整合 Azure 與 Microsoft Defender XDR 安全服務

您可以利用 Microsoft 365 和 Azure 中可用的安全性功能，加強組織的 IT 安全性態勢。 本系列的第五篇和最後一篇文章，說明如何使用 Microsoft Defender XDR 和 Azure 監視服務來整合這些安全性功能。

本文以本系列中的前幾篇文章為基礎：

1. 使用 Azure 監視來整合安全性元件，提供如何整合 Azure 和 Microsoft Defender XDR 的安全性服務的整體檢視。

2. 將威脅對應至 IT 環境說明根據使用內部部署和 Microsoft 雲端服務的混合 IT 環境範例來對應常見威脅、策略和技術範例的方法。

3. 使用 Azure 安全性服務建置第一層防禦會對應一些 Azure 安全性服務的範例，這些服務會根據 Azure 安全性基準第 3 版建立第一層防禦來保護 Azure 環境。

4. 使用 Microsoft Defender XDR 安全性服務建置第二層防禦，說明針對 IT 環境的一系列攻擊範例，以及如何使用 Microsoft Defender XDR 來新增另一層保護。

架構

下載此架構的 Visio 檔案。

©2021 MITRE Corporation。 本作品經 MITRE Corporation 授權複製與散佈。

此圖表顯示完整的架構參考。 它包含一個 IT 環境的範例、一組依據 MITRE ATT&CK 矩陣描述的範例威脅，其中策略以藍色顯示，技術則在文字方塊中描述。 MITRE ATT&CK 矩陣涵蓋在確認與 IT 環境相對應的威脅。

此圖表醒目提示數個重要服務。 有些 (例如，網路監看員和 Application Insights) 著重於從特定服務擷取資料，而其他服務，例如 Log Analytics (也稱為 Azure 監視器記錄) 和 Microsoft Sentinel，則作為核心服務，因為它們可以從各種服務收集、儲存和分析資料，無論是否與網路、計算或應用程式有關。

圖表中心有兩層安全性服務，以及專用於特定 Azure 監視服務的層，全都透過 Azure 監視器整合 (如圖表左側所示)。 此整合的主要元件是 Microsoft Sentinel。

此圖顯示核心監視服務和監視器層中的下列服務：

• Azure 監視器
• Log Analytics
• 適用於雲端的 Microsoft Defender
• Microsoft Sentinel
• 網路監看員
• 流量分析 (網路監看員的一部分)
• Application Insights
• Storage Analytics

工作流程

1. Azure 監視器是涵蓋多個 Azure 監控服務的總體平台。 它包括記錄管理、計量和 Application Insights 等。 它也提供可供使用和管理警示的儀表板集合。 如需詳細資訊，請參閱 Azure 監視器概觀。

2. 適用於雲端的 Microsoft Defender 提供虛擬機器 (VM)、儲存體、應用程式和其他資源的建議，以協助 IT 環境符合各種法規標準，例如 ISO 和 PCI。 同時，適用於雲端的 Defender 提供系統的安全性態勢分數，以協助您追蹤環境的安全性。 適用於雲端的 Defender 也會根據其收集和分析的記錄，提供自動警示。 適用於雲端的 Defender 以前稱為 Azure 資訊安全中心。 如需詳細資訊，請參閱適用於雲端的 Microsoft Defender。

3. Log Analytics 是最重要的服務之一。 它負責儲存用來建立警示、深入解析和事件的所有記錄和警示。 Microsoft Sentinel 可在 Log Analytics 上運作。 基本上，Log Analytics 提取的所有資料都可自動供 Microsoft Sentinel 使用。 Log Analytics 也稱為 Azure 監視器記錄。 如需詳細資訊，請參閱 Azure 監視器中的 Log Analytics 概觀。

4. Microsoft Sentinel 的運作方式就像 Log Analytics 的外觀一樣。 當 Log Analytics 儲存來自各種來源的記錄和警示時，Microsoft Sentinel 提供 API，以協助從各種來源提取記錄。 這些來源包括內部部署 VM、Azure VM、來自 Microsoft Defender XDR 和其他服務的警示。 Microsoft Sentinel 會讓記錄相互關聯，以提供 IT 環境中發生狀況的深入解析，避免誤判為真。 Microsoft Sentinel 是 Microsoft 雲端服務的安全性和監視核心。 如需 Microsoft Sentinel 的詳細資訊，請參閱什麼是 Microsoft Sentinel？。

此清單中的上述服務是可在 Azure、Office 365 和內部部署環境中運作的核心服務。 下列服務著重於特定資源：

5. 網路監看員提供了工具，可對 Azure 虛擬網路中的資源進行監視、診斷、檢視計量，以及啟用或停用記錄。 如需詳細資訊，請參閱什麼是 Azure 網路監看員？

6. 流量分析是「網路監看員」的一部分，可在網路安全性群組 (NSG) 的記錄上運作。 流量分析提供許多儀表板，能夠從 Azure 虛擬網路中的輸出和輸入連接彙總計量。 如需詳細資訊，請參閱流量分析。

7. Application Insights 著重於應用程式，為即時 Web 應用程式提供可擴展的效能管理和監視，包括對 .NET、Node.js、Java 和 Python 等各種平台的支援。 Application Insights 是 Azure 監視器的一種功能。 如需詳細資訊，請參閱 Application Insights 概觀。

8. Azure 儲存體分析會執行記錄，並為儲存體帳戶提供計量。 您可以使用其資料來追蹤要求、分析使用趨勢，以及診斷儲存體帳戶的問題。 如需詳細資訊，請參閱使用 Azure 儲存體分析來收集記錄和計量資料。

9. 由於此架構參考是以 Microsoft 零信任為基礎，因此基礎結構和端點底下的服務和元件沒有特定的監視服務。 Azure 監視器記錄和適用於雲端的 Defender 是收集、儲存和分析 VM 和其他計算服務之記錄的主要服務。

此架構的核心元件是 Microsoft Sentinel，因為它會合併 Azure 安全性服務、Microsoft Defender XDR 和 Azure 監視器所產生的所有記錄和警示。 一旦 Microsoft Sentinel 實作並接收本文中所述來源的記錄和警示，下一個步驟是將查詢對應至這些記錄，以便收集深入解析並偵測入侵指標 (IoC)。 當 Microsoft Sentinel 擷取此資訊時，您可以手動調查它或觸發您設定以減輕或解決事件的自動化回應。 自動化動作可能包括在 Microsoft Entra ID 中封鎖使用者，或透過防火牆封鎖 IP 位址。

如需 Microsoft Sentinel 的詳細資訊，請參閱 Microsoft Sentinel 文件。

如何存取安全性和監視服務

下列清單提供如何存取本文所呈現之每個服務的相關資訊：

• Azure 安全性服務。 您可以使用 Azure 入口網站存取此系列文章的圖表中提及的所有 Azure 安全性服務。 在入口網站中，使用搜尋功能來找出您感興趣的服務並加以存取。

• Azure 監視器。 Azure 監視器適用於所有 Azure 訂用帳戶。 您可以從搜尋 Azure 入口網站中的監視器存取它。

• 適用於雲端的 Defender。 適用於雲端的 Defender 可供任何存取 Azure 入口網站的人員使用。 在入口網站中，搜尋適用於雲端的 Defender。

• Log Analytics。 若要存取 Log Analytics，必須先在入口網站中建立該服務，因為在預設情況下該服務是不存在的。 在 Azure 入口網站中，搜尋 [Log Analytics 工作區]，然後選取 [建立]。 建立之後，您就可以存取該服務。

• Microsoft Sentinel (部分機器翻譯)。 由於 Microsoft Sentinel 在 Log Analytics 之上運作，因此您必須先建立 Log Analytics 工作區。 接下來，在 Azure 入口網站中搜尋 sentinel。 然後透過選擇您想要在 Microsoft Sentinel 後面擁有的工作區來建立服務。

• 適用於端點的 Microsoft Defender。 適用於端點的 Defender 是 Microsoft Defender XDR 的一部分。 透過 https://security.microsoft.com存取服務。 這是上一個 URL 的變更，securitycenter.windows.com。

