评估和试点 Microsoft 365 Defender
适用于:
- Microsoft 365 Defender
本系列文章的工作原理
本系列文章旨在引导你完成端到端设置试用 XDR 环境的整个过程,以便你可以评估Microsoft 365 Defender的特性和功能,甚至可以在准备就绪时将评估环境直接推广到生产环境。
如果你不熟悉 XDR,可以浏览这 7 篇链接的文章,了解解决方案有多全面。
- 如何创建环境
- 设置或了解此 Microsoft XDR 的每个技术
- 如何使用此 XDR 进行调查和响应
- 将试用环境提升到生产环境
Microsoft 365 Defender是 Microsoft XDR 网络安全解决方案
Microsoft 365 Defender是一种 eXtended 检测和响应 (XDR) 解决方案,可自动收集、关联和分析来自 Microsoft 365 环境(包括终结点、电子邮件、应用程序和标识)的信号、威胁和警报数据。 它利用人工智能 (AI) 和自动化 来自动 阻止攻击,并将受影响的资产修正为安全状态。
将 XDR 视为安全性的下一步,统一终结点 (终结点检测和响应或 EDR) 、电子邮件、应用和标识安全。
Microsoft 评估Microsoft 365 Defender的建议
Microsoft 建议在 Office 365 的现有生产订阅中创建评估。 这样,你将立即获得实际见解,并可以优化设置以应对环境中的当前威胁。 获得经验并熟悉平台后,只需将每个组件(一次一个)提升到生产环境即可。
网络安全攻击的剖析
Microsoft 365 Defender是基于云的统一入侵前和违规后企业防御套件。 它跨终结点、标识、应用、电子邮件、协作应用程序及其所有数据协调 预防、 检测、 调查和 响应 。
在此图中,攻击正在进行中。 网络钓鱼电子邮件到达组织中某个员工的收件箱,该员工在不知不觉中打开了电子邮件附件。 这会安装恶意软件,这会导致一系列事件,这些事件可能以敏感数据被盗告终。 但在这种情况下,Defender for Office 365正在运行。
在此图中:
- Exchange Online Protection(Microsoft Defender for Office 365的一部分)可以检测钓鱼电子邮件,并使用邮件流规则 (也称为传输规则) ,以确保它永远不会到达收件箱。
- Defender for Office 365使用安全附件来测试附件并确定它是否有害,因此用户无法操作到达的邮件,或者策略会阻止邮件到达。
- Defender for Endpoint 管理连接到公司网络的设备,并检测可能被利用的设备和网络漏洞。
- Defender for Identity 会记录帐户的突然更改,例如权限提升或高风险横向移动。 它还报告了容易被利用的标识问题,例如不受约束的 Kerberos 委派,以供安全团队更正。
- Microsoft Defender for Cloud Apps注意到异常行为,如不可能访问、凭据访问和异常下载、文件共享或邮件转发活动,并向安全团队报告这些行为。
Microsoft 365 Defender组件保护设备、标识、数据和应用程序
Microsoft 365 Defender由这些安全技术组成,协同运行。 不需要所有这些组件就可以从 XDR 和 Microsoft 365 Defender 的功能中受益。 还可以通过使用一两个来实现收益和效率。
| 组件 | 说明 | 参考资料 |
|---|---|---|
| Microsoft Defender for Identity | Microsoft Defender for Identity使用 Active Directory 信号来识别、检测和调查针对组织的高级威胁、泄露的标识和恶意内部操作。 | 什么是 Microsoft Defender for Identity? |
| Exchange Online Protection | Exchange Online Protection是基于云的本机 SMTP 中继和筛选服务,可帮助保护组织免受垃圾邮件和恶意软件的侵害。 | Exchange Online Protection (EOP) 概述 - Office 365 |
| Microsoft Defender for Office 365 | Microsoft Defender for Office 365保护组织免受电子邮件、链接 (URL) 和协作工具构成的恶意威胁。 | Microsoft Defender for Office 365 - Office 365 |
| Microsoft Defender for Endpoint | Microsoft Defender for Endpoint是用于设备保护、漏洞后检测、自动调查和建议响应的统一平台。 | Microsoft Defender for Endpoint - Windows 安全性 |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps是一种全面的跨 SaaS 解决方案,为云应用提供深入的可见性、强大的数据控制和增强的威胁防护。 | 什么是 Defender for Cloud Apps 许可? |
