Microsoft Defender

  • 项目

Microsoft Defender XDR

Microsoft Defender XDR是一个统一的入侵前和入侵后企业防御套件。 Defender XDR跨终结点、标识、电子邮件和应用本机协调检测、预防、调查和响应,以提供针对复杂攻击的集成保护。

FastTrack 提供远程指南:

  • 提供Microsoft 365 安全中心的概述。
    • 提供跨产品事件的概述,包括通过确保完整的攻击范围、受影响的资产和组合在一起的自动修正操作来专注于关键事件。
    • 演示Microsoft Defender XDR如何协调资产、用户、设备和邮箱的调查,这些资产、用户、设备和邮箱通过自动自我修复而遭到入侵。
    • 说明并提供客户如何主动搜寻跨多个数据集影响电子邮件、数据、设备和帐户的入侵尝试和违规活动的示例。
    • 向客户展示如何使用 Microsoft 安全功能分数全面查看和改进其安全状况。

超出范围

  • 部署指南或有关以下内容的教育:
    • 如何修正或解释各种警报类型和监视的活动。
    • 如何调查用户、计算机、横向移动路径或实体。
    • 自定义威胁搜寻。
  • 安全信息和事件管理 (SIEM) 或 API 集成。

Microsoft 高级部署指南

Microsoft 为客户提供技术和指导,以协助部署 Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。

对于非 IT 管理员,请参阅 Microsoft 365 安装程序

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps是一种多用途软件即服务 (SaaS) 安全解决方案。 它结合了 SaaS 安全态势管理、数据丢失防护、应用到应用保护和集成威胁防护,以确保应用的全面覆盖。 通过采用 SaaS 安全方法,可以轻松识别错误配置。 这可改善整体应用状况,实施策略以保护敏感数据,并保护应用到应用方案,以确保只有应用具有访问其他应用数据的可接受权限。 在本机集成到Microsoft Defender XDR时,像你这样的组织受益于使用 SaaS 的信号来主动搜寻其环境,并跨应用、设备、标识和电子邮件应对事件。

FastTrack 提供远程指南:

  • 配置门户,包括:
    • 导入用户组。
    • 管理管理员访问权限和设置。
    • 确定部署范围以选择要监视或从监视中排除的特定用户组。
    • 如何设置 IP 范围和标记。
    • 使用徽标和自定义消息个性化最终用户体验。
  • 集成第一方服务,包括:
    • Microsoft Defender for Endpoint。
    • Microsoft Defender for Identity。
    • Microsoft Entra ID 保护。
    • Microsoft Purview 信息保护。
  • 使用设置云发现:
    • 终结点的Microsoft Defender。
    • Zscaler。
    • iboss。
  • 创建应用标记和类别。
  • 根据组织的优先级自定义应用风险分数。
  • 批准和取消批准应用。
  • 查看 Defender for Cloud Apps 和 Cloud Discovery 仪表板。
  • 启用应用治理。
    • 引导客户浏览概述页,并创建最多 5 (5 个) 应用治理策略。
  • 使用应用连接器连接特色应用。
  • 在 Microsoft Entra ID 和 Defender for Cloud Apps 门户中使用条件访问应用控制保护应用。
  • 为特色应用部署条件访问应用控制。
  • 查看针对可用应用的安全功能分数建议中的 SaaS 安全态势管理 (SSPM) 功能。
  • 使用活动和文件日志。
  • 管理 OAuth 应用。
  • 查看和配置策略模板。
  • 为顶级 SaaS 用例提供配置帮助 (包括创建或更新多达 6 个 (6 个) 策略) 。
  • 了解Microsoft Defender门户中的事件关联。

