准和取消批准应用。
- 查看Defender for Cloud Apps和 Cloud Discovery 仪表板。
- 启用应用治理。
- 引导客户浏览概述页,并创建最多 5 (5 个) 应用治理策略。
- 使用应用连接器连接特色应用。
- 在 Microsoft Entra ID 和 Defender for Cloud Apps 门户中的条件访问中使用条件访问应用控制保护应用。
- 为特色应用部署条件访问应用控制。
- 使用活动和文件日志。
- 管理 OAuth 应用。
- 查看和配置策略模板。
- 为顶级 SaaS 用例提供配置帮助 (包括创建或更新多达 6 个 (6 个) 策略) 。
- 了解Microsoft Defender门户中的事件关联。
- 创建 Cloud Discovery 快照报表。
- 查看与 SaaS 安全计划等Microsoft Defender for Cloud Apps相关的Microsoft 安全风险管理中的计划和建议。
超出范围
- 讨论Defender for Cloud Apps与其他 Cloud Access Security Broker (CASB) 或 SaaS 安全产品/服务进行比较。
- 配置Defender for Cloud Apps以满足特定的合规性或法规要求。
- 将服务部署到非生产测试环境。
- 部署云应用发现作为概念证明。
- 使用 Docker 或日志收集器为连续报表设置自动日志上传的基础结构、安装或部署。
- 支持自定义日志分析程序,包括:
- 不支持的格式。
- 规范化其日志。
- 提供有关如何下载日志的指导。
- 使用块脚本阻止应用使用。
- 将自定义应用添加到 Cloud Discovery。
- 使用条件访问应用控制连接自定义应用。
- 为任何应用载入和部署条件访问应用控制。
- 与非Microsoft标识提供者集成 (IDP) 和数据丢失防护 (DLP) 提供程序。
- 有关高级搜寻的培训或指导。
- 自动调查和修正,包括Microsoft Power Automate playbook。
- SIEM 或 API 集成 (包括Microsoft Sentinel) 。
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint是一个平台,旨在帮助企业网络预防、检测、调查和响应高级威胁。
FastTrack 提供远程指南:
- 评估操作系统版本和设备管理方法 (包括Microsoft Intune、Microsoft终结点Configuration Manager、组策略和非Microsoft配置) 以及终结点安全软件的状态。
- 使用 Microsoft Defender for Endpoint P1 和 P2 加入:
- 本地脚本。
- 组策略。5
- Intune。
- Configuration Manager。
- Defender for Endpoint 安全设置管理。5
- 为Microsoft流量通过代理和防火墙提供建议的配置指南,限制无法直接连接到 Internet 的设备的网络流量。
- 通过说明如何使用受支持的管理方法之一 (EDR) 代理配置文件部署终结点检测和响应来启用 Defender for Endpoint 服务。
- 以下方面的部署指南、配置帮助和教育:
- 漏洞管理核心功能。
- 攻击面减少功能,包括:
- 攻击面减少规则。
- 受控文件夹访问权限。
- 可移动媒体设备的设备控制。5
- 网络保护。
- 新一代保护。
- 终结点检测和响应。
- 自动调查和修复。
- 使用 Intune Microsoft Defender SmartScreen 配置。
- 设备发现。1
- 查看模拟和教程 (,例如练习方案、虚假恶意软件和自动调查) 。
- 报告和威胁分析功能概述。
- 将Office 365、Microsoft Defender for Identity和Defender for Cloud Apps的Microsoft Defender与 Defender for Endpoint 集成。
- 执行Microsoft Defender门户的演练。
- 使用Microsoft 安全风险管理的关键设备资产管理概述
- 查看与Microsoft Defender for Endpoint相关的Microsoft 安全风险管理中的计划和建议,例如:
- 终结点安全性
- 关键资产保护
- 载入和配置以下操作系统:4
- Windows 10/11,包括Windows 365云电脑。
- Windows Server 2012 R2。2
- Windows Server 2016。2
- Windows Server 2019.2
- Windows Server 2022.2
- Windows Server 2019 核心版。2
- 支持的 macOS 版本。
- 支持Linux服务器分发版。
- Android。3
- Ios。3
1 仅支持设备发现的某些方面。 有关详细信息,请参阅以下 范围外 部分。
2 Windows Server 2012 R2 和 2016 支持仅限于加入和配置统一代理。
3 有关详细信息,请参阅以下范围 外 部分,了解移动威胁防御详细信息。
4 有关将 Defender for Endpoint 与 Microsoft Defender for Servers 集成的详细信息,请参阅 Microsoft Defender for Cloud。
5 仅支持配置设备控制的某些方面。 有关详细信息,请参阅以下 范围外部分。
超出范围
- 预览版功能的载入和启用指南。
- 排查参与期间遇到的问题 (包括无法载入) 的设备。 FastTrack 指导客户Microsoft 支持部门寻求帮助。
- 支持Microsoft Defender 商业版。
- 以下 Defender for Endpoint 代理的载入或配置:
- Windows Server 2008 R2。
- Windows 7。
- Windows 8。
- Defender for Endpoint 不支持的任何操作系统或设备类型。
- Linux Defender for Endpoint 不支持的分发版。
- 使用自定义内核Linux实例。
- 适用于 Linux 的 Windows 子系统 (WSL) 。
- 虚拟桌面基础结构 (VDI) (持久性或非持久性) ,包括Azure虚拟桌面和非Microsoft VDI 解决方案。
- 服务器载入和配置。
- 为脱机通信配置代理服务器。
- 在下层Configuration Manager实例和版本上配置Configuration Manager部署包。
- 服务器不是由 Configuration Manager 或 Defender for Endpoint 安全设置管理管理的。
- Linux服务器载入和配置。
- 任何非Microsoft系统管理工具或产品的规范性协助 (包括开发与其关联的配置文件) ,包括:
- 厨师
- 木偶。
- Ansible。
- Saltstack。
- FastTrack 尽可能向客户推荐适用的技术指南。
- 任何非Microsoft系统管理工具或产品的规范性协助 (包括开发与其关联的配置文件) ,包括:
- macOS 载入和配置。
- 基于 JAMF 的部署。
- 其他移动设备管理 (MDM) 基于产品的部署。
- 手动部署。
- android 和 iOS) (移动威胁防御加入和配置。
- 非托管自带设备 (BYOD) 或其他企业移动管理系统管理的设备。
- 设置应用保护策略 (,例如移动应用管理 (MAM) ) 。
- Android 设备。
- 管理员注册的设备。
- 帮助多个 VPN 配置文件共存。
- 将设备载入到Intune。 有关载入帮助的详细信息,请参阅Microsoft Intune。
- 配置以下攻击面减少功能:
- 基于硬件的应用程序和浏览器隔离 (包括应用程序防护) 。
- 应用程序控制,包括 AppLocker 和 Windows Defender 应用程序控制。
- 以下设备控制功能:
- 设备安装限制。
- 数据保护。
- 存储。
- Windows Portable Devices (WPD) 可移动存储访问。
- 连接。
- 蓝牙。
- 直接内存访问 (DMA) 防护。
- Exploit Protection。
- 网络和终结点防火墙。
- 配置或管理帐户保护功能,例如:
- Credential Guard。
- 本地用户组成员身份。
- BitLocker 的配置或管理。
- 通过组策略 (GPO) 配置MDE设备控制。
注意
有关 Windows 11 的 BitLocker 帮助的信息,请参阅 Windows 11。
- 配置或管理网络设备发现。
- 配置或管理以下设备发现功能:
- 载入非托管设备不在 FastTrack (范围内,例如Linux) 。
- 配置或修正物联网 (IoT) 设备,包括通过 Defender for IoT 对 IoT 设备的漏洞评估。
- 与非Microsoft工具集成。
- 设备发现的排除项。
- 初步网络帮助。
- 排查网络问题。
- 攻击模拟 (包括渗透测试) 。
- 注册或配置 Microsoft 威胁专家。
- API 或 SIEM 连接的配置或培训指南。
- 有关高级搜寻的培训或指导。
- 有关使用或创建 Kusto 查询的培训或指导。
- 有关使用 组策略 对象 (GPO) 、Windows 安全中心 或 Microsoft Edge 的 Defender SmartScreen 配置的培训或指南。
- Defender 漏洞管理加载项。
- Defender 漏洞管理独立。
请联系 Microsoft合作伙伴 获取这些服务的帮助。
Microsoft Defender for Identity
Microsoft Defender for Identity是基于云的安全解决方案。 它使用本地 Active Directory 信号来确定、检测和调查针对组织的高级威胁、被盗用的标识和内部人员恶意操作。
FastTrack 提供远程指南:
- 运行大小调整工具进行资源容量规划。
- 创建 Defender for Identity 实例。
- 跨 Active Directory 域服务 (AD DS) 、Active Directory 联合身份验证服务 (AD FS) 、Active Directory 证书服务 (AD CS) 和 Microsoft Entra Connect 配置 Windows 事件集合。
- 使用角色组管理管理员访问权限。
- 在 Active Directory 域控制器上为单个和多个林环境部署或激活和配置传感器 (经典 V2 和统一 V3) 。
- 从经典 V2 迁移到统一 V3。
- 在 Active Directory 中创建和配置目录服务帐户或管理操作帐户,包括组托管服务帐户 (gMSA) 。
- 在 AD FS、AD CS 和 Microsoft Entra Connect 服务器上下载、部署和配置传感器。
- 门户配置,包括:
