試驗和部署 Microsoft Defender 全面偵測回應
適用於:
- Microsoft Defender XDR
這一系列的文章會逐步引導您完成在生產租用戶中試驗 Microsoft Defender 全面偵測回應元件的整個程式,以便評估其功能,然後完成整個組織的部署。
XDR) 解決方案 (的 eXtended 偵測和回應是網路安全性的一個步驟,因為它會從一旦隔離的系統取得威脅數據並加以整合,讓您可以更快速地查看模式,並更快速地處理可疑的網路攻擊。
Microsoft Defender 全面偵測回應:
這是一種 XDR 解決方案,可將身分識別、端點、電子郵件和雲端應用程式的網路攻擊相關信息結合在一處。 它利用人工智慧 (AI) 和自動化,自動停止某些類型的攻擊,並將受影響的資產補救到安全狀態。
這是雲端式、統一、入侵前和入侵后的企業防禦套件。 它會跨身分識別、端點、電子郵件、雲端應用程式及其數據協調預防、偵測、調查和回應。
藉由提供威脅防護和偵測,為強 零信任 架構做出貢獻。 它有助於防止或減少因缺口而造成的業務損害。 如需詳細資訊,請參閱在Microsoft 零信任 採用架構中實作威脅防護和 XDR 商務案例。
Microsoft Defender 全面偵測回應元件和架構
下表列出 Microsoft Defender 全面偵測回應 的元件。
元件 | 描述 | 相關資訊 |
---|---|---|
適用於身分識別的 Microsoft Defender | 使用來自您 內部部署的 Active Directory Domain Services (AD DS) 的訊號,Active Directory 同盟服務 (AD FS) 來識別、偵測及調查進階威脅、遭入侵的身分識別,以及針對貴組織的惡意內部人員動作。 | 什麼是適用於身分識別的 Microsoft Defender? |
Exchange Online Protection | 原生雲端式 SMTP 轉送和篩選服務,可協助保護您的組織免於遭受垃圾郵件和惡意代碼攻擊。 | Exchange Online Protection (EOP) 概觀 - Office 365 |
適用於 Office 365 的 Microsoft Defender | 保護您的組織免於受到電子郵件訊息、連結 (URL) 和共同作業工具所造成的惡意威脅。 | 適用於 Office 365 的 Microsoft Defender - Office 365 |
適用於端點的 Microsoft Defender | 裝置保護、入侵後偵測、自動化調查和建議回應的整合平臺。 | 適用於端點的 Microsoft Defender - Windows 安全性 |
Microsoft 雲端 App 安全性 | 全方位的跨 SaaS 解決方案為您的雲端應用程式帶來深度可見度、強大的數據控制,以及增強的威脅防護。 | 什麼是 Defender for Cloud Apps? |
Microsoft Entra ID Protection | 評估數十億次登入嘗試的風險數據,並使用此數據來評估每次登入租用戶的風險。 根據條件式存取原則的設定方式,Microsoft Entra ID 會使用此數據來允許或防止帳戶存取。 Microsoft Entra ID Protection 與 Microsoft Defender 全面偵測回應 分開,並隨附於 Microsoft Entra ID P2 授權。 | 什麼是 Identity Protection? |
此圖顯示 Microsoft Defender 全面偵測回應元件的架構和整合。
在此圖例中:
- Microsoft Defender 全面偵測回應 結合所有 Defender 元件的訊號,以跨網域提供 XDR。 這包括統一的事件佇列、停止攻擊的自動化回應、遭入侵裝置的自我修復 (、使用者身分識別,以及信箱) 、跨威脅搜捕和威脅分析。
- 適用於 Office 365 的 Microsoft Defender 可保護組織防範由電子郵件訊息、連結 (URL) 及共同作業工具所造成的惡意威脅。 它會與 Microsoft Defender 全面偵測回應 共用這些活動所產生的訊號。 Exchange Online Protection (EOP) 已整合,可為內送電子郵件和附件提供端對端保護。
- 適用於身分識別的 Microsoft Defender 從執行AD FS和AD CS的AD DS域控制器和伺服器收集訊號。 它會使用這些訊號來保護您的混合式身分識別環境,包括防止駭客使用遭入侵的帳戶橫向在內部部署環境中的工作站之間移動。
- 適用於端點的 Microsoft Defender 收集來自組織管理之裝置的訊號並加以保護。
- Microsoft Defender for Cloud Apps 收集組織使用雲端應用程式的訊號,並保護IT環境與這些應用程式之間的數據流動,包括獲批准和未經批准的雲端應用程式。
- Microsoft Entra ID Protection 會評估數十億次登入嘗試的風險數據,並使用此數據來評估每次登入租用戶的風險。 Microsoft Entra ID 會根據條件式存取原則的條件和限制,使用此數據來允許或防止帳戶存取。 Microsoft Entra ID Protection 與 Microsoft Defender 全面偵測回應 分開,並隨附於 Microsoft Entra ID P2 授權。
