Microsoft Defender
Microsoft Defender XDR
Microsoft Defender XDR是一个统一的入侵前和入侵后企业防御套件。 Defender XDR跨终结点、标识、电子邮件和应用本机协调检测、预防、调查和响应,以提供针对复杂攻击的集成保护。
FastTrack 提供远程指南:
- 提供Microsoft Defender门户的概述。
- 提供跨产品事件的概述,包括通过确保完整的攻击范围、受影响的资产和组合在一起的自动修正操作来专注于关键事件。
- 演示Microsoft Defender XDR如何协调资产、用户、设备和邮箱的调查,这些资产、用户、设备和邮箱通过自动自我修复而遭到入侵。
- 说明并提供客户如何主动搜寻跨多个数据集影响电子邮件、数据、设备和帐户的入侵尝试和违规活动的示例。
- 向客户展示如何使用安全分数Microsoft整体查看和改进其安全状况。
- 提供有关统一安全操作平台的教育和配置指南
- 连接Sentinel工作区
- 查看 Defender 门户中的以下功能。
- 搜索
- 威胁管理
- 内容管理
- 配置
- 提供有关Defender XDR攻击中断功能的教育和配置指南。
注意
对于使用安全计算单元 (SCU) 预配的客户,FastTrack 提供了本主题所涵盖范围内Microsoft Defender体验中的嵌入式Microsoft Copilot演练。
超出范围
- 部署指南或有关以下内容的教育:
- 如何修正或解释各种警报类型和监视的活动。
- 如何调查用户、计算机、横向移动路径或实体。
- 自定义威胁搜寻。
- 安全信息和事件管理 (SIEM) 或 API 集成。
- 预览功能。
Microsoft高级部署指南
Microsoft为客户提供技术和指导,以协助部署Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。
对于非 IT 管理员,请参阅 Microsoft 365 安装程序。
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps是一种多用途软件即服务 (SaaS) 安全解决方案。 它结合了 SaaS 安全态势管理、数据丢失防护、应用到应用保护和集成威胁防护,以确保应用的全面覆盖。 通过采用 SaaS 安全方法,可以轻松识别错误配置。 这可改善整体应用状况,实施策略以保护敏感数据,并保护应用到应用方案,以确保只有应用具有访问其他应用数据的可接受权限。 在本机集成到Microsoft Defender XDR时,像你这样的组织受益于使用 SaaS 的信号来主动搜寻其环境,并跨应用、设备、标识和电子邮件应对事件。
FastTrack 提供远程指南:
- 配置门户,包括:
- 导入用户组。
- 管理管理员访问权限和设置。
- 确定部署范围以选择要监视或从监视中排除的特定用户组。
- 如何设置 IP 范围和标记。
- 使用徽标和自定义消息个性化最终用户体验。
- 集成第一方服务,包括:
- Microsoft Defender for Endpoint。
- Microsoft Defender for Identity。
- Microsoft Entra ID 保护。
- Microsoft Purview 信息保护。
- 使用设置云发现:
- 终结点的Microsoft Defender。
- Zscaler。
- iboss。
- 创建应用标记和类别。
- 根据组织的优先级自定义应用风险分数。
- 批准和取消批准应用。
- 查看Defender for Cloud Apps和 Cloud Discovery 仪表板。
- 启用应用治理。
- 引导客户浏览概述页,并创建最多 5 (5 个) 应用治理策略。
- 使用应用连接器连接特色应用。
- 在 Microsoft Entra ID 和 Defender for Cloud Apps 门户中的条件访问中使用条件访问应用控制保护应用。
- 为特色应用部署条件访问应用控制。
- 查看针对可用应用的安全功能分数建议中的 SaaS 安全态势管理 (SSPM) 功能。
- 使用活动和文件日志。
- 管理 OAuth 应用。
- 查看和配置策略模板。
- 为顶级 SaaS 用例提供配置帮助 (包括创建或更新多达 6 个 (6 个) 策略) 。
- 了解Microsoft Defender门户中的事件关联。
超出范围