- 标记敏感帐户、设备或组。
- Email运行状况问题和安全警报通知。
- 警报排除。
- 计划的报表。
- 提供有关以下方面的部署指南、配置帮助和教育:
- 非活动用户报告。
- 已泄露帐户上的修正选项。
- 促进从高级威胁分析 (ATA) 迁移到 Defender for Identity ((如果适用) )。
- 使用Microsoft 安全风险管理的关键标识资产管理概述
- 查看与Microsoft Defender for Identity相关的Microsoft 安全风险管理中的计划和建议,例如:
- 标识安全计划
- 关键资产保护计划
超出范围
- 部署 Defender for Identity 作为概念证明。
- 部署或执行以下 Defender for Identity 传感器活动:
- 手动容量规划。
- 部署独立传感器。
- 使用网络接口卡 (NIC) 组合适配器部署传感器。
- 通过非Microsoft工具部署传感器。
- 通过 Web 代理连接连接到 Defender for Identity 云服务。
- 禁用Microsoft Defender for Identity服务。
- 创建和配置 AD FS 数据库的权限。
- 创建和配置用于 ADSync 数据库的 Microsoft Entra Connect 的权限。
- 创建和管理蜜标帐户或设备。
- (NNR) 启用网络名称解析。
- 启用和配置已删除对象容器。
- 部署指南或有关以下内容的教育:
- 修正或解释各种警报类型和监视的活动。
- 调查用户、计算机、横向移动路径或实体。
- 威胁或高级搜寻。
- 事件响应。
- 为 Defender for Identity 提供安全警报实验室教程。
- 通过指定的传感器向 syslog 服务器发送安全警报,在 Defender for Identity 检测到可疑活动时提供通知。
- 配置 Defender for Identity 以使用安全帐户管理器远程 (SAMR) 协议来执行查询,以标识特定计算机上的本地管理员。
- 配置 VPN 解决方案,以将 VPN 连接中的信息添加到用户的配置文件页。
- SIEM 或 API 集成 (包括Microsoft Sentinel) 。
源环境预期
- 符合 Defender for Identity 先决条件。
- 已部署 Active Directory、AD FS、AD CS 和 Microsoft Entra Connect。
- 要安装 Defender for Identity 传感器的 Active Directory 域控制器与 Defender for Identity 云服务建立 Internet 连接。
- 防火墙和代理必须打开才能与 Defender for Identity 云服务通信 (*.atp.azure.com 端口 443 必须打开) 。
- 在以下服务器之一上运行的域控制器:
- Windows Server 2016。
- Windows Server 2019 KB4487044 (OS 内部版本 17763.316 或更高版本) 。
- Windows Server 2022 年。
- Windows Server 2025。
- Microsoft .NET Framework 4.7 或更高版本。
- 至少需要 6 (6) GB 的磁盘空间,建议使用 10 GB。
- 域控制器上安装两个 (2 个) 核心和六个 (6) GB RAM。
Microsoft Defender for Office 365
Microsoft Defender for Office 365 可保护组织免受电子邮件、链接 (URL) 、附件和协作工具(如 Microsoft Teams、SharePoint 和 Outlook)构成的恶意威胁。 借助威胁和工具(如威胁资源管理器)的实时视图,可以搜寻并始终领先于潜在威胁。 使用攻击模拟训练在组织中运行真实的攻击方案。 这些模拟攻击可以帮助你在真正的攻击影响你的利润之前识别和查找易受攻击的用户。
FastTrack 提供远程指南:
- 查看配置分析器和/或 Defender for Office 365 推荐配置分析器 (ORCA) 。
- 设置评估模式。
- 启用预设策略、安全链接 (包括安全文档) 、安全附件、反恶意软件、防钓鱼、反垃圾邮件、反欺骗、模拟和隔离策略。
- 提供优先级帐户和用户标记的概述。
- 定义垃圾邮件和批量用户体验。
- 启用 Teams 保护。
- 配置用户报告的消息设置。
- 使用攻击模拟训练并配置高级传递策略。
- 概述租户允许/阻止列表 (TABL) 、提交、电子邮件实体页、报告、市场活动、威胁资源管理器和威胁分析。
- 提供欺骗智能、模拟保护和邮箱智能的概述。
- 概述零时自动清除 (ZAP) 自动调查和响应 (AIR) 。
- 了解Microsoft Defender门户中的事件关联。
- 了解修改消息和外部标记的功能的影响。
- 按照Microsoft最佳做法指南从非Microsoft提供程序转换,但创建当前设置的清单除外。
- 提供邮件流分析的概述。
超出范围
- 讨论将 Defender for Office 365 与其他安全产品/服务进行比较。
- 部署 Defender for Office 365 作为概念证明。
- 有关高级搜寻的培训或指导。
- 与Microsoft Power Automate playbook 集成。
- MICROSOFT SENTINEL) 以外的 SIEM 或 API 集成 (。