超出范围

  • 讨论将 Defender for Cloud Apps 与其他 Cloud Access Security Broker (CASB) 或 SaaS 安全产品/服务进行比较。
  • 配置 Defender for Cloud Apps 以满足特定的合规性或法规要求。
  • 将服务部署到非生产测试环境。
  • 部署云应用发现作为概念证明。
  • 使用 Docker 或日志收集器为连续报表设置自动日志上传的基础结构、安装或部署。
  • 创建 Cloud Discovery 快照报表。
  • 使用块脚本阻止应用使用。
  • 将自定义应用添加到 Cloud Discovery。
  • 使用条件访问应用控制连接自定义应用。
  • 为任何应用载入和部署条件访问应用控制。
  • 与第三方标识提供者集成 (IdP) 和数据丢失防护 (DLP) 提供程序。
  • 有关高级搜寻的培训或指导。
  • 自动调查和修正,包括 Microsoft Power Automate playbook。
  • SIEM 或 API 集成 (包括 Microsoft Sentinel) 。

Microsoft 高级部署指南

Microsoft 为客户提供技术和指导,以协助部署 Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。

对于非 IT 管理员,请参阅 Microsoft 365 安装程序

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint是一个平台,旨在帮助企业网络预防、检测、调查和响应高级威胁。

FastTrack 提供远程指南:

  • 评估操作系统版本和设备管理方法 (包括Microsoft Intune、Microsoft Endpoint Configuration Manager、组策略和第三方配置) 以及Windows Defender AV 服务或其他终结点安全软件的状态。
  • 使用 Microsoft Defender for Endpoint P1 和 P2 加入:
    • 本地脚本。
    • 组策略。
    • Intune。
    • Configuration Manager。
    • Defender for Endpoint 安全设置管理。
  • 为 Microsoft 流量通过代理和防火墙提供建议的配置指南,限制无法直接连接到 Internet 的设备的网络流量。
  • 通过说明如何使用受支持的管理方法之一 (EDR) 代理配置文件部署终结点检测和响应来启用 Defender for Endpoint 服务。
  • 以下方面的部署指南、配置帮助和教育:
    • 漏洞管理核心功能。
    • 攻击面减少。1
    • 新一代保护。
    • 终结点检测和响应。
    • 自动调查和修复。
    • 设备的安全功能分数。
    • 使用 Intune Microsoft Defender SmartScreen 配置。
    • 设备发现。2
  • 查看模拟和教程 (,例如练习方案、虚假恶意软件和自动调查) 。
  • 报告和威胁分析功能概述。
  • 将 Microsoft Defender for Office 365、Microsoft Defender for Identity 和 Defender for Cloud Apps 与 Defender for Endpoint 集成。
  • 执行Microsoft Defender门户的演练。
  • 载入和配置以下操作系统:
    • Windows 10/11,包括Windows 365云电脑。
    • Windows Server 2012 R2。3
    • Windows Server 2016。3
    • Windows Server 2019。3
    • Windows Server 2022。3
    • Windows Server 2019 Core Edition。3
    • 支持的 macOS 版本。
    • Android。4
    • Ios。4

