適用於:
這一系列的文章會逐步引導您完成在生產租用戶中試驗 Microsoft Defender 全面偵測回應元件的整個程式,以便評估其功能,然後完成整個組織的部署。
XDR) 解決方案 (的 eXtended 偵測和回應是網路安全性的一個步驟,因為它會從一旦隔離的系統取得威脅數據並加以整合,讓您可以更快速地查看模式,並更快速地處理可疑的網路攻擊。
Microsoft Defender 全面偵測回應:
這是一種 XDR 解決方案,可將身分識別、端點、電子郵件和雲端應用程式的網路攻擊相關信息結合在一處。 它利用人工智慧 (AI) 和自動化,自動停止某些類型的攻擊,並將受影響的資產補救到安全狀態。
這是雲端式、統一、入侵前和入侵后的企業防禦套件。 它會跨身分識別、端點、電子郵件、雲端應用程式及其數據協調預防、偵測、調查和回應。
藉由提供威脅防護和偵測,為強 零信任 架構做出貢獻。 它有助於防止或減少因缺口而造成的業務損害。 如需詳細資訊,請參閱在Microsoft 零信任 採用架構中實作威脅防護和 XDR 商務案例。
下表列出 Microsoft Defender 全面偵測回應 的元件。
| 元件 | 描述 | 相關資訊 |
|---|---|---|
| 適用於身分識別的 Microsoft Defender | 使用來自您 內部部署的 Active Directory Domain Services (AD DS) 的訊號,Active Directory 同盟服務 (AD FS) 來識別、偵測及調查進階威脅、遭入侵的身分識別,以及針對貴組織的惡意內部人員動作。 | 什麼是適用於身分識別的 Microsoft Defender? |
| Exchange Online Protection | 原生雲端式 SMTP 轉送和篩選服務,可協助保護您的組織免於遭受垃圾郵件和惡意代碼攻擊。 | Exchange Online Protection (EOP) 概觀 - Office 365 |
| 適用於 Office 365 的 Microsoft Defender | 保護您的組織免於受到電子郵件訊息、連結 (URL) 和共同作業工具所造成的惡意威脅。 | 適用於 Office 365 的 Microsoft Defender - Office 365 |
| 適用於端點的 Microsoft Defender | 裝置保護、入侵後偵測、自動化調查和建議回應的整合平臺。 | 適用於端點的 Microsoft Defender - Windows 安全性 |
| Microsoft 雲端 App 安全性 | 全方位的跨 SaaS 解決方案為您的雲端應用程式帶來深度可見度、強大的數據控制,以及增強的威脅防護。 | 什麼是 Defender for Cloud Apps? |
| Microsoft Entra ID Protection | 評估數十億次登入嘗試的風險數據,並使用此數據來評估每次登入租用戶的風險。 根據條件式存取原則的設定方式,Microsoft Entra ID 會使用此數據來允許或防止帳戶存取。 Microsoft Entra ID Protection 與 Microsoft Defender 全面偵測回應 分開,並隨附於 Microsoft Entra ID P2 授權。 | 什麼是 Identity Protection? |
此圖顯示 Microsoft Defender 全面偵測回應元件的架構和整合。
在此圖例中:
您可以將 Microsoft Defender 全面偵測回應元件與 Microsoft Sentinel 或一般安全性資訊和事件管理整合 (SIEM) 服務,以啟用從連線應用程式集中監視警示和活動的功能。
Microsoft Sentinel 是雲端原生解決方案,可提供 SIEM 和安全性協調流程、自動化和回應 (SOAR) 功能。 Microsoft Sentinel 和 Microsoft Defender 全面偵測回應元件一起提供完整的解決方案,協助組織抵禦新式攻擊。
Microsoft Sentinel 包含 Microsoft Defender元件的連接器。 這可讓您不僅瞭解雲端應用程式,還能取得複雜的分析來識別和對抗網路威脅,以及控制數據的移動方式。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 和 Microsoft Sentinel 整合的概觀和 Microsoft Sentinel 和 Microsoft Defender 全面偵測回應的整合步驟。