- 讨论Defender for Cloud Apps与其他 Cloud Access Security Broker (CASB) 或 SaaS 安全产品/服务进行比较。
- 配置Defender for Cloud Apps以满足特定的合规性或法规要求。
- 将服务部署到非生产测试环境。
- 部署云应用发现作为概念证明。
- 使用 Docker 或日志收集器为连续报表设置自动日志上传的基础结构、安装或部署。
- 创建 Cloud Discovery 快照报表。
- 使用块脚本阻止应用使用。
- 将自定义应用添加到 Cloud Discovery。
- 使用条件访问应用控制连接自定义应用。
- 为任何应用载入和部署条件访问应用控制。
- 与第三方标识提供者集成 (IdP) 和数据丢失防护 (DLP) 提供程序。
- 有关高级搜寻的培训或指导。
- 自动调查和修正,包括Microsoft Power Automate playbook。
- SIEM 或 API 集成 (包括Microsoft Sentinel) 。
Microsoft高级部署指南
Microsoft为客户提供技术和指导,以协助部署Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。
对于非 IT 管理员,请参阅 Microsoft 365 安装程序。
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint是一个平台,旨在帮助企业网络预防、检测、调查和响应高级威胁。
FastTrack 提供远程指南:
- 评估操作系统版本和设备管理方法 (包括Microsoft Intune、Microsoft终结点Configuration Manager、组策略和第三方配置) 以及终结点安全软件的状态。
- 使用 Microsoft Defender for Endpoint P1 和 P2 加入:
- 本地脚本。
- 组策略。
- Intune。
- Configuration Manager。
- Defender for Endpoint 安全设置管理。
- 为Microsoft流量通过代理和防火墙提供建议的配置指南,限制无法直接连接到 Internet 的设备的网络流量。
- 通过说明如何使用受支持的管理方法之一 (EDR) 代理配置文件部署终结点检测和响应来启用 Defender for Endpoint 服务。
- 以下方面的部署指南、配置帮助和教育:
- 漏洞管理核心功能。
- 攻击面减少功能,包括:
- 攻击面减少规则。
- 受控文件夹访问权限。
- 可移动媒体设备的设备控制。
- 网络保护。
- 新一代保护。
- 终结点检测和响应。
- 自动调查和修复。
- 设备的安全功能分数。
- 使用 Intune Microsoft Defender SmartScreen 配置。
- 设备发现。1
- 查看模拟和教程 (,例如练习方案、虚假恶意软件和自动调查) 。
- 报告和威胁分析功能概述。
- 将Microsoft Defender for Office 365、Microsoft Defender for Identity和Defender for Cloud Apps与 Defender for Endpoint 集成。
- 执行Microsoft Defender门户的演练。
- 载入和配置以下操作系统:
- Windows 10/11,包括Windows 365云电脑。
- Windows Server 2012 R2。阿拉伯数字
- Windows Server 2016。阿拉伯数字
- Windows Server 2019。阿拉伯数字
- Windows Server 2022。阿拉伯数字
- Windows Server 2019 Core Edition。阿拉伯数字
- 支持的 macOS 版本。
- 人造人。3
- iOS。3
1 仅支持设备发现的某些方面。 有关详细信息,请参阅以下 范围外 部分。
2 Windows Server 2012 R2 和 2016 支持仅限于加入和配置统一代理。
3 有关详细信息,请参阅以下范围 外 部分,了解移动威胁防御详细信息。
超出范围
- 预览版功能的载入和启用指南。
- 排查参与期间遇到的问题 (包括无法载入) 的设备。
- 支持Microsoft Defender 商业版。
- 以下 Defender for Endpoint 代理的载入或配置:
- Windows Server 2008。
- Linux。
- 虚拟桌面基础结构 (VDI) (持久性或非持久性) ,包括 Azure 虚拟桌面和第三方 VDI 解决方案。
- 服务器载入和配置:
- 为脱机通信配置代理服务器。
- 在下层Configuration Manager实例和版本上配置Configuration Manager部署包。
- 将 Defender for Endpoint 与 Microsoft Defender for Servers (Microsoft Defender for Cloud) 集成。
- macOS 载入和配置:
- 基于 JAMF 的部署。
- 其他移动设备管理 (MDM) 基于产品的部署。
- 手动部署。
- (Android 和 iOS) 的移动威胁防御加入和配置:
- 非托管自带设备 (BYOD) 或其他企业移动管理系统管理的设备。
- 设置应用保护策略 (,例如移动应用管理 (MAM) ) 。
- Android 设备管理员注册的设备。
- 帮助多个 VPN 配置文件共存。
- 将设备载入到Intune。 有关载入帮助的详细信息,请参阅Microsoft Intune。
- 配置以下攻击面减少功能:
- 基于硬件的应用程序和浏览器隔离 (包括应用程序防护) 。
- 应用程序控制,包括 AppLocker 和 Windows Defender 应用程序控制。
- 以下设备控制功能:
- 设备安装限制。
- 数据保护。
- 存储。
- Windows Portable Devices (WPD) 可移动存储访问。
- 连接。
- 蓝牙。
- 直接内存访问 (DMA) 防护。
- Exploit Protection。
- 网络和终结点防火墙。
- 配置或管理帐户保护功能,例如:
- Credential Guard。
- 本地用户组成员身份。
- BitLocker 的配置或管理。
注意
有关 Windows 11 的 BitLocker 帮助的信息,请参阅 Windows 11。
- 配置或管理网络设备发现。
- 配置或管理以下设备发现功能:
- 载入不在 FastTrack (范围内的非托管设备,例如 Linux) 。
- 配置或修正物联网 (IoT) 设备,包括通过 Defender for IoT 对 IoT 设备的漏洞评估。
- 与第三方工具集成。
- 设备发现的排除项。
- 初步网络帮助。
- 排查网络问题。
- 攻击模拟 (包括渗透测试) 。
- 注册或配置 Microsoft 威胁专家。
- API 或 SIEM 连接的配置或培训指南。
- 有关高级搜寻的培训或指导。
- 有关使用或创建 Kusto 查询的培训或指导。
- 有关使用 组策略 对象 (GPO) 、Windows 安全中心 或 Microsoft Edge 的 Defender SmartScreen 配置的培训或指南。
- Defender 漏洞管理加载项。
- Defender 漏洞管理独立。
请联系 Microsoft合作伙伴 获取这些服务的帮助。
Microsoft高级部署指南
Microsoft为客户提供技术和指导,以协助部署Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。
对于非 IT 管理员,请参阅 Microsoft 365 安装程序。
Microsoft Defender for Identity
Microsoft Defender for Identity是基于云的安全解决方案。 它使用本地 Active Directory 信号来确定、检测和调查针对组织的高级威胁、被盗用的标识和内部人员恶意操作。
FastTrack 提供远程指南:
- 运行大小调整工具进行资源容量规划。
- 创建 Defender for Identity 实例。
- 跨 Active Directory 域服务 (AD DS) 、Active Directory 联合身份验证服务 (AD FS) 和 Active Directory 证书服务配置 Windows 事件集合, (AD CS) 。
- 使用角色组管理管理员访问权限。
- 在 Active Directory 域控制器上为单林和多个林环境下载、部署和配置传感器。
- 在 Active Directory 中创建和配置目录服务帐户或管理操作帐户,包括组托管服务帐户 (gMSA) 。