• Microsoft Defender for Cloud Apps (部分機器翻譯)。 適用於雲端的 Defender 應用程式是 Microsoft 365 的一部分。 透過 https://portal.cloudappsecurity.com存取服務。

• 適用於 Office 365 的 Microsoft Defender。 適用於 Office 365 的 Defender 是Microsoft 365 的一部分。 透過 https://security.microsoft.com 存取該服務，該入口網站與適用於端點的 Defender 使用的入口網站相同。 (這是上一個 URL 的變更，protection.office.com。)

• 適用於身分識別的 Microsoft Defender 適用於身分識別的 Microsoft Defender 是 Microsoft 365 的一部分。 您可透過 https://portal.atp.azure.com存取服務。 雖然它是雲端服務，但適用於身分識別的 Defender 也負責保護內部部署系統上的身分識別。

• Microsoft 端點管理員。 端點管理員是 Intune、Configuration Manager 和其他服務的新名稱。 透過 https://endpoint.microsoft.com 存取它。 若要深入了解如何存取 Microsoft Defender XDR 所提供的服務，以及每個入口網站的相關方式，請參閱使用 Microsoft Defender XDR 安全性服務建置第二層防禦。

• Azure 網路監看員。 若要存取 Azure 網路監看員，請在 Azure 入口網站中搜尋監看員。

• 流量分析。 流量分析是網路監看員的一部分。 您可以從「網路監看員」左側功能表存取它。 這是一個強大的網路監視器，可根據您在個別網路介面和子網路上實作的 NSG 運作。 「網路監看員」需要從 NSG 收集資訊。 如需如何收集該資訊的指示，請參閱教學課程：使用 Azure 入口網站記錄進出虛擬機器的網路流量。

• 應用程式深入解析。 Application Insight 是 Azure 監視器的一部分。 但是，您必須先為要監視的應用程式建立它。 對於某些基於 Azure 建置的應用程式 (例如 Web Apps)，您可以直接從 Web Apps 的佈建中建立 Application Insight。 若要存取它，請在 Azure 入口網站中搜尋 [監視器]。 在 [監視器] 頁面中，選取左側功能表上的 [應用程式]。

• 儲存體分析。 Azure 儲存體在相同的儲存體帳戶技術下提供各種類型的儲存體。 您可以在儲存體帳戶頂端找到 Blob、檔案、資料表和佇列。 儲存體分析提供廣泛的計量，可與這些儲存體服務搭配使用。 從 Azure 入口網站的儲存體帳戶存取 [儲存體分析]，然後選取左側功能表中的 [診斷設定]。 選擇一個記錄分析工作區來傳送該資訊。 然後，您可以從 Insights 存取儀表板。 正在監視的儲存體帳戶中的所有東西都以功能表表示。

元件

本文中的範例架構使用下列 Azure 元件：

• Microsoft Entra ID 是雲端身分識別和存取權管理服務。 Microsoft Entra ID 可協助您的使用者存取外部資源，例如 Microsoft 365、Azure 入口網站以及數以千計的其他 SaaS 應用程式。 也可協助他們存取內部資源，例如公司內部網路上的應用程式。

• Azure 虛擬網路 是私人網路在 Azure 中的基本建置組塊。 虛擬網路可讓多種類型的 Azure 資源安全地彼此通訊，包括網際網路和內部部署網路。 虛擬網路提供可受益於 Azure 基礎結構的虛擬網路，例如規模、可用性和隔離。

• Azure Load Balancer 是一種高效能、超低延遲第 4 層負載平衡服務 (傳入和傳出)，適用於所有 UDP 和 TCP 通訊協定。 旨在每秒處理數百萬個要求，同時確保解決方案的高可用性。 Azure Load Balancer 是區域備援，可確保跨可用性區域的高可用性。

• 虛擬機器是由 Azure 所提供的隨選且可調整的數種運算資源類型之一。 Azure 虛擬機器 (VM) 讓您能夠有彈性地進行虛擬化，而不需購買並維護執行的實體硬體。