源环境预期
除了 FastTrack 核心载入之外,还必须配置Exchange Online。
服务器的Microsoft Defender
Microsoft Defender for Server 是 Microsoft Defender for Cloud 中的工作负载保护服务。 Microsoft Defender for Cloud 是一个云原生应用程序保护平台, (CNAPP) ,它由旨在保护基于云的应用程序免受各种网络威胁和漏洞的安全措施和做法组成。
FastTrack 通过为 Windows 上的服务器和在 Microsoft Azure、本地和其他云中运行的 Linux 服务器部署Microsoft Defender,帮助你扩展对云工作负载的保护。 Defender for Servers 与 Microsoft Defender for Endpoint 集成, (EDR) 和其他威胁防护功能提供终结点检测和响应。
FastTrack 提供远程指南:
- Defender for Server 概述,包括:
- 确定部署前最佳做法的范围。
- 确保基本环境设置和知识到位。
- 帮助客户了解加入方法 (Direct 与 Azure Arc) 以及功能/权益的影响。
- 在Azure环境中定义和实现管理组层次结构。
- 有限支持 - 在 Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中运行的服务器上部署功能 Defender for Server。
- 验证角色和权限。
- 在 MDE 中创建设备组以支持对已载入设备的管理,& 限制对客户服务器管理团队的访问。
- 服务器载入。
- 为客户提供有关如何在其环境中的试点服务器上启用 Azure Arc 的指导。
- 协助客户团队将服务器加入到 Defender for Server。
- 提供用于部署 Defender for Servers 的Azure Policy的有限指导。
- 提供直接载入指南。
- 确定部署前最佳做法的范围。
超出范围
- 详细的定价信息。 有关详细信息,请联系你的帐户团队。
- 不是 Defender for Server (Defender for API、容器、存储等的 MDC 组件 )
- 配置Azure端载入之外的 AWS 或 GCP 环境。 这包括在 AWS 或 GCP 中设置项目、堆栈或连接器。
- 部署依赖于用于载入 Defender for Servers 的 Azure API。
- 部署 Defender for Server 功能,包括:
- 为 Defender for Cloud Foundational CSPM 和 Defender for Servers 部署无代理扫描。
- 通过 Defender for Endpoint 传感器启用文件完整性监视 (FIM) 。
- 自定义和优化 FIM。
- 配置实时虚拟机访问。
- 管理Azure Arc 设备的Azure 更新管理器修正。
- 使用 Azure Monitor 代理管理免费数据引入, (AMA) 引入日志。
- 部署Microsoft Defender 漏洞管理加载项。
- 配置安全策略和法规合规性。
- 管理 docker 主机强化。
- 部署网络映射。
Defender 中的 Copilot
FastTrack 提供远程指南:
- 载入帮助,包括:
- ) (SCU 预配安全计算单元。
注意
所有 M365 E5 客户租户都将自动预配并载入到Security Copilot
- 配置具有必要角色和权限的默认环境,并启用Security Copilot嵌入式体验。
- Defender 中Security Copilot演练,包括:
- 事件摘要、引导响应和事件报告。
- 标识和设备摘要。
- 文件和脚本分析器指南。
- 用于Kusto 查询语言 (KQL) 概述和演示的自然语言。
- Defender 威胁情报 (Defender TI) 提示。
- Defender 代理 AI 体验中的 Copilot 演练,包括:
- 演示代理 AI 如何通过汇总事件、设备和标识信息和活动来帮助 Defender 工作流。
- 通过分析脚本和文件并推荐下一步操作,展示代理体验如何减少分析师工作量和决策疲劳。
- 使用自然语言简化 KQL 的搜寻体验 (NL2KQL)
- 演练现实的安全方案,说明何时可以在何处以及何时调用代理Microsoft。
- 提供有关在 Defender 中启用和使用代理体验所需的先决条件、角色和权限的指导。
超出范围
- 详细的定价信息。 有关详细信息,请联系你的帐户团队。
- 威胁搜寻和事件响应。
- 提供Security Copilot独立体验的演练。
- 创建新的自定义代理。
- 部署第三方代理。
Microsoft高级部署指南
Microsoft为客户提供技术和指导,以协助部署Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。
对于非 IT 管理员,请参阅 Microsoft 365 安装程序。
注意
如果 FastTrack 服务中未列出产品的部署指南,请填写“协助请求”表单,确保定向到最适合你的部署目标和组织需求的资源。 提交后,将审查请求并将其路由到最能支持部署目标的资源。
注意
请注意,支持的范围和 SLA 可能因特定工作负载而异。 FastTrack 可帮助推荐来自自我指导的资源、Microsoft统一产品/服务或Microsoft合作伙伴的资源,以满足部署需求。