- 在 AD FS 服务器上下载、部署和配置传感器。
- 门户配置,包括:
- 标记敏感帐户、设备或组。
- Email运行状况问题和安全警报通知。
- 警报排除。
- 计划的报表。
- 提供有关以下方面的部署指南、配置帮助和教育:
- 安全分数中的标识安全态势评估报告Microsoft。
- 用户调查优先级分数和用户调查排名报告。
- 非活动用户报告。
- 已泄露帐户上的修正选项。
- 促进从高级威胁分析 (ATA) 迁移到 Defender for Identity ((如果适用) )。
超出范围
- 部署 Defender for Identity 作为概念证明。
- 部署或执行以下 Defender for Identity 传感器活动:
- 手动容量规划。
- 部署独立传感器。
- 以预览) 部署统一传感器 (。
- 使用网络接口卡 (NIC) 组合适配器部署传感器。
- 通过第三方工具部署传感器。
- 通过 Web 代理连接连接到 Defender for Identity 云服务。
- 创建和配置 AD FS 数据库的权限。
- 创建和管理蜜标帐户或设备。
- (NNR) 启用网络名称解析。
- 启用和配置已删除对象容器。
- 部署指南或有关以下内容的教育:
- 修正或解释各种警报类型和监视的活动。
- 调查用户、计算机、横向移动路径或实体。
- 威胁或高级搜寻。
- 事件响应。
- 为 Defender for Identity 提供安全警报实验室教程。
- 通过指定的传感器向 syslog 服务器发送安全警报,在 Defender for Identity 检测到可疑活动时提供通知。
- 配置 Defender for Identity 以使用安全帐户管理器远程 (SAMR) 协议来执行查询,以标识特定计算机上的本地管理员。
- 配置 VPN 解决方案,以将 VPN 连接中的信息添加到用户的配置文件页。
- SIEM 或 API 集成 (包括Microsoft Sentinel) 。
源环境预期
- 符合 Defender for Identity 先决条件。
- 已部署 Active Directory、AD FS 和 AD CS。
- 要安装 Defender for Identity 传感器的 Active Directory 域控制器与 Defender for Identity 云服务建立 Internet 连接。
- 防火墙和代理必须打开才能与 Defender for Identity 云服务通信 (*.atp.azure.com 端口 443 必须打开) 。
- 在以下服务器之一上运行的域控制器:
- Windows Server 2016。
- KB4487044 (操作系统内部版本 17763.316 或更高版本的 Windows Server 2019) 。
- Windows Server 2022。
- Microsoft .NET Framework 4.7 或更高版本。
- 至少需要 6 (6) GB 的磁盘空间,建议使用 10 GB。
- 域控制器上安装两个 (2 个) 核心和六个 (6) GB RAM。
Microsoft高级部署指南
Microsoft为客户提供技术和指导,以协助部署Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。
对于非 IT 管理员,请参阅 Microsoft 365 安装程序。
Microsoft Defender for Office 365
Microsoft Defender for Office 365保护组织免受电子邮件、链接 (URL) 、附件和协作工具(如 Microsoft Teams、SharePoint 和 Outlook)构成的恶意威胁。 借助威胁和工具(如威胁资源管理器)的实时视图,可以搜寻并始终领先于潜在威胁。 使用攻击模拟训练在组织中运行真实的攻击方案。 这些模拟攻击可以帮助你在真正的攻击影响你的利润之前识别和查找易受攻击的用户。
FastTrack 提供远程指南:
- 查看配置分析器和/或Defender for Office 365建议的配置分析器 (ORCA) 。
- 设置评估模式。
- 启用预设策略、安全链接 (包括安全文档) 、安全附件、反恶意软件、防钓鱼、反垃圾邮件、反欺骗、模拟和隔离策略。
- 启用 Teams 保护。
- 配置用户报告的消息设置。
- 使用攻击模拟器并配置高级传递策略