Microsoft Defender 全面偵測回應元件和 SIEM 整合
您可以將 Microsoft Defender 全面偵測回應元件與 Microsoft Sentinel 或一般安全性資訊和事件管理整合 (SIEM) 服務,以啟用從連線應用程式集中監視警示和活動的功能。
Microsoft Sentinel 是雲端原生解決方案,可提供 SIEM 和安全性協調流程、自動化和回應 (SOAR) 功能。 Microsoft Sentinel 和 Microsoft Defender 全面偵測回應元件一起提供完整的解決方案,協助組織抵禦新式攻擊。
Microsoft Sentinel 包含 Microsoft Defender元件的連接器。 這可讓您不僅瞭解雲端應用程式,還能取得複雜的分析來識別和對抗網路威脅,以及控制數據的移動方式。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 和 Microsoft Sentinel 整合的概觀和 Microsoft Sentinel 和 Microsoft Defender 全面偵測回應的整合步驟。
如需 Microsoft Sentinel (中 SOAR 的詳細資訊,包括 Microsoft Sentinel GitHub 存放庫) 中的劇本連結,請參閱使用 Microsoft Sentinel 中的劇本自動化威脅回應。
如需與第三方 SIEM 系統整合的相關信息,請參閱 一般 SIEM 整合。
Microsoft Defender 全面偵測回應和範例網路安全性攻擊
此圖顯示常見的網路攻擊,以及 Microsoft Defender 全面偵測回應 的元件,可協助偵測和補救它。
網路攻擊會從網路釣魚電子郵件開始,該電子郵件會送達貴組織中員工的收件匣,該員工在不知情的情況下開啟電子郵件附件。 此附件會安裝惡意代碼,這可能會導致攻擊嘗試鏈結,而導致敏感數據遭竊。
在此圖例中:
- Exchange Online Protection 是 適用於 Office 365 的 Microsoft Defender 的一部分,可以偵測網路釣魚電子郵件,並使用郵件流程規則 (也稱為傳輸規則) ,以確保它永遠不會抵達使用者的收件匣。
- 適用於 Office 365 的 Defender 使用安全附件來測試附件,並判斷其有害,因此到達的郵件無法由使用者採取動作,或原則會防止郵件抵達。
- 適用於端點的 Defender 會偵測可能在組織管理的裝置上遭到惡意探索的裝置和網路弱點。
- 適用於身分識別的 Defender 會記下內部部署用戶帳戶的突然變更,例如許可權提升或高風險橫向移動。 它也會報告容易惡意探索的身分識別問題,例如不受限制的 Kerberos 委派,以供安全性小組更正。
- Microsoft Defender for Cloud Apps 會偵測異常行為,例如不可能移動、認證存取,以及不尋常的下載、檔案共享或郵件轉寄活動,並將這些行為回報給安全性小組。
Microsoft Defender 全面偵測回應的試驗和部署程式
Microsoft建議依下列順序啟用 Microsoft 365 Defender 的元件。
階段 | 連結 |
---|---|
答: 啟動試驗 | 啟動試驗 |
B. 試驗和部署 Microsoft Defender 全面偵測回應元件 |
-
試驗和部署適用於身分識別的Defender - 試驗和部署 適用於 Office 365 的 Defender - 試驗和部署適用於端點的Defender - 試驗和部署 Microsoft Defender for Cloud Apps |
C. 調查和回應威脅 | 練習事件調查和回應 |
此順序旨在根據部署和設定功能通常需要投入多少心力,快速運用功能的價值。 例如,適用於 Office 365 的 Defender 的設定時間比在適用於端點的Defender中註冊裝置所需的時間還短。 排定元件的優先順序,以符合您的商務需求。
啟動試驗
Microsoft建議您在Microsoft 365 的現有生產訂用帳戶中開始試驗,以立即取得真實世界的深入解析,而且您可以調整設定以因應Microsoft 365 租使用者中目前的威脅。 在您獲得經驗並熟悉平台之後,只要將每個元件的使用一次一個展開到完整部署即可。
替代方法是設定 Microsoft Defender 全面偵測回應 試用實驗室環境。 不過,當您進行試驗時,此環境不會顯示任何真正的網路安全性資訊,例如生產Microsoft 365 租使用者的威脅或攻擊,而且您將無法將安全性設定從此環境移至生產租使用者。
使用 Microsoft 365 E5 試用版授權
如果您沒有 Microsoft 365 E5,而且想要利用試驗的 Microsoft 365 E5 試用版授權:
登入現有的 Microsoft 365 租用戶系統管理入口網站。
從導覽功能表中選取 [ 購買服務 ]。
從 [Office 365] 區段中,選取 [Office 365 E5 授權] 底下的 [詳細數據]。
選 取 [開始免費試用]。
確認您的要求,然後選取 [ 立即試用]。
在現有生產租使用者中使用 Microsoft 365 E5 試用版授權的試驗,可讓您在試用版到期且購買對等授權時,保留任何安全性設定和方法。
下一步
請參閱試驗和部署 適用於身分識別的 Microsoft Defender。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。