评估和试点 Microsoft 365 Defender

适用于:

  • Microsoft 365 Defender

本系列文章的工作原理

本系列文章旨在引导你完成端到端设置试用 XDR 环境的整个过程,以便你可以评估Microsoft 365 Defender的特性和功能,甚至可以在准备就绪时将评估环境直接推广到生产环境。

如果你不熟悉 XDR,可以浏览这 7 篇链接的文章,了解解决方案有多全面。

Microsoft 365 Defender是一种Microsoft XDR 网络安全解决方案

Microsoft 365 Defender是一种 eXtended 检测和响应 (XDR) 解决方案,可自动收集、关联和分析来自 Microsoft 365 环境的信号、威胁和警报数据,包括终结点、电子邮件、应用程序和标识。 它利用人工智能 (AI) 和自动化 来自动 阻止攻击,并将受影响的资产修正为安全状态。

将 XDR 视为安全性的下一步,统一终结点 (终结点检测和响应或 EDR) 、电子邮件、应用和标识安全。

评估Microsoft 365 Defender的Microsoft建议

Microsoft建议在 Office 365 的现有生产订阅中创建评估。 这样,你将立即获得实际见解,并可以优化设置以应对环境中的当前威胁。 获得经验并熟悉平台后,只需将每个组件(一次一个)提升到生产环境即可。

网络安全攻击的剖析

Microsoft 365 Defender是基于云的统一入侵前和违规后企业防御套件。 它跨终结点、标识、应用、电子邮件、协作应用程序及其所有数据协调 预防检测调查响应

在此图中,攻击正在进行中。 网络钓鱼电子邮件到达组织中某个员工的收件箱,该员工在不知不觉中打开了电子邮件附件。 这会安装恶意软件,这会导致一系列事件,这些事件可能以敏感数据被盗告终。 但在这种情况下,Defender for Office 365正在运行。

各种攻击尝试

在此图中:

  • Exchange Online Protection(Microsoft Defender for Office 365的一部分)可以检测钓鱼电子邮件,并使用邮件流规则 (也称为传输规则) ,以确保它永远不会到达收件箱。
  • Defender for Office 365使用安全附件来测试附件并确定它是否有害,因此用户无法操作到达的邮件,或者策略会阻止邮件到达。
  • Defender for Endpoint 管理连接到公司网络的设备,并检测可能被利用的设备和网络漏洞。
  • Defender for Identity 会记录帐户的突然更改,例如权限提升或高风险横向移动。 它还报告了容易被利用的标识问题,例如不受约束的 Kerberos 委派,以供安全团队更正。
  • Microsoft Defender for Cloud Apps注意到异常行为,如不可能访问、凭据访问和异常下载、文件共享或邮件转发活动,并向安全团队报告这些行为。

Microsoft 365 Defender组件保护设备、标识、数据和应用程序

Microsoft 365 Defender由这些安全技术组成,协同运行。 不需要所有这些组件就可以从 XDR 和 Microsoft 365 Defender 的功能中受益。 还可以通过使用一两个来实现收益和效率。

组件 说明 参考资料
Microsoft Defender for Identity Microsoft Defender for Identity使用 Active Directory 信号来识别、检测和调查针对组织的高级威胁、泄露的标识和恶意内部操作。 什么是 Microsoft Defender for Identity?
Exchange Online Protection Exchange Online Protection是基于云的本机 SMTP 中继和筛选服务,可帮助保护组织免受垃圾邮件和恶意软件的侵害。 Exchange Online Protection (EOP) 概述 - Office 365
Microsoft Defender for Office 365 Microsoft Defender for Office 365保护组织免受电子邮件、链接 (URL) 和协作工具构成的恶意威胁。 Microsoft Defender for Office 365 - Office 365
Microsoft Defender for Endpoint Microsoft Defender for Endpoint是用于设备保护、漏洞后检测、自动调查和建议响应的统一平台。 Microsoft Defender for Endpoint - Windows 安全性
Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps是一种全面的跨 SaaS 解决方案,为云应用提供深入的可见性、强大的数据控制和增强的威胁防护。 什么是 Defender for Cloud Apps 许可?
Azure AD 标识保护 Azure AD 标识保护评估数十亿次登录尝试的风险数据,并使用此数据评估每次登录环境的风险。 Azure AD 使用此数据来允许或阻止帐户访问,具体取决于条件访问策略的配置方式。 Azure AD 标识保护独立于Microsoft 365 Defender获得许可。 它包含在Azure Active Directory Premium P2中。 什么是标识保护?