- 租户允许/阻止列表概述 (TABL) 提交、电子邮件实体页、报告、市场活动、威胁资源管理器和威胁分析。
- 零小时自动清除 (ZAP) 自动化以及 AIR) 调查和响应 (概述。
- 了解Microsoft Defender门户中的事件关联。
- 按照Microsoft最佳做法指南从第三方提供程序转换,但创建当前设置的清单、将修改消息的功能移动到 Microsoft 365 以及配置连接器的增强筛选除外。
超出范围
- 讨论Defender for Office 365与其他安全产品/服务进行比较。
- 部署Defender for Office 365作为概念证明。
- 邮件流分析。
- 增强的筛选。
- 有关高级搜寻的培训或指导。
- 与 Microsoft Power Automate playbook 集成。
- SIEM 或 API 集成 (包括Microsoft Sentinel) 。
源环境预期
除了 FastTrack 核心载入之外,还必须配置Exchange Online。
Microsoft高级部署指南
Microsoft为客户提供技术和指导,以协助部署Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。
对于非 IT 管理员,请参阅 Microsoft 365 安装程序。
Microsoft Sentinel
Microsoft Sentinel 是一种可缩放的云原生解决方案, (SIEM) 和安全业务流程、自动化和响应 (SOAR) 提供安全信息和事件管理。 它在整个企业中提供智能安全分析和威胁情报。 借助 Microsoft Sentinel,你可以获得用于攻击检测、威胁可见性、主动搜寻和威胁响应的单一解决方案。
Microsoft Sentinel提供了整个企业的视图,缓解了日益复杂的攻击、不断增加的警报量和较长的解决时间框架的压力。
FastTrack 提供远程指南:
- 概述Microsoft Sentinel部署的先决条件。
- 提供概念工作区体系结构最佳做法和注意事项,包括多租户方案。*
- 帮助确定数据连接器的优先级,以优化Microsoft Sentinel配置,包括:
- 说明数据转换和集合自定义以帮助优化。*
- 规划角色和权限。
- 根据计划配置执行成本预期分析。*
- 启用Microsoft Sentinel服务。
- 讨论和配置数据保留。
- 配置数据连接器,包括:
- 设置Microsoft数据连接器。
- 演示如何配置第三方数据连接器。*
- 探索引入成本预期。*
- 配置分析规则,包括:
- 内置分析规则。
- 查询初学者包。
- 针对零信任和内部威胁的其他规则。
- 用户实体行为分析规则。
- Apache Log4J 增强功能。
- 提供以下内容的概述:
- 安全运营中心 (SOC) 优化。
- 练习 册。
- 监视列表。
- 用户和实体行为分析 (UEBA) 。
- 逻辑应用 playbook。
- 事件响应功能*、模拟和教程 (,例如实践方案、虚假恶意软件和自动调查) 。
*受限制支持。
注意
如果需要有关Microsoft Sentinel远程指导的进一步帮助,请联系你的帐户团队。
超出范围
- 攻击模拟 (包括渗透测试) 。
- 威胁和威胁搜寻的诊断。
- 创建和配置 Log Analytics 工作区。
- 排查参与期间遇到的问题 (包括网络问题)
- 配置第三方连接器或自定义连接器。
- 数据转换的配置。
- 从 Microsoft Monitoring Agent (MMA) 迁移到 Azure Monitor 代理 (AMA) 。
- 围绕第三方 SIEM 和 SOAR 解决方案展开对话。
- 协助第三方 SIEM 和 SOAR 配置。
- 从第三方 SIEM 和 SOAR 解决方案迁移。
- 高级 SIEM 信息模型 (ASIM) 分析程序。
- Jupyter Notebooks。 • Azure Synapse和 Azure Data Lake 解决方案。 • 预览功能。 • 使用 AMA (CEF) 和 Syslog 筛选引入的常见事件格式。
Microsoft高级部署指南
Microsoft为客户提供技术和指导,以协助部署Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。
对于非 IT 管理员,请参阅 Microsoft 365 安装程序。