Microsoft Defender

文章
02/01/2024

Microsoft Defender XDR

Microsoft Defender 全面偵測回應是統一的入侵前和入侵后企業防禦套件。 Defender 全面偵測回應原生協調端點、身分識別、電子郵件和應用程式之間的偵測、預防、調查和回應，以提供針對複雜攻擊的整合式保護。

FastTrack 提供下列項目的遠端指引：

提供 Microsoft 365 安全性中心概觀。
- 提供跨產品事件的概觀，包括藉由確保完整的攻擊範圍、受影響的資產，以及群組在一起的自動化補救動作，將重點放在重要的專案。
- 示範 Microsoft Defender 全面偵測回應如何協調資產、使用者、裝置和信箱的調查，這些資產、使用者、裝置和信箱會透過自動化自我修復而遭入侵。
- 說明並提供客戶如何主動搜捕入侵嘗試和入侵活動的範例，這些活動會影響您跨多個數據集的電子郵件、數據、裝置和帳戶。
- 向客戶顯示如何使用 Microsoft 安全分數來全面檢閱及改善其安全性狀態。

超出範圍

關於下列專案的部署指引或教育：
- 如何補救或解譯各種警示類型和受監視的活動。
- 如何調查使用者、計算機、橫向動作路徑或實體。
- 自訂威脅搜捕。
SIEM) 或 API 整合 (安全性資訊和事件管理。

Microsoft 進階部署指南

Microsoft 為客戶提供技術和指引，以協助部署您的 Microsoft 365、Microsoft Viva 和安全性服務。我們鼓勵客戶使用這些供應項目開始他們的部署旅程。

對於非IT系統管理員，請參閱 Microsoft 365 安裝程式。

Microsoft 雲端 App 安全性

Microsoft Defender for Cloud Apps 是多用途軟體即服務 (SaaS) 安全性解決方案。它結合了 SaaS 安全性狀態管理、數據外洩防護、應用程式對應用程式保護，以及整合式威脅防護，以確保應用程式的整體涵蓋範圍。藉由採用 SaaS 安全性方法，您可以輕鬆地識別錯誤的設定。這可改善您的整體應用程式狀態、實作原則來保護敏感數據，以及保護應用程式對應用程式案例，以確保只有應用程式具有可接受的許可權可存取其他應用程式數據。當您原生整合到 Microsoft Defender 全面偵測回應時，像您這樣的組織會受益於使用來自 SaaS 的訊號，在其環境中主動搜捕，並在應用程式、裝置、身分識別和電子郵件之間對抗事件。

FastTrack 提供下列項目的遠端指引：

設定入口網站，包括：
- 匯入使用者群組。
- 管理系統管理員存取權和設定。
- 界定您的部署範圍，以選取要監視或排除監視的特定使用者群組。
- 如何設定IP範圍和標籤。
- 使用您的標誌和自定義訊息將用戶體驗個人化。
整合第一方服務，包括：
- 適用於端點的 Microsoft Defender。
- 適用於身分識別的 Microsoft Defender。
- Microsoft Entra ID Protection。
- Microsoft Purview 資訊保護。
使用下列項目設定雲端探索：
- Microsoft Defender 端點。
- Zscaler。
- iboss。
建立應用程式標籤和類別。
根據組織的優先順序自定義應用程式風險分數。
批准和取消批准應用程式。
檢閱適用於雲端應用程式和 Cloud Discovery 的 Defender 儀錶板。
啟用應用程式控管。
- 引導客戶流覽概觀頁面，並建立最多五 (5 個) 應用程式控管原則。
使用應用程式連接器連接精選應用程式。
在 Microsoft Entra ID 和適用於雲端應用程式的 Defender 入口網站中，使用條件式存取應用程控來保護應用程式。
部署精選應用程式的條件式存取應用程控。
在可用應用程式的安全分數建議中檢閱 SaaS 安全性狀態管理 (SSPM) 功能。
使用活動和檔案記錄。
管理 OAuth 應用程式。
檢閱和設定原則範本。
提供最上層 SaaS 使用案例的設定協助， (包括建立或更新最多六 (6 個) 原則) 。
瞭解 Microsoft Defender 入口網站中的事件相互關聯。

超出範圍

討論如何比較適用於雲端應用程式的Defender與其他 Cloud Access Security Broker (CASB) 或 SaaS 安全性供應專案。
設定適用於雲端應用程式的Defender以符合特定的合規性或法規需求。
將服務部署至非生產測試環境。
將 Cloud App Discovery 部署為概念證明。
設定基礎結構、安裝或部署自動記錄上傳，以使用 Docker 或記錄收集器進行連續報告。
建立 Cloud Discovery 快照集報告。
使用區塊腳本封鎖應用程式使用。
將自定義應用程式新增至 Cloud Discovery。
使用條件式存取應用程控連接自定義應用程式。
為任何應用程式上線和部署條件式存取應用程控。
與第三方識別提供者整合 (idPs) 和數據外洩防護 (DLP) 提供者。
涵蓋進階搜尋功能的訓練或指導方針。
自動化調查和補救，包括 Microsoft Power Automate 劇本。
SIEM 或 API 整合 (包括 Microsoft Sentinel) 。

Microsoft 進階部署指南

Microsoft 為客戶提供技術和指引，以協助部署您的 Microsoft 365、Microsoft Viva 和安全性服務。我們鼓勵客戶使用這些供應項目開始他們的部署旅程。

對於非IT系統管理員，請參閱 Microsoft 365 安裝程式。

適用於端點的 Microsoft Defender

適用於端點的 Microsoft Defender 是一個平臺，旨在協助企業網路預防、偵測、調查及回應進階威脅。

FastTrack 提供下列項目的遠端指引：

評估操作系統版本和裝置管理方法 (包括 Microsoft Intune、Microsoft 端點 Configuration Manager、群組原則和第三方設定) ，以及 Windows Defender AV 服務或其他端點安全性軟體的狀態。
使用下列專案適用於端點的 Microsoft Defender P1 和 P2 上線：
- 本機腳本。
- 群組原則。
- Intune。
- Configuration Manager。
- 適用於端點的Defender安全性設定管理。
提供建議的設定指引，讓 Microsoft 流量通過 Proxy 和防火牆，以限制無法直接連線到因特網的裝置網路流量。
說明如何使用其中一個支援的管理方法，將端點偵測和回應部署 (EDR) 代理程式配置檔，藉此啟用適用於端點的 Defender 服務。
部署指引、設定協助和教育：
- 弱點管理核心功能。
- 受攻擊面縮小。¹
- 新一代防護。
- 端點偵測及回應。
- 自動化調查與補救措施。
- 裝置的安全分數。
- 使用 Intune Microsoft Defender SmartScreen 設定。
- 裝置探索。²
檢閱模擬和教學課程 (例如練習案例、假惡意代碼，以及自動化調查) 。
報告和威脅分析功能的概觀。
整合適用於 Office 365 的 Microsoft Defender、適用於身分識別的 Microsoft Defender 和適用於雲端應用程式的Defender與適用於端點的Defender。
進行 Microsoft Defender 入口網站的逐步解說。
下列作業系統的上線和設定：
- Windows 10/11，包括 Windows 365 雲端電腦。
- Windows Server 2012 R2。³
- Windows Server 2016。³
- Windows Server 2019。³
- Windows Server 2022。³
- Windows Server 2019 Core Edition。³
- 支援的macOS版本。
- Android。⁴
- Ios。⁴

¹ 僅支援受攻擊面縮小規則、受控資料夾存取和網路保護。所有其他受攻擊面縮小功能不在範圍內。如需詳細資訊，請參閱下列 超出範圍一 節。

² 僅支援某些層面的裝置探索。如需詳細資訊，請參閱下列 超出範圍一 節。

³ Windows Server 2012 R2 和 2016 支援僅限於整合代理程式的上線和設定。伺服器必須由支援的 Configuration Manager 版本來管理。

