使用 Microsoft Defender XDR 安全服務建立第二層防禦

適用於 Office 365 的 Microsoft Defender
Microsoft Defender for Cloud Apps
適用於身分識別的 Microsoft Defender
Microsoft 365
Microsoft 端點管理員

解決方案構想

本文說明解決方案概念。 您的雲端架構師可以使用本指南,協助視覺化此架構的一般實作的主要元件。 以本文為起點,設計符合您工作負載具體要求的完善解決方案。

許多組織都在混合式環境中作業,其中的資源同時託管於 Azure 和內部部署。 大部分的 Azure 資源,例如虛擬機器 (VM)、Azure 應用程式和 Microsoft Entra ID,都可以使用 Azure 的內建安全性服務來保護。

此外,組織經常訂閱 Microsoft 365,為使用者提供 Word、Excel、PowerPoint 和 Exchange Online 等應用程式。 Microsoft 365 也提供安全性服務,可用來為一些最廣泛使用的 Azure 資源新增額外的保護層。

若要有效利用 Microsoft 365 安全性服務,請務必了解 Microsoft 365 服務的重要術語和結構。 這五篇文章中的第四篇會更詳細探索這些主題,以先前文章所涵蓋的概念為基礎,特別是:

Microsoft 365 和 Office 365 是基於雲端的服務,旨在滿足組織對強大安全性、可靠性和增強使用者生產力上的需求。 Microsoft 365 包含 Power Automate、Forms、Stream、Sway 和 Office 365 等服務。 Office 365 特別包含熟悉的生產力應用程式套件。 如需這兩項服務之訂用帳戶選項的詳細資訊,請參閱 Microsoft 365 和 Office 365 方案選項

根據您取得的 Microsoft 365 授權,您也可以獲得 Microsoft 365 的安全性服務。 這些安全性服務稱為 Microsoft Defender XDR,可提供多個服務:

  • 適用於端點的 Microsoft Defender (MDE)
  • 適用於身分識別的 Microsoft Defender (MDI)
  • 適用於 Office 的 Microsoft Defender (MDO)
  • 適用於雲端應用程式的 Microsoft Defender (MDA)
  • 透過 「security.microsoft.com」存取的「適用於雲端應用程式的 Microsoft Defender」與「適用於雲端的 Microsoft Defender」不同,後者是透過「portal.azure.com」存取的另一個安全性解決方案。

下圖說明 Microsoft 365 所供應之解決方案和主要服務的關係,但並未列出所有服務。

屬於 Microsoft 365 之服務和產品的圖表。

潛在使用案例

人們經常對 Microsoft 365 安全性服務及其在 IT 網路安全中的角色感到困惑。 這種混淆的主要原因源於名稱的相似性,包括一些 Azure 安全性服務,例如,適用於雲端的 Microsoft Defender (先前稱為 Azure 資訊安全中心) 和適用於雲端應用程式的 Defender (先前為 Microsoft Cloud App Security)。

然而,混淆不僅止於術語。 某些服務會提供類似的保護,但針對不同的資源。 例如,適用於身分識別的 Defender 和 Azure Identity Protection 都保護身分識別服務,但適用於身分識別的 Defender 保護的是內部部署身分識別 (透過 Active Directory 網域服務 和 Kerberos 驗證),而 Azure Identity Protection 則保護雲端身分識別 (透過 Microsoft Entra ID 和 OAuth 驗證)。

這些範例強調了解 Microsoft 365 安全性服務與 Azure 安全性服務有何不同的重要性。 透過了解內容,您可以在 Microsoft 雲端中更有效地規劃安全性原則,同時維持 IT 環境的強大安全性狀態。 本文旨在協助您達成此目的。

下圖顯示 Microsoft Defender XDR 安全性服務的實際使用案例。 它會顯示需要保護的資源、正在環境中執行的服務,以及一些潛在威脅。 Microsoft Defender XDR 服務被放在中間,保護組織的資源免受這些威脅。

此圖顯示威脅、其攻擊順序、目標資源,以及可提供保護的 Microsoft Defender XDR 服務。

架構

Microsoft 的「全面偵測與回應」(XDR) 解決方案,稱為「Microsoft Defender XDR」,整合多個安全性工具和服務,跨端點、身分識別、電子郵件、應用程式和雲端環境提供統一的保護、偵測和回應。 它結合了進階威脅情報、自動化和 AI 驅動分析,以即時偵測及回應複雜的網路威脅,讓安全性小組能夠快速降低風險並減少攻擊的影響。 藉由合併各種來源的安全性資料,Microsoft Defender XDR 可協助組織跨其整個 IT 基礎架構達成全面且精簡的防禦。