1 仅支持攻击面减少规则、受控文件夹访问和网络保护。 所有其他攻击面减少功能不在范围内。 有关详细信息,请参阅以下 范围外 部分。

2 仅支持某些方面设备发现。 有关详细信息,请参阅以下 范围外 部分。

3 Windows Server 2012 R2 和 2016 支持仅限于加入和配置统一代理。 服务器必须由受支持的 Configuration Manager 版本管理。

4 有关详细信息,请参阅以下范围 部分,了解移动威胁防御详细信息。

超出范围

  • 预览版功能的载入和启用指南。
  • 排查参与期间遇到的问题 (包括无法载入) 的设备。
  • 支持Microsoft Defender 商业版。
  • 以下 Defender for Endpoint 代理的载入或配置:
    • Windows Server 2008。
    • Linux。
    • 虚拟桌面基础结构 (VDI) (持久性或非持久性) ,包括 Azure 虚拟桌面和第三方 VDI 解决方案。
  • 服务器载入和配置:
    • 为脱机通信配置代理服务器。
    • 在下层Configuration Manager实例和版本上配置Configuration Manager部署包。
    • 不由 Configuration Manager 管理的服务器。
    • 将 Defender for Endpoint 与 Microsoft Defender for Servers (Microsoft Defender for Cloud) 集成。
  • macOS 载入和配置:
    • 基于 JAMF 的部署。
    • 其他移动设备管理 (MDM) 基于产品的部署。
    • 手动部署。
  • (Android 和 iOS) 的移动威胁防御加入和配置:
    • 非托管自带设备 (BYOD) 或其他企业移动管理系统管理的设备。
    • 设置应用保护策略 (,例如移动应用管理 (MAM) ) 。
    • Android 设备管理员注册的设备。
    • 帮助多个 VPN 配置文件共存。
    • 将设备载入到Intune。 有关载入帮助的详细信息,请参阅Microsoft Intune
  • 配置以下攻击面减少功能:
    • 基于硬件的应用和浏览器隔离 (包括应用程序防护) 。
    • 应用控件,包括 AppLocker 和 Windows Defender 应用程序控件。
    • 设备控制。
    • Exploit Protection。
    • 网络和终结点防火墙。
  • 配置或管理帐户保护功能,例如:
    • Credential Guard。
    • 本地用户组成员身份。
  • BitLocker 的配置或管理。

注意

有关 Windows 11 的 BitLocker 帮助的信息,请参阅 Windows 11

  • 配置或管理网络设备发现。
  • 配置或管理以下设备发现功能:
    • 载入不在 FastTrack (范围内的非托管设备,例如 Linux) 。
    • 配置或修正物联网 (IoT) 设备,包括通过 Defender for IoT 对 IoT 设备的漏洞评估。
    • 与第三方工具集成。
    • 设备发现的排除项。
    • 初步网络帮助。
    • 排查网络问题。
  • 攻击模拟 (包括渗透测试) 。
  • 注册或配置 Microsoft 威胁专家。
  • API 或 SIEM 连接的配置或培训指南。
  • 有关高级搜寻的培训或指导。
  • 有关使用或创建 Kusto 查询的培训或指导。
  • 有关使用 组策略 对象 (GPO) 、Windows 安全中心 或 Microsoft Edge 的 Defender SmartScreen 配置的培训或指南。
  • Defender 漏洞管理加载项。
  • Defender 漏洞管理独立。

请联系 Microsoft 合作伙伴 获取这些服务的帮助。

Microsoft 高级部署指南

Microsoft 为客户提供技术和指导,以协助部署 Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。

对于非 IT 管理员,请参阅 Microsoft 365 安装程序

Microsoft Defender for Identity

Microsoft Defender for Identity是基于云的安全解决方案。 它使用本地 Active Directory 信号来确定、检测和调查针对组织的高级威胁、被盗用的标识和内部人员恶意操作。

FastTrack 提供远程指南:

  • 运行大小调整工具进行资源容量规划。
  • 创建 Defender for Identity 实例。
  • 跨 Active Directory 域服务 (AD DS) 、Active Directory 联合身份验证服务 (AD FS) 和 Active Directory 证书服务配置 Windows 事件集合, (AD CS) 。
  • 使用角色组管理管理员访问权限。
  • 在 Active Directory 域控制器上为单林和多个林环境下载、部署和配置传感器。
  • 在 AD FS 服务器上下载、部署和配置传感器。
  • 门户配置,包括:
    • 标记敏感帐户、设备或组。
    • Email运行状况问题和安全警报通知。
    • 警报排除。
    • 计划的报表。
  • 提供有关以下方面的部署指南、配置帮助和教育:
    • Microsoft 安全功能分数中的标识安全态势评估报告。
    • 用户调查优先级分数和用户调查排名报告。
    • 非活动用户报告。
    • 已泄露帐户上的修正选项。
  • 促进从高级威胁分析 (ATA) 迁移到 Defender for Identity ((如果适用) )。