⁴ 如需詳細資訊，請參閱下列 超出範圍一 節，以取得行動威脅防禦詳細數據。

超出範圍

預覽功能的上線和啟用指引。
針對參與期間遇到的問題進行疑難解答 (包括無法上架) 的裝置。
支援適用於企業的 Microsoft Defender。
下列適用於端點的Defender代理程式上線或設定：
- Windows Server 2008。
- Linux。
- 虛擬桌面基礎結構 (VDI) (持續性或非持續性) ，包括 Azure 虛擬桌面和第三方 VDI 解決方案。
伺服器上線和設定：
- 設定 Proxy 伺服器以進行離線通訊。
- 在下層 Configuration Manager 實例和版本上設定 Configuration Manager 部署套件。
- 未由 Configuration Manager 管理的伺服器。
- 將適用於端點的 Defender 與適用於雲端) 的伺服器 (Microsoft Defender Microsoft Defender 整合。
macOS 上線和設定：
- 以 JAMF 為基礎的部署。
- 其他行動裝置管理 (MDM) 產品型部署。
- 手動部署。
Android 和 iOS) (行動威脅防護上線和設定：
- Unmanaged 會將您自己的裝置 (BYOD) 或由其他企業行動管理系統管理的裝置。
- 設定應用程式保護原則 (例如行動應用程式管理 (MAM) ) 。
- Android 裝置系統管理員註冊的裝置。
- 協助多個 VPN 設定檔共存。
- 將裝置上線以 Intune。如需上線協助的詳細資訊，請參閱 Microsoft Intune。
設定以下能縮小攻擊面的功能：
- 硬體型應用程式和瀏覽器隔離 (包括應用程式防護) 。
- 應用程控，包括 AppLocker 和 Windows Defender 應用程控。
- 裝置控制件。
- 入侵防護。
- 網路和端點防火牆。
帳戶保護功能的設定或管理，例如：
- Credential Guard。
- 本機使用者群組成員資格。
設定或管理 BitLocker。

注意事項

如需 BitLocker 與 Windows 11 協助的相關信息，請參閱 Windows 11。

設定或管理網路裝置探索。
設定或管理下列裝置探索功能：
- 未在 FastTrack (範圍內的非受控裝置上線，例如 Linux) 。
- (IoT) 裝置設定或補救物聯網，包括透過適用於 IoT 的 Defender 對 IoT 裝置進行弱點評量。
- 與第三方工具整合。
- 裝置探索的排除專案。
- 初步的網路協助。
- 針對網路問題進行疑難解答。
攻擊模擬 (包括滲透測試) 。
註冊或設定 Microsoft 威脅專家。
API 或 SIEM 連線的設定或定型指引。
涵蓋進階搜尋功能的訓練或指導方針。
涵蓋 Kusto 查詢使用或建立的定型或指引。
使用群組原則 Objects (GPO) 、Windows 安全性或 Microsoft Edge 的 Defender SmartScreen 設定訓練或指引。
Defender 弱點管理附加元件。
Defender 弱點管理獨立。

請連絡 Microsoft 合作夥伴以取得這些服務的協助。

Microsoft 進階部署指南

Microsoft 為客戶提供技術和指引，以協助部署您的 Microsoft 365、Microsoft Viva 和安全性服務。我們鼓勵客戶使用這些供應項目開始他們的部署旅程。

對於非IT系統管理員，請參閱 Microsoft 365 安裝程式。

適用於身分識別的 Microsoft Defender

適用於身分識別的 Microsoft Defender 是雲端式安全性解決方案。它使用您的内部部署 Active Directory 信號來識別、偵測及調查鎖定貴組織的進階威脅、遭入侵的身分識別，以及惡意内部活動。

FastTrack 提供下列項目的遠端指引：

執行資源容量規劃的重設大小工具。
建立適用於身分識別的Defender實例。
跨 Active Directory 網域服務 (AD DS) 、Active Directory 同盟服務 (AD FS) 和 Active Directory 憑證服務 (AD CS) 設定 Windows 事件收集。
使用角色群組管理系統管理員存取權。
針對單一和多個樹系環境，在 Active Directory 域控制器上下載、部署和設定感測器。
在AD FS 伺服器上下載、部署和設定感測器。
入口網站設定，包括：
- 標記敏感性帳戶、裝置或群組。
- Email 健康情況問題和安全性警示的通知。
- 警示排除專案。
- 排程的報表。
提供下列專案的部署指引、設定協助和教育：
- Microsoft 安全分數內的身分識別安全性狀態評估報告。
- 使用者調查優先順序分數和用戶調查排名報告。
- 非使用中的用戶報告。
- 遭入侵帳戶上的補救選項。
如果適用) ，可協助從 Advanced Threat Analytics (ATA) 移轉至適用於身分識別的 Defender (。

超出範圍

部署適用於身分識別的Defender作為概念證明。
部署或執行下列適用於身分識別的Defender感測器活動：
- 手動容量規劃。
- 部署獨立感測器。
- 使用網路適配卡 (NIC) Teaming 配接器部署感測器。
- 透過第三方工具部署感測器。
- 透過 Web Proxy 連線連線到適用於身分識別的 Defender 雲端服務。
在 Active Directory 中建立及設定目錄服務帳戶或管理動作帳戶，包括群組受控服務帳戶 (gMSA) 。
建立和設定AD FS資料庫的許可權。
建立和管理 honeytokens 帳戶或裝置。
啟用網路名稱解析 (NNR) 。
啟用和設定 [刪除的物件] 容器。
關於下列專案的部署指引或教育：
- 補救或解譯各種警示類型和受監視的活動。
- 調查使用者、計算機、橫向動作路徑或實體。
- 威脅或進階搜捕。
- 事件回應。
提供適用於身分識別的 Defender 的安全性警示實驗室教學課程。
當適用於身分識別的 Defender 透過指派的感測器將安全性警示傳送至 syslog 伺服器，以偵測到可疑活動時提供通知。
設定適用於身分識別的 Defender，以使用安全性帳戶管理員遠端 (SAMR) 通訊協定來執行查詢，以識別特定電腦上的本機系統管理員。
設定 VPN 解決方案，以將資訊從 VPN 連線新增至使用者的配置檔頁面。
SIEM 或 API 整合 (包括 Microsoft Sentinel) 。

來源環境預期

符合適用於身分識別的 Defender 必要條件。
已部署 Active Directory、AD FS 和 AD CS。
您想要在上安裝適用於身分識別的 Defender 感測器的 Active Directory 域控制器具有與適用於身分識別的 Defender 雲端服務的因特網連線能力。
- 您的防火牆和 Proxy 必須開啟，才能與適用於身分識別的 Defender 雲端服務通訊 (*.atp.azure.com 埠 443 必須開啟) 。
在下列其中一部伺服器上執行的域控制器：
- Windows Server 2016。
- KB4487044 (OS 組建 17763.316 或更新版本的 Windows Server 2019) 。
- Windows Server 2022。
Microsoft .NET Framework 4.7 或更新版本。
至少需要六 (6) GB 的磁碟空間，建議使用 10 GB。
兩個 (2) 核心，以及六個 (6) GB 的 RAM 安裝在域控制器上。

Microsoft 進階部署指南

Microsoft 為客戶提供技術和指引，以協助部署您的 Microsoft 365、Microsoft Viva 和安全性服務。我們鼓勵客戶使用這些供應項目開始他們的部署旅程。

對於非IT系統管理員，請參閱 Microsoft 365 安裝程式。

適用於 Office 365 的 Microsoft Defender

適用於 Office 365 的 Microsoft Defender 保護貴組織抵禦電子郵件訊息、連結 (URL) 、附件和共同作業工具所造成的惡意威脅，例如 Microsoft Teams、SharePoint 和 Outlook。透過威脅和威脅總管等工具的實時檢視，您可以搜捕並掌握潛在威脅。使用攻擊模擬訓練，在您的組織中執行實際的攻擊案例。這些模擬攻擊可協助您在實際攻擊影響到您的底線之前，找出易受攻擊的使用者。

FastTrack 提供下列項目的遠端指引：

檢閱組態分析器和/或適用於 Office 365 的 Defender 建議的組態分析器 (ORCA) 。
設定評估模式。
啟用默認原則、安全連結 (包括安全檔) 、安全附件、反惡意代碼、反網路釣魚、反垃圾郵件、反詐騙、模擬和隔離原則。
啟用 Teams 保護。
設定用戶回報的訊息設定。
使用攻擊模擬器並設定進階傳遞原則
租使用者允許/封鎖清單 (TABL) 提交、電子郵件實體頁面、報告、活動、威脅總管和威脅分析的概觀。
(ZAP) 自動化和調查及回應 (AIR) 的零時段自動清除概觀。
瞭解 Microsoft Defender 入口網站中的事件相互關聯。
根據 Microsoft 最佳做法指引從第三方提供者進行轉換，除了建立您目前設定的清查、將修改訊息的功能移至 Microsoft 365，以及設定連接器的增強篩選。

超出範圍

比較適用於 Office 365 的 Defender 與其他安全性供應項目的討論。
將適用於 Office 365 的 Defender 部署為概念證明。
郵件流程分析。
增強的篩選。
涵蓋進階搜尋功能的訓練或指導方針。
與 Microsoft Power Automate 劇本整合。
SIEM 或 API 整合 (包括 Microsoft Sentinel) 。

來源環境預期

除了 FastTrack 核心上線之外，也必須設定 Exchange Online。

Microsoft 進階部署指南

Microsoft 為客戶提供技術和指引，以協助部署您的 Microsoft 365、Microsoft Viva 和安全性服務。我們鼓勵客戶使用這些供應項目開始他們的部署旅程。

對於非IT系統管理員，請參閱 Microsoft 365 安裝程式。

Microsoft Defender