Microsoft 365 Defender体系结构

下图说明了关键Microsoft 365 Defender组件和集成的高级体系结构。 本系列文章中提供了每个 Defender 组件的详细体系结构和用例方案。

Microsoft 365 Defender门户的高级体系结构

在此图中:

  • Microsoft 365 Defender结合了来自所有 Defender 组件的信号,以跨域提供扩展的检测和响应 (XDR) 。 这包括统一的事件队列、用于停止攻击的自动响应、针对受入侵设备的自我修复 (、用户标识和邮箱) 、跨威胁搜寻和威胁分析。
  • Microsoft Defender for Office 365 可保护你的组织免受电子邮件、链接 (URL) 和协作工具带来的恶意威胁。 它与Microsoft 365 Defender共享这些活动产生的信号。 Exchange Online Protection (EOP) 集成,可为传入电子邮件和附件提供端到端保护。
  • Microsoft Defender for Identity从运行 Active Directory Federated Services (AD FS) 的服务器收集信号,本地 Active Directory域服务 (AD DS) 。 它使用这些信号来保护混合标识环境,包括防止黑客使用受损帐户在本地环境中的工作站之间横向移动。
  • Microsoft Defender for Endpoint收集来自的信号,并保护组织使用的设备。
  • Microsoft Defender for Cloud Apps从组织使用云应用时收集信号,并保护环境与这些应用之间流动的数据,包括批准的云应用和未经批准的云应用。
  • Azure AD 标识保护评估数十亿次登录尝试的风险数据,并使用此数据评估每次登录环境的风险。 Azure AD 使用此数据来允许或阻止帐户访问,具体取决于条件访问策略的配置方式。 Azure AD 标识保护独立于Microsoft 365 Defender获得许可。 它包含在Azure Active Directory Premium P2中。

Microsoft SIEM 和 SOAR 可以使用来自 Microsoft 365 Defender 的数据

此图中未包含的其他可选体系结构组件:

  • 来自所有Microsoft 365 Defender组件的详细信号数据可以集成到 Microsoft Sentinel 中,并与其他日志记录源结合使用,以提供完整的 SIEM 和 SOAR 功能和见解。
  • 有关使用 Microsoft Sentinel(Microsoft 365 Defender作为 XDR 的 Azure SIEM)的详细信息,请参阅此概述文章以及Microsoft Sentinel 和Microsoft 365 Defender集成步骤
  • 有关 Microsoft Sentinel (SOAR 的详细信息,包括指向 Microsoft Sentinel GitHub 存储库) 中的 playbook 的链接,请阅读本文

Microsoft 365 Defender网络安全评估过程

Microsoft建议按图示的顺序启用 Microsoft 365 的组件:

Microsoft 365 Defender门户中的高级评估过程

下表描述了此图示。

序列号 步骤 说明
1 创建评估环境 此步骤可确保拥有Microsoft 365 Defender的试用版许可证。
2 启用 Defender for Identity 查看体系结构要求,启用评估,并演练有关识别和修正不同攻击类型的教程。
3 启用Defender for Office 365 确保满足体系结构要求,启用评估,然后创建试点环境。 此组件包括Exchange Online Protection,因此你将在此处实际评估这两个组件。
4 启用 Defender for Endpoint 确保满足体系结构要求,启用评估,然后创建试点环境。
5 启用Microsoft Defender for Cloud Apps 确保满足体系结构要求,启用评估,然后创建试点环境。
6 调查并响应威胁 模拟攻击并开始使用事件响应功能。
7 将试用版提升到生产 逐个将 Microsoft 365 个组件提升到生产环境。

通常建议使用此顺序,旨在根据部署和配置功能通常需要多少精力来快速利用功能的价值。 例如,配置Defender for Office 365所需的时间比在 Defender for Endpoint 中注册设备所需的时间要短。 当然,应确定组件优先级以满足业务需求,并且可以按不同的顺序启用这些组件。

转到下一步

了解和/或创建Microsoft 365 Defender评估环境