如需 Microsoft Sentinel (中 SOAR 的詳細資訊,包括 Microsoft Sentinel GitHub 存放庫) 中的劇本連結,請參閱使用 Microsoft Sentinel 中的劇本自動化威脅回應。
如需與第三方 SIEM 系統整合的相關信息,請參閱 一般 SIEM 整合。
此圖顯示常見的網路攻擊,以及 Microsoft Defender 全面偵測回應 的元件,可協助偵測和補救它。
網路攻擊會從網路釣魚電子郵件開始,該電子郵件會送達貴組織中員工的收件匣,該員工在不知情的情況下開啟電子郵件附件。 此附件會安裝惡意代碼,這可能會導致攻擊嘗試鏈結,而導致敏感數據遭竊。
在此圖例中:
Microsoft建議依下列順序啟用 Microsoft 365 Defender 的元件。
| 階段 | 連結 |
|---|---|
| 答: 啟動試驗 | 啟動試驗 |
| B. 試驗和部署 Microsoft Defender 全面偵測回應元件 |
-
試驗和部署適用於身分識別的Defender - 試驗和部署 適用於 Office 365 的 Defender - 試驗和部署適用於端點的Defender - 試驗和部署 Microsoft Defender for Cloud Apps |
| C. 調查和回應威脅 | 練習事件調查和回應 |
此順序旨在根據部署和設定功能通常需要投入多少心力,快速運用功能的價值。 例如,適用於 Office 365 的 Defender 的設定時間比在適用於端點的Defender中註冊裝置所需的時間還短。 排定元件的優先順序,以符合您的商務需求。
Microsoft建議您在Microsoft 365 的現有生產訂用帳戶中開始試驗,以立即取得真實世界的深入解析,而且您可以調整設定以因應Microsoft 365 租使用者中目前的威脅。 在您獲得經驗並熟悉平台之後,只要將每個元件的使用一次一個展開到完整部署即可。
替代方法是設定 Microsoft Defender 全面偵測回應 試用實驗室環境。 不過,當您進行試驗時,此環境不會顯示任何真正的網路安全性資訊,例如生產Microsoft 365 租使用者的威脅或攻擊,而且您將無法將安全性設定從此環境移至生產租使用者。
如果您沒有 Microsoft 365 E5,而且想要利用試驗的 Microsoft 365 E5 試用版授權:
登入現有的 Microsoft 365 租用戶系統管理入口網站。
從導覽功能表中選取 [ 購買服務 ]。
從 [Office 365] 區段中,選取 [Office 365 E5 授權] 底下的 [詳細數據]。
![Microsoft Defender 入口網站中 [詳細數據] 按鈕的螢幕快照。](/zh-tw/defender/media/mdo-eval/2_mdo-eval-license-details.png#lightbox)
選 取 [開始免費試用]。
![Microsoft Defender 入口網站中 [開始免費試用] 按鈕的螢幕快照。](/zh-tw/defender/media/mdo-eval/3-m365-purchase-button.png#lightbox)
確認您的要求,然後選取 [ 立即試用]。
![Microsoft Defender 入口網站中 [立即試用] 按鈕的螢幕快照。](/zh-tw/defender/media/mdo-eval/4_mdo-trial-order.png#lightbox)
在現有生產租使用者中使用 Microsoft 365 E5 試用版授權的試驗,可讓您在試用版到期且購買對等授權時,保留任何安全性設定和方法。
請參閱試驗和部署 適用於身分識別的 Microsoft Defender。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。
訓練
學習路徑
使用 Microsoft Defender XDR 防禦網路威脅 - Training
為了獲得此 Microsoft Applied Skills 認證,學習者會展現使用 Microsoft Defender XDR 來偵測和回應網路威脅的能力。 此認證的候選者應該熟悉調查和收集對端點攻擊的相關證據。 他們也應該具備使用適用於端點的 Microsoft Defender 和 Kusto 查詢語言 (KQL) 的經驗。
認證
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
使用現代化管理、共同管理方法和 Microsoft Intune 整合的基本元素,規劃並執行端點部署策略。