使用 Microsoft Defender XDR 安全服务构建第二层防御

许多组织在混合环境中运行，并且资源托管在 Azure 和本地。 大多数 Azure 资源（例如虚拟机 (VM)、Azure 应用程序和 Microsoft Entra ID）都可以使用 Azure 的内置安全服务进行保护。

此外，组织经常订阅 Microsoft 365，为用户提供 Word、Excel、PowerPoint 和 Exchange Online 等应用程序。 Microsoft 365 还提供安全服务，你可以使用这些服务为一些最广泛使用的 Azure 资源添加额外的安全层。

要有效利用 Microsoft 365 安全服务，请务必了解 Microsoft 365 服务的关键术语和结构。 本系列五篇文章中的第四篇文章更详细地探讨了这些主题，基于以前文章中介绍的概念，特别是：

• 将威胁映射到 IT 环境
• 使用 Azure 安全服务构建第一层防御

Microsoft 365 和 Office 365 是基于云的服务，旨在满足组织对强大的安全性、可靠性和更高用户工作效率的需求。 Microsoft 365 包括 Power Automate、Forms、Stream、Sway 和 Office 365 等服务。 Office 365 特别包含熟悉的生产力应用程序套件。 有关这两个服务的订阅选项的详细信息，请参阅 Microsoft 365 和 Office 365 计划选项。

根据为 Microsoft 365 获取的许可证，还可以获取 Microsoft 365 的安全服务。 这些安全服务称作 Microsoft Defender XDR，它提供多个服务：

• Microsoft Defender 端点版
• Microsoft Defender for Identity
• Microsoft Defender for Office
• 微软云应用防护 (Microsoft Defender for Cloud Apps)

• 通过“security.microsoft.com”访问的“Microsoft Defender for Cloud 应用”与通过“portal.azure.com”访问的另一种安全解决方案“Microsoft Defender for Cloud”不同。

下图说明了 Microsoft 365 提供的解决方案和主要服务之间的关系，但并没有列出所有服务。

可能的用例

用户经常会对 Microsoft 365 安全服务及其在 IT 网络安全中的角色感到困惑。 造成这种混淆的主要原因是名称相似，包括一些 Azure 安全服务，如 Microsoft Defender for Cloud（以前称为 Azure 安全中心）和 Defender for Cloud 应用（以前称为 Microsoft Cloud App Security）。

然而，混乱不仅仅局限于术语。 某些服务提供类似的保护，但适用于不同的资源。 例如，Defender for Identity 和 Azure Identity Protection 都保护标识服务，但 Defender for Identity（通过 Active Directory 域服务和 Kerberos 身份验证）保护本地标识，而 Azure 标识保护（通过 Microsoft Entra ID 和 OAuth 身份验证）保护云标识。

这些示例强调了了解 Microsoft 365 安全服务与 Azure 安全服务有何不同的重要性。 通过了解这一点，可以在 Microsoft 云中更有效地规划安全策略，同时为 IT 环境保持强大的安全态势。 本文旨在帮助你实现这一目标。

下图显示了 Microsoft Defender XDR 安全服务的实际用例。 它显示需要保护的资源、环境中运行的服务以及一些潜在威胁。 Microsoft Defender XDR 服务处于中间位置，保护组织的资源免受这些威胁的影响。

体系结构

Microsoft 的扩展检测和响应 (XDR) 解决方案（称为 Microsoft Defender XDR）集成了多种安全工具和服务，以跨终结点、标识、电子邮件、应用程序和云环境提供统一的保护、检测和响应。 它结合了高级威胁智能、自动化和 AI 驱动的分析，可实时检测和应对复杂的网络威胁，使安全团队能够快速降低风险并降低攻击的影响。 通过整合来自各种来源的安全数据，Microsoft Defender XDR 可帮助组织在整个 IT 基础架构中实现全面、简化的防御。

下图显示了一个标记为 DEFENDER 的层，表示 Microsoft Defender XDR 安全服务。 将这些服务添加到 IT 环境有助于为环境构建更好的防御。 Defender 层中的服务可与 Azure 安全服务协同工作。

下载此体系结构的 Visio 文件。

©2021 The MITRE Corporation。 本作品经 MITRE Corporation 许可复制和分发。

Workflow

1. 用于终结点的 Microsoft Defender

   Defender for Endpoint 保护企业中的终结点，旨在为网络防御、检测、调查和响应高级威胁提供帮助。 它为在本地和 Azure 上运行的 VM 创建保护层。 若要详细了解它可以保护的内容，请参阅 Microsoft Defender for Endpoint。

2. Microsoft Defender for Cloud Apps

   Defender for Cloud Apps 以前称为 Microsoft Cloud Application Security，是支持多种部署模式的云访问安全代理 (CASB)。 这些模式包括日志收集、API 连接器和反向代理。 它提供了丰富的显示效果、数据旅程控制和成熟分析服务，用于跨所有 Microsoft 和第三方云服务发现和防范网络威胁。 它为云应用以及一些在本地运行的应用提供保护和风险缓解。 它还为访问这些应用的用户提供保护层。 有关详细信息，请参阅 Microsoft Defender for Cloud Apps 概述。

   请务必不要将 Microsoft Defender for Cloud Apps 与Microsoft Defender for Cloud 混淆，后者提供服务