超出范围

  • 部署 Defender for Identity 作为概念证明。
  • 部署或执行以下 Defender for Identity 传感器活动:
    • 手动容量规划。
    • 部署独立传感器。
    • 使用网络接口卡 (NIC) 组合适配器部署传感器。
    • 通过第三方工具部署传感器。
    • 通过 Web 代理连接连接到 Defender for Identity 云服务。
  • 在 Active Directory 中创建和配置目录服务帐户或管理操作帐户,包括组托管服务帐户 (gMSA) 。
  • 创建和配置 AD FS 数据库的权限。
  • 创建和管理蜜标帐户或设备。
  • (NNR) 启用网络名称解析。
  • 启用和配置已删除对象容器。
  • 部署指南或有关以下内容的教育:
    • 修正或解释各种警报类型和监视的活动。
    • 调查用户、计算机、横向移动路径或实体。
    • 威胁或高级搜寻。
    • 事件响应。
  • 为 Defender for Identity 提供安全警报实验室教程。
  • 通过指定的传感器向 syslog 服务器发送安全警报,在 Defender for Identity 检测到可疑活动时提供通知。
  • 配置 Defender for Identity 以使用安全帐户管理器远程 (SAMR) 协议来执行查询,以标识特定计算机上的本地管理员。
  • 配置 VPN 解决方案,以将 VPN 连接中的信息添加到用户的配置文件页。
  • SIEM 或 API 集成 (包括 Microsoft Sentinel) 。

源环境预期

  • 符合 Defender for Identity 先决条件。
  • 已部署 Active Directory、AD FS 和 AD CS。
  • 要安装 Defender for Identity 传感器的 Active Directory 域控制器与 Defender for Identity 云服务建立 Internet 连接。
    • 防火墙和代理必须打开才能与 Defender for Identity 云服务通信 (*.atp.azure.com 端口 443 必须打开) 。
  • 在以下服务器之一上运行的域控制器:
    • Windows Server 2016。
    • KB4487044 (操作系统内部版本 17763.316 或更高版本的 Windows Server 2019) 。
    • Windows Server 2022。
  • Microsoft .NET Framework 4.7 或更高版本。
  • 至少需要 6 (6) GB 的磁盘空间,建议使用 10 GB。
  • 域控制器上安装两个 (2 个) 核心和六个 (6) GB RAM。

Microsoft 高级部署指南

Microsoft 为客户提供技术和指导,以协助部署 Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。

对于非 IT 管理员,请参阅 Microsoft 365 安装程序

Microsoft Defender for Office 365

Microsoft Defender for Office 365保护组织免受电子邮件、链接 (URL) 、附件和协作工具(如 Microsoft Teams、SharePoint 和 Outlook)构成的恶意威胁。 借助威胁和工具(如威胁资源管理器)的实时视图,可以搜寻并始终领先于潜在威胁。 使用攻击模拟训练在组织中运行真实的攻击方案。 这些模拟攻击可以帮助你在真正的攻击影响你的利润之前识别和查找易受攻击的用户。

FastTrack 提供远程指南:

  • 查看配置分析器和/或Defender for Office 365建议的配置分析器 (ORCA) 。
  • 设置评估模式。
  • 启用预设策略、安全链接 (包括安全文档) 、安全附件、反恶意软件、防钓鱼、反垃圾邮件、反欺骗、模拟和隔离策略。
  • 启用 Teams 保护。
  • 配置用户报告的消息设置。
  • 使用攻击模拟器并配置高级传递策略
  • 租户允许/阻止列表概述 (TABL) 提交、电子邮件实体页、报告、市场活动、威胁资源管理器和威胁分析。
  • 零小时自动清除 (ZAP) 自动化以及 AIR) 调查和响应 (概述。
  • 了解Microsoft Defender门户中的事件关联。
  • 遵循 Microsoft 最佳做法指南从第三方提供商转换,但创建当前设置的清单、将修改消息的功能移动到 Microsoft 365 以及配置连接器的增强筛选除外。

超出范围

  • 讨论Defender for Office 365与其他安全产品/服务进行比较。
  • 部署Defender for Office 365作为概念证明。
  • 邮件流分析。
  • 增强的筛选。
  • 有关高级搜寻的培训或指导。
  • 与 Microsoft Power Automate playbook 集成。
  • SIEM 或 API 集成 (包括 Microsoft Sentinel) 。

源环境预期

除了 FastTrack 核心载入之外,还必须配置Exchange Online

Microsoft 高级部署指南

Microsoft 为客户提供技术和指导,以协助部署 Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。

对于非 IT 管理员,请参阅 Microsoft 365 安装程序