• Azure Kubernetes Service (AKS) 是完全受控 Kubernetes 服務，可用來部署和管理容器化應用程式。 AKS 提供無伺服器 Kubernetes、持續整合/持續傳遞 (CI/CD) 以及企業級安全性與治理。

• Azure 虛擬桌面是在雲端執行的桌面與應用程式虛擬化服務，可為遠端使用者提供桌面。

• Web Apps 是 HTTP 型服務，用來裝載 Web 應用程式、REST API 和行動後端。 您可以使用自己喜歡的語言開發，而且應用程式可以在 Windows 和 Linux 環境中輕鬆執行和擴展。

• Azure 儲存體是雲端中各種資料物件的高可用性、高度可縮放、耐用且安全性高的儲存體，包括物件、blob、檔案、磁碟、佇列和表格儲存體。 所有寫入 Azure 帳戶儲存體的資料皆會由服務進行加密。 Azure 儲存體在存取您資料的人員控管上，提供更細微的控制。

• Azure SQL 資料庫是完全受控的 PaaS 資料庫引擎，可處理大部分的資料庫管理功能，例如升級、修補、備份和監視。 該資料庫提供這些功能，無需使用者參與。 SQL 資料庫提供了各式各樣的內建安全性與合規性功能，協助您的應用程式符合安全性與合規性需求。

解決方案詳細資料

Azure 上的監視解決方案一開始可能會造成混淆，因為 Azure 提供多個監視服務。 不過，每個 Azure 監視服務對於本系列中所述的安全性和監視策略都很重要。 本系列文章說明各種服務，以及如何規劃 IT 環境的有效安全性。

1. 使用 Azure 監控整合安全性元件
2. 確認與 IT 環境相對應的威脅
3. 使用 Azure 安全性服務打造第一道防線
4. 使用 Microsoft Defender XDR 安全服務建立第二層防禦

潛在使用案例

此參考架構提供 Microsoft 雲端安全性服務的完整檢視，並示範如何加以整合以達到最佳安全性態勢。

雖然不需要實作所示的每個安全性服務，但此範例和架構圖中所說明的威脅對應，可引導您建立自己的威脅對應並規劃安全性策略。 選擇最符合您需求的 Azure 安全性服務和 Microsoft Defender XDR 服務，以確保 IT 環境受到適當保護。

成本最佳化

此系列文章中呈現的 Azure 服務定價會以各種方式計算。 有些服務是免費的，有些服務會按次收費，有些則依授權收費。 評估任何 Azure 安全性服務定價的最佳方式是使用定價計算機。 在計算機中，搜尋您感興趣的服務，然後選取它以取得決定服務價格的所有變數。

Microsoft Defender XDR 安全性服務可搭配授權使用。 如需授權需求的相關資訊，請參閱 Microsoft Defender XDR 必要條件。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主要作者：

• Rudnei Oliveira | 資深 Azure 安全性工程師

其他投稿人：

• Gary Moore | 程式設計師/作家
• Andrew Nathan | 資深客戶工程經理

下一步

• 使用 Microsoft 365 抵禦威脅
• 使用 Microsoft Defender XDR 偵測和對應網路攻擊
• 開始使用 Microsoft 365 Defender XDR
• 使用 Microsoft 365 管理安全性
• 使用適用於 Office 365 的 Microsoft Defender 來防範惡意威脅
• 使用身分識別的適用於雲端的 Microsoft Defender 來保護內部部署身分識別

相關資源

如需有關此參考架構的詳細資訊，請參閱本系列的其他文章：

• 第 1 部分：使用 Azure 監視整合安全性元件
• 第 2 部分：確認與 IT 環境相對應的威脅
• 第 3 部分：使用 Azure 安全性服務打造第一道防線
• 第 4 部分：使用 Microsoft Defender XDR 安全服務建立第二層防禦

如需 Azure 架構中心的相關架構，請參閱下列文章：

• 實作安全的混合式網路
• 使用適用於雲端的 Microsoft Defender 和 Microsoft Sentinel 監視混合式安全性