評估和試驗 Microsoft Defender 全面偵測回應 安全性

適用於:

  • Microsoft Defender XDR

此文章系列的運作方式

本系列旨在逐步引導您完成設定試用版 XDR 環境的整個程式:端對端,讓您可以評估 Microsoft Defender 全面偵測回應 的特性和功能,甚至是在準備就緒時,將評估環境直接升階至生產環境。

如果您不熟悉 XDR 安全性,您可以掃描本系列中的 7 篇連結文章,了解解決方案的全面性。

什麼是 XDR 和 Microsoft Defender 全面偵測回應?

XDR 安全性是網路安全性的一個前進步驟,因為它會從一旦隔離的系統取得威脅數據並加以整合,讓您可以更快速地查看模式並採取行動。

例如,Microsoft XDR 會在一個位置將端點 (端點偵測和回應或 EDR) 、電子郵件、應用程式和身分識別安全性。

Microsoft Defender 全面偵測回應 是一種 eXtended 偵測和回應 (XDR) 解決方案,可自動收集、相互關聯及分析整個 Microsoft 365 環境中的訊號、威脅和警示數據,包括端點、電子郵件、應用程式和身分識別。 它會利用 人工智慧 (AI) 和自動化, 自動 停止攻擊,並將受影響的資產補救到安全狀態。

Microsoft 評估 Microsoft Defender 全面偵測回應 安全性的建議

Microsoft 建議您在 Office 365 的現有生產訂用帳戶中建立評估。 如此一來,您就能立即取得真實世界的深入解析,並可調整設定以因應環境中目前的威脅。 在您獲得經驗並熟悉平台之後,只要將每個元件一次一個升階至生產環境即可。

網路安全性攻擊的結構

Microsoft Defender 全面偵測回應 是雲端式、統一、入侵前和入侵后的企業防禦套件。 它會協調端點、身分識別、應用程式、電子郵件、共同作業應用程式及其所有數據之間的 預防偵測調查回應

在此圖中,攻擊正在進行中。 網路釣魚電子郵件會送達您組織中員工的收件匣,該員工在不知情的情況下開啟電子郵件附件。 這會安裝惡意代碼,導致可能會因為竊取敏感數據而導致一連串事件。 但在此情況下,適用於 Office 365 的 Defender 正在運作中。

各種攻擊嘗試

在此圖例中:

  • Exchange Online Protection 是 適用於 Office 365 的 Microsoft Defender的一部分,可以偵測網路釣魚電子郵件,並使用郵件流程規則 (也稱為傳輸規則) ,以確保它永遠不會抵達收件匣。
  • 適用於 Office 365 的 Defender 使用安全附件來測試附件,並判斷它有害,因此到達的郵件無法由使用者採取動作,或原則會防止郵件抵達。
  • 適用於端點的 Defender 會管理連線到公司網路的裝置,並偵測可能遭到惡意探索的裝置和網路弱點。
  • 適用於身分識別的 Defender 會記下突然的帳戶變更,例如許可權提升或高風險的橫向移動。 它也會報告容易惡意探索的身分識別問題,例如不受限制的 Kerberos 委派,以供安全性小組更正。
  • Microsoft Defender for Cloud Apps 注意到異常行為,例如不可能移動、認證存取,以及不尋常的下載、檔案共用或郵件轉寄活動,並將這些行為回報給安全性小組。

Microsoft Defender 全面偵測回應元件保護裝置、身分識別、資料和應用程式

Microsoft Defender 全面偵測回應 是由這些安全性技術所組成,並同時運作。 您不需要所有這些元件都能受益於 XDR 和 Microsoft Defender 全面偵測回應 的功能。 您也會透過使用一或兩個來實現提升和效率。

元件 描述 參考資料
適用於身分識別的 Microsoft Defender 適用於身分識別的 Microsoft Defender 使用 Active Directory 訊號來識別、偵測及調查進階威脅、遭入侵的身分識別,以及針對貴組織的惡意內部人員動作。 什麼是適用於身分識別的 Microsoft Defender?
Exchange Online Protection Exchange Online Protection 是原生雲端式 SMTP 轉送和篩選服務,可協助保護您的組織免於遭受垃圾郵件和惡意代碼攻擊。 Exchange Online Protection (EOP) 概觀 - Office 365
適用於 Office 365 的 Microsoft Defender 適用於 Office 365 的 Microsoft Defender 保護貴組織抵禦電子郵件訊息、連結 (URL) 和共同作業工具所造成的惡意威脅。 適用於 Office 365 的 Microsoft Defender - Office 365
適用於端點的 Microsoft Defender 適用於端點的 Microsoft Defender 是裝置保護、入侵後偵測、自動化調查和建議回應的整合平臺。 適用於端點的 Microsoft Defender - Windows 安全性
Microsoft 雲端 App 安全性 Microsoft Defender for Cloud Apps 是全方位的跨 SaaS 解決方案,可為您的雲端應用程式帶來深度可見度、強大的數據控制,以及增強的威脅防護。 什麼是 Defender for Cloud Apps?
Microsoft Entra ID Protection Microsoft Entra ID Protection 會評估數十億次登入嘗試的風險數據,並使用此數據來評估每次登入環境的風險。 根據條件式存取原則的設定方式,Microsoft Entra ID 會使用此數據來允許或防止帳戶存取。 Microsoft Entra ID Protection 會與 Microsoft Defender 全面偵測回應 分開授權。 它隨附於 Microsoft Entra ID P2。 什麼是 Identity Protection?