| Azure AD 标识保护 | Azure AD 标识保护评估数十亿次登录尝试的风险数据,并使用此数据评估每次登录环境的风险。 Azure AD 使用此数据来允许或阻止帐户访问,具体取决于条件访问策略的配置方式。 Azure AD 标识保护独立于Microsoft 365 Defender获得许可。 它包含在Azure Active Directory Premium P2中。 | 什么是标识保护? |
Microsoft 365 Defender体系结构
下图说明了关键Microsoft 365 Defender组件和集成的高级体系结构。 本系列文章中提供了每个 Defender 组件的详细体系结构和用例方案。
在此图中:
- Microsoft 365 Defender结合了来自所有 Defender 组件的信号,以跨域提供扩展的检测和响应 (XDR) 。 这包括统一的事件队列、用于停止攻击的自动响应、针对受入侵设备的自我修复 (、用户标识和邮箱) 、跨威胁搜寻和威胁分析。
- Microsoft Defender for Office 365 可保护你的组织免受电子邮件、链接 (URL) 和协作工具带来的恶意威胁。 它与Microsoft 365 Defender共享这些活动产生的信号。 Exchange Online Protection (EOP) 集成,可为传入电子邮件和附件提供端到端保护。
- Microsoft Defender for Identity从运行 Active Directory Federated Services (AD FS) 的服务器收集信号,本地 Active Directory域服务 (AD DS) 。 它使用这些信号来保护混合标识环境,包括防止黑客使用受损帐户在本地环境中的工作站之间横向移动。
- Microsoft Defender for Endpoint收集来自的信号,并保护组织使用的设备。
- Microsoft Defender for Cloud Apps从组织使用云应用时收集信号,并保护环境与这些应用之间流动的数据,包括批准的云应用和未经批准的云应用。
- Azure AD 标识保护评估数十亿次登录尝试的风险数据,并使用此数据评估每次登录环境的风险。 Azure AD 使用此数据来允许或阻止帐户访问,具体取决于条件访问策略的配置方式。 Azure AD 标识保护独立于Microsoft 365 Defender获得许可。 它包含在Azure Active Directory Premium P2中。
Microsoft SIEM 和 SOAR 可以使用来自 Microsoft 365 Defender
此图中未包含的其他可选体系结构组件:
- 来自所有Microsoft 365 Defender组件的详细信号数据可以集成到 Microsoft Sentinel 中,并与其他日志记录源结合使用,以提供完整的 SIEM 和 SOAR 功能和见解。
- 有关使用 Microsoft Sentinel(将 Microsoft 365 Defender 作为 XDR 的 Azure SIEM)的详细信息,请查看此概述文章以及 Microsoft Sentinel 和 Microsoft 365 Defender 集成步骤。
- 有关 Microsoft Sentinel (SOAR 的详细信息,包括 Microsoft Sentinel GitHub 存储库) 中的 playbook 链接,请阅读 本文。
Microsoft 365 Defender网络安全评估过程
Microsoft 建议按所示顺序启用 Microsoft 365 的组件:
下表描述了此图示。
| 序列号 | 步骤 | 说明 |
|---|---|---|
| 1 | 创建评估环境 | 此步骤可确保拥有Microsoft 365 Defender的试用版许可证。 |
| 2 | 启用 Defender for Identity | 查看体系结构要求,启用评估,并演练有关识别和修正不同攻击类型的教程。 |
| 3 | 启用Defender for Office 365 | 确保满足体系结构要求,启用评估,然后创建试点环境。 此组件包括Exchange Online Protection,因此你将在此处实际评估这两个组件。 |
| 4 | 启用 Defender for Endpoint | 确保满足体系结构要求,启用评估,然后创建试点环境。 |
| 5 | 启用Microsoft Defender for Cloud Apps | 确保满足体系结构要求,启用评估,然后创建试点环境。 |
| 6 | 调查并响应威胁 | 模拟攻击并开始使用事件响应功能。 |
| 7 | 将试用版提升到生产 | 逐个将 Microsoft 365 组件推广到生产环境。 |
通常建议使用此顺序,旨在根据部署和配置功能通常需要多少精力来快速利用功能的价值。 例如,配置Defender for Office 365所需的时间比在 Defender for Endpoint 中注册设备所需的时间要短。 当然,应确定组件优先级以满足业务需求,并且可以按不同的顺序启用这些组件。