試驗和部署 Microsoft Defender XDR
適用於:
- Microsoft Defender XDR
這一系列的文章會逐步引導您完成在生產租用戶中試驗 Microsoft Defender XDR 元件的整個程式,以便評估其功能,然後完成整個組織的部署。
XDR) 解決方案 (的 eXtended 偵測和回應是網路安全性的一個步驟,因為它會從一旦隔離的系統取得威脅數據並加以整合,讓您可以更快速地查看模式,並更快速地處理可疑的網路攻擊。
Microsoft Defender XDR:
這是一種 XDR 解決方案,可將身分識別、端點、電子郵件和雲端應用程式的網路攻擊相關信息結合在一處。 它利用人工智慧 (AI) 和自動化,自動停止某些類型的攻擊,並將受影響的資產補救到安全狀態。
這是雲端式、統一、入侵前和入侵后的企業防禦套件。 它會跨身分識別、端點、電子郵件、雲端應用程式及其數據協調預防、偵測、調查和回應。
藉由提供威脅防護和偵測,參與強式零信任架構。 它有助於防止或減少因缺口而造成的業務損害。 如需詳細資訊,請參閱 Microsoft 零信任採用架構中的實作 威脅防護和 XDR 商務案例。
Microsoft Defender XDR 元件和架構
下表列出 Microsoft Defender XDR 的元件。
| 元件 | 描述 | 相關資訊 |
|---|---|---|
| 適用於身分識別的 Microsoft Defender | 使用來自內部部署 Active Directory Domain Services (AD DS) 和 Active Directory 同盟服務 (AD FS) 的訊號,來識別、偵測及調查進階威脅、遭入侵的身分識別,以及針對貴組織的惡意內部人員動作。 | 什麼是適用於身分識別的 Microsoft Defender? |
| Exchange Online Protection | 原生雲端式 SMTP 轉送和篩選服務,可協助保護您的組織免於遭受垃圾郵件和惡意代碼攻擊。 | Exchange Online Protection (EOP) 概觀 - Office 365 |
| 適用於 Office 365 的 Microsoft Defender | 保護您的組織免於受到電子郵件訊息、連結 (URL) 和共同作業工具所造成的惡意威脅。 | Microsoft Defender for Office 365 - Office 365 |
| 適用於端點的 Microsoft Defender | 裝置保護、入侵後偵測、自動化調查和建議回應的整合平臺。 | Microsoft適用於端點的 Defender - Windows 安全性 |
| Microsoft 雲端 App 安全性 | 全方位的跨 SaaS 解決方案為您的雲端應用程式帶來深度可見度、強大的數據控制,以及增強的威脅防護。 | 什麼是 Defender for Cloud Apps? |
| Microsoft Entra ID Protection | 評估數十億次登入嘗試的風險數據,並使用此數據來評估每次登入租用戶的風險。 根據條件式存取原則的設定方式,Microsoft Entra ID 會使用此數據來允許或防止帳戶存取。 Microsoft Entra ID Protection 與 Microsoft Defender XDR 不同,並隨附於 Microsoft Entra ID P2 授權。 | 什麼是 Identity Protection? |
此圖顯示 Microsoft Defender XDR 元件的架構和整合。
在此圖例中:
- Microsoft Defender XDR 會結合來自所有 Defender 元件的訊號,以跨網域提供 XDR。 這包括統一的事件佇列、停止攻擊的自動化回應、遭入侵裝置的自我修復 (、使用者身分識別,以及信箱) 、跨威脅搜捕和威脅分析。
- 適用於 Office 365 的 Microsoft Defender 可保護組織防範由電子郵件訊息、連結 (URL) 及共同作業工具所造成的惡意威脅。 它會與 Microsoft Defender XDR 共用這些活動所產生的訊號。 已整合 Exchange Online Protection (EOP) ,為內送電子郵件和附件提供端對端保護。
- Microsoft適用於身分識別的 Defender 會從執行 AD FS 和 AD CS 的 AD DS 域控制器和伺服器收集訊號。 它會使用這些訊號來保護您的混合式身分識別環境,包括防止駭客使用遭入侵的帳戶橫向在內部部署環境中的工作站之間移動。
- Microsoft適用於端點的 Defender 會從組織管理的裝置收集訊號並加以保護。
- Microsoft適用於雲端應用程式的 Defender 會收集來自貴組織使用雲端應用程式的訊號,並保護 IT 環境與這些應用程式之間的數據流動,包括獲批准和未經批准的雲端應用程式。
- Microsoft Entra ID Protection 會評估數十億次登入嘗試的風險數據,並使用此數據來評估每次登入租用戶的風險。 Microsoft Entra ID 會使用此數據,根據 條件式存取原則的條件和限制來允許或防止帳戶存取。 Microsoft Entra ID Protection 與 Microsoft Defender XDR 不同,並隨附於 Microsoft Entra ID P2 授權。
Microsoft Defender XDR 元件和 SIEM 整合
您可以將 Microsoft Defender XDR 元件與 Microsoft Sentinel 或一般安全性資訊和事件管理 (SIEM) 服務整合,以集中監視來自已連線應用程式的警示和活動。
Microsoft Sentinel 是雲端原生解決方案,可提供 SIEM 和安全性協調流程、自動化和回應 (SOAR) 功能。 Microsoft Sentinel 和 Microsoft Defender XDR 元件一起提供完整的解決方案,協助組織抵禦新式攻擊。
Microsoft Sentinel 包含適用於 Microsoft Defender 元件的連接器。 這可讓您不僅瞭解雲端應用程式,還能取得複雜的分析來識別和對抗網路威脅,以及控制數據的移動方式。 如需詳細資訊, 請參閱 Microsoft Defender XDR 和 Microsoft Sentinel 整合概觀 和 Microsoft Sentinel 和 Microsoft Defender XDR 的整合步驟。
如需sentinel Microsoft中 SOAR 的詳細資訊, (包括 Microsoft Sentinel GitHub 存放庫) 中劇本的連結,請參閱使用 Microsoft Sentinel 中的劇本自動化威脅回應。
如需與第三方 SIEM 系統整合的相關信息,請參閱 一般 SIEM 整合。
Microsoft Defender XDR 和網路安全性攻擊範例
此圖顯示常見的網路攻擊,以及Microsoft Defender XDR 的元件,可協助偵測並修復它。
網路攻擊會從網路釣魚電子郵件開始,該電子郵件會送達貴組織中員工的收件匣,該員工在不知情的情況下開啟電子郵件附件。 此附件會安裝惡意代碼,這可能會導致攻擊嘗試鏈結,而導致敏感數據遭竊。
在此圖例中:
- Exchange Online Protection 是適用於 Office 365 Microsoft Defender 的一部分,可以偵測網路釣魚電子郵件,並使用郵件流程規則 (也稱為傳輸規則) ,以確保它永遠不會送達使用者的收件匣。
- 適用於 Office 365 的 Defender 會使用安全附件來測試附件,並判斷它有害,因此到達的郵件無法由使用者採取動作,或原則會防止郵件抵達。
- 適用於端點的 Defender 會偵測可能在組織管理的裝置上遭到惡意探索的裝置和網路弱點。
- 適用於身分識別的 Defender 會記下內部部署用戶帳戶的突然變更,例如許可權提升或高風險橫向移動。 它也會報告容易惡意探索的身分識別問題,例如不受限制的 Kerberos 委派,以供安全性小組更正。
- Microsoft適用於雲端應用程式的 Defender 偵測到異常行為,例如不可能移動、認證存取,以及不尋常的下載、檔案共用或郵件轉寄活動,並將這些行為回報給安全性小組。
適用於 Microsoft Defender XDR 的試驗和部署程式
Microsoft建議依下列順序啟用 Microsoft 365 Defender 的元件。
| 階段 | 連結 |
|---|---|
| 答: 啟動試驗 | 啟動試驗 |
| B. 試驗和部署 Microsoft Defender XDR 元件 | - 試驗和部署適用於身分識別的Defender - 試驗和部署適用於 Office 365 的 Defender - 試驗和部署適用於端點的Defender - 試驗和部署適用於雲端應用程式Microsoft Defender |
| C. 調查和回應威脅 | 練習事件調查和回應 |
此順序旨在根據部署和設定功能通常需要投入多少心力,快速運用功能的價值。 例如,適用於 Office 365 的 Defender 可以用比在適用於端點的 Defender 中註冊裝置所需的時間來設定。 排定元件的優先順序,以符合您的商務需求。
啟動試驗
Microsoft建議您在Microsoft 365 的現有生產訂用帳戶中開始試驗,以立即取得真實世界的深入解析,而且您可以調整設定以因應Microsoft 365 租使用者中目前的威脅。 在您獲得經驗並熟悉平台之後,只要將每個元件的使用一次一個展開到完整部署即可。
替代方法是 設定您的 Microsoft Defender XDR 試用實驗室環境。 不過,當您進行試驗時,此環境不會顯示任何真正的網路安全性資訊,例如生產Microsoft 365 租使用者的威脅或攻擊,而且您將無法將安全性設定從此環境移至生產租使用者。
使用 Microsoft 365 E5 試用版授權
如果您沒有 Microsoft 365 E5,而且想要利用試驗Microsoft 365 E5 試用版授權:
登入現有的 Microsoft 365 租用戶系統管理入口網站。
從導覽功能表中選取 [ 購買服務 ]。
從 [Office 365] 區段中,選取 [Office 365 E5 授權] 下的 [ 詳細 數據]。
![Microsoft Defender 入口網站中 [詳細數據] 按鈕的螢幕快照。](/zh-tw/defender/media/mdo-eval/2_mdo-eval-license-details.png)
選 取 [開始免費試用]。
![Microsoft Defender 入口網站中 [開始免費試用] 按鈕的螢幕快照。](/zh-tw/defender/media/mdo-eval/3-m365-purchase-button.png)
確認您的要求,然後選取 [ 立即試用]。
![Microsoft Defender 入口網站中 [立即試用] 按鈕的螢幕快照。](/zh-tw/defender/media/mdo-eval/4_mdo-trial-order.png)
![Microsoft Defender 入口網站中 [詳細數據] 按鈕的螢幕快照。](/zh-tw/defender/media/mdo-eval/2_mdo-eval-license-details.png#lightbox)
![Microsoft Defender 入口網站中 [開始免費試用] 按鈕的螢幕快照。](/zh-tw/defender/media/mdo-eval/3-m365-purchase-button.png#lightbox)
![Microsoft Defender 入口網站中 [立即試用] 按鈕的螢幕快照。](/zh-tw/defender/media/mdo-eval/4_mdo-trial-order.png#lightbox)
在現有生產租使用者中使用 Microsoft 365 E5 試用版授權的試驗,可讓您在試用版到期且購買對等授權時,保留任何安全性設定和方法。
下一步
請參閱 試驗和部署適用於身分識別Microsoft Defender。
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft Defender XDR 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應