Microsoft Defender 全面偵測回應架構

下圖說明重要 Microsoft Defender 全面偵測回應元件和整合的高階架構。 在這一系列的文章中,會提供每個 Defender 元件和使用案例的詳細架構。

Microsoft Defender 入口網站的高階架構

在此圖例中:

  • Microsoft Defender 全面偵測回應 結合所有 Defender 元件的訊號,以提供跨網域的延伸偵測和回應 (XDR) 。 這包括統一的事件佇列、停止攻擊的自動化回應、遭入侵裝置的自我修復 (、使用者身分識別,以及信箱) 、跨威脅搜捕和威脅分析。
  • 適用於 Office 365 的 Microsoft Defender 可保護組織防範由電子郵件訊息、連結 (URL) 及共同作業工具所造成的惡意威脅。 它會與 Microsoft Defender 全面偵測回應 共用這些活動所產生的訊號。 Exchange Online Protection (整合 EOP) ,為內送電子郵件和附件提供端對端保護。
  • 適用於身分識別的 Microsoft Defender 會從執行 Active Directory 同盟服務 (AD FS) 和 內部部署的 Active Directory Domain Services (AD DS) 的伺服器收集訊號。 它會使用這些訊號來保護您的混合式身分識別環境,包括防止駭客使用遭入侵的帳戶橫向在內部部署環境中的工作站之間移動。
  • 適用於端點的 Microsoft Defender 收集來自組織的訊號,並保護您組織所使用的裝置。
  • Microsoft Defender for Cloud Apps 收集組織使用雲端應用程式的訊號,並保護在您的環境與這些應用程式之間流動的數據,包括獲批准和未經批准的雲端應用程式。
  • Microsoft Entra ID Protection 會評估數十億次登入嘗試的風險數據,並使用此數據來評估每次登入環境的風險。 根據條件式存取原則的設定方式,Microsoft Entra ID 會使用此數據來允許或防止帳戶存取。 Microsoft Entra ID Protection 會與 Microsoft Defender 全面偵測回應 分開授權。 它隨附於 Microsoft Entra ID P2。

Microsoft SIEM 和 SOAR 可以使用來自 Microsoft Defender 全面偵測回應

此圖中未包含其他選擇性架構元件:

  • 來自所有 Microsoft Defender 全面偵測回應元件的詳細訊號數據都可以整合到 Microsoft Sentinel 中,並與其他記錄來源結合,以提供完整的 SIEM 和 SOAR 功能和深入解析。
  • 如需使用 Microsoft Sentinel、Azure SIEM、Microsoft Defender 全面偵測回應 作為 XDR 的詳細資訊,請參閱此概觀文章和 Microsoft Sentinel 和 Microsoft Defender 全面偵測回應 整合步驟
  • 如需 Microsoft Sentinel (中 SOAR 的詳細資訊,包括 Microsoft Sentinel GitHub 存放庫) 中劇本的連結,請閱讀 這篇文章

Microsoft Defender 全面偵測回應 網路安全性的評估程式

Microsoft 建議您依下列順序啟用 Microsoft 365 的元件:

Microsoft Defender 入口網站中的高層級評估程式

下表描述此圖例。

序號 步驟 描述
1 建立評估環境 此步驟可確保您擁有 Microsoft Defender 全面偵測回應 的試用版授權。
2 啟用適用於身分識別的Defender 檢閱架構需求、啟用評估,以及逐步解說識別和補救不同攻擊類型的教學課程。
3 啟用 適用於 Office 365 的 Defender 請確定您符合架構需求、啟用評估,然後建立試驗環境。 此元件包含 Exchange Online Protection,因此您會在這裡實際評估這兩者
4 啟用適用於端點的Defender 請確定您符合架構需求、啟用評估,然後建立試驗環境。
5 啟用 Microsoft Defender for Cloud Apps 請確定您符合架構需求、啟用評估,然後建立試驗環境。
6 調查和回應威脅 模擬攻擊並開始使用事件回應功能。
7 將試用版提升到生產 逐一將 Microsoft 365 元件升階至生產環境。

通常建議使用此順序,並設計成根據部署和設定功能通常需要投入多少心力,快速運用功能的價值。 例如,適用於 Office 365 的 Defender 可以比在適用於端點的Defender中註冊裝置所需的時間少。 當然,您應該排定元件的優先順序,以符合您的商務需求,並可依不同順序啟用這些元件。

移至下一個步驟

瞭解及/或建立 Microsoft Defender 全面偵測回應 評估環境

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。