下圖顯示標示為 DEFENDER 的層,代表 Microsoft Defender XDR 安全性服務。 將這些服務新增至 IT 環境可協助您為環境建置更好的防禦。 Defender 層中的服務可以搭配 Azure 安全性服務使用。

您可以設定的服務、威脅和安全性服務圖表,為 I T 環境中的資源提供保護。

下載此架構的 Visio 檔案

©2021 MITRE Corporation。 本作品經 MITRE Corporation 授權複製與散佈。

工作流程

  1. 適用於端點的 Microsoft Defender

    適用於端點的 Defender 能保護企業端點,且設計目的為協助網路防範、偵測、調查及回應進階威脅。 它會為在 Azure 和內部部署上執行的 VM 建立一層保護。 如需有關其保護內容的詳細資訊,請參閲適用於端點的 Microsoft Defender

  2. 適用於雲端應用程式的 Microsoft Defender

    適用於雲端應用程式的 Defender 以前稱為 Microsoft 雲端應用程式安全性,它是一種支援多種部署模式的雲端存取安全性代理程式 (CASB)。 這些模式包括記錄收集、API 連接器,和反向 Proxy。 它提供豐富的可見度、資料傳輸控管能力,以及完善的分析功能,以識別並對抗所有 Microsoft 和第三方雲端服務中的網路威脅。 它為雲端應用程式,甚至某些執行內部部署的應用程式提供保護並降低風險。 它也會為存取這些應用程式的使用者提供保護層。 如需詳細資訊,請參閱適用於雲端應用程式的 Microsoft Defender 概觀

    請務必不要將適用於雲端應用程式的 Defender 與適用於雲端的 Microsoft Defender 搞混,後者會提供建議,以及伺服器、應用程式、儲存體帳戶和其他在 Azure、內部部署和其他雲端中執行之資源的安全性狀態分數。 適用於雲端的 Defender 合併兩個先前的服務,Azure 資訊安全中心 和 Azure Defender。

  3. 適用於 Office 的 Microsoft Defender

    適用於 Office 365 的 Defender 可保護組織防範由電子郵件訊息、連結 (URL) 及共同作業工具所造成的惡意威脅。 它能保護電子郵件和共同作業。 根據授權,您可以新增入侵後調查、搜捕和回應,以及自動化和模擬 (用於培訓)。 如需有關授權選項的詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 安全性概觀

  4. 適用於身分識別的 Microsoft Defender

    適用於身分識別的 Defender 是一種雲端型安全性解決方案,會使用您的內部部署 Active Directory 訊號來識別、偵測及調查進階威脅、遭盜用的身分識別,以及將您的組織視為目標的惡意內部動作。 它保護在內部部署執行的 Active Directory 網域服務 (AD DS)。 雖然此服務在雲端上執行,但它仍可保護內部部署身分識別。 適用於身分識別的 Defender 以前稱為 Azure 進階威脅防護。 如需詳細資訊,請參閱什麼是適用於身分識別的 Microsoft Defender?

    如果您需要Microsoft Entra ID 所提供的身分識別保護,並在雲端上原生執行,請考慮 Microsoft Entra ID Protection。

  5. Intune (先前是 Microsoft 端點管理員的一部分)

Microsoft Intune 是雲端型服務,可協助組織管理及保護其裝置、應用程式和資料。 它可讓 IT 系統管理員控制如何使用公司裝置,例如筆記型電腦、智慧型手機,和平板電腦,以確保符合安全原則。 透過 Intune,您可以使用條件式存取和遠端抹除等功能,強制執行裝置設定、部署軟體、管理行動應用程式,以及保護公司資料。 它特別適用於啟用安全的遠端工作、管理公司擁有和個人 (BYOD) 的裝置,以及確保跨各種平台,例如 Windows、iOS、Android 和 macOS 的資料安全性。

另一個屬於端點管理員的服務是 Configuration Manager,這是一種內部部署管理解決方案,可讓您管理直接連線或透過網際網路連線的網路上用戶端和伺服器電腦。 您可以啟用雲端功能以整合 Configuration Manager 和 Intune、Microsoft Entra ID、適用於端點的 Defender 以及其他雲端服務。 使用它來部署應用程式、軟體更新和作業系統。 您也可以監視合規性、查詢物件、即時對用戶端採取行動等等。 若要了解所有可用的服務,請參閱 Microsoft 端點管理員概觀

範例威脅的攻擊順序

圖表中指出的威脅會遵循常見的攻擊順序:

  1. 攻擊者傳送附加惡意代碼的網路釣魚電子郵件。

  2. 終端使用者開啟附加的惡意代碼。

  3. 惡意代碼會在後端安裝,讓使用者無法察覺。

  4. 已安裝的惡意代碼會竊取某些使用者的認證。

  5. 攻擊者會使用認證來取得敏感性帳戶的存取權。

  6. 如果認證提供具有更高權限之帳戶的存取權,攻擊者會入侵其他系統。

此圖表也顯示在標示為 DEFENDER 的層中,Microsoft Defender XDR 服務可以監視和減輕這些攻擊。 這是 Defender 如何與 Azure 安全性服務搭配運作,提供額外一層安全性,以提供額外保護給圖表中所顯示之資源的範例。 如需潛在攻擊如何威脅 IT 環境的詳細資訊,請參閱本系列中的第二篇文章:將威脅對應至 IT 環境。 如需有關 Microsoft Defender XDR 的詳細資訊,請參閱 Microsoft Defender XDR

存取和管理 Microsoft Defender XDR 安全性服務

下圖顯示目前有哪些入口網站可供使用,以及其彼此之間的關聯性。 在本文更新時,有些入口網站可能已被取代。

顯示入口網站與服務目前關聯性的圖表。

Security.microsoft.com 目前是最重要的可用入口網站,因為它攜帶來自適用於 Office 365 的 Microsoft Defender (1)、適用於端點的 Defender (2)、適用於 Office 的 Defender (3)、適用於身分識別的 Defender (5)、適用於應用程式的 Defender (4) 以及適用於 Microsoft Sentinel 的功能。

請務必提到,Microsoft Sentinel 有一些功能仍只在 Azure 入口網站 (portal.azure.com) 上執行。

最後,endpoint.microsoft.com提供主要針對 Intune 和 Configuration Manager 的功能,但也適用於屬於端點管理員的其他服務。 由於security.microsoft.comendpoint.microsoft.com傳送端點的安全性保護,因此它們之間有許多互動 (9) 以為您的端點提供絕佳的安全性狀態。

元件

本文中的範例架構使用下列 Azure 元件:

  • Microsoft Entra ID 是雲端身分識別和存取權管理服務。 Microsoft Entra ID 可協助您的使用者存取外部資源,例如 Microsoft 365、Azure 入口網站以及數以千計的其他 SaaS 應用程式。 也可協助他們存取內部資源,例如公司內部網路網路上的應用程式。

  • Azure 虛擬網路 是私人網路在 Azure 中的基本建置組塊。 虛擬網路可讓多種類型的 Azure 資源安全地彼此通訊,包括網際網路和內部部署網路。 虛擬網路提供可受益於 Azure 基礎結構的虛擬網路,例如規模、可用性和隔離。

  • Azure Load Balancer 是一種高效能、超低延遲第 4 層負載平衡服務 (傳入和傳出),適用於所有 UDP 和 TCP 通訊協定。 旨在每秒處理數百萬個要求,同時確保解決方案的高可用性。 Azure Load Balancer 是區域備援,可確保跨可用性區域的高可用性。

  • 虛擬機器是由 Azure 所提供的隨選且可調整的數種運算資源類型之一。 Azure 虛擬機器 (VM) 讓您能夠有彈性地進行虛擬化,而不需購買並維護執行的實體硬體。

  • Azure Kubernetes Service (AKS) 是完全受控 Kubernetes 服務,可用來部署和管理容器化應用程式。 AKS 提供無伺服器 Kubernetes、持續整合/持續傳遞 (CI/CD) 以及企業級安全性與治理。

  • Azure 虛擬桌面是在雲端執行的桌面與應用程式虛擬化服務,可為遠端使用者提供桌面。

  • Web Apps 是 HTTP 型服務,用來裝載 Web 應用程式、REST API 和行動後端。 您可以使用自己喜歡的語言開發,應用程式可以在 Windows 和 Linux 環境中輕鬆執行和擴展。

  • Azure 儲存體是雲端中各種資料物件的高可用性、大規模擴充、耐用且安全性高的儲存空間,包括物件、blob、檔案、磁碟、佇列和表格儲存空間,遠端使用者。 所有寫入 Azure 帳戶儲存體的資料皆會由服務進行加密。 Azure 儲存體在存取您資料的人員控管上,提供更細微的控制。

  • Azure SQL 資料庫是完全受控的資料庫引擎,可處理大部分的資料庫管理功能,例如升級、修補、備份和監視。 該資料庫提供這些功能,無需使用者參與。 SQL 資料庫提供了各式各樣的內建安全性與合規性功能,協助您的應用程式符合安全性與合規性需求。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主要作者:

其他投稿人:

下一步

如需有關此參考架構的詳細資訊,請參閱本系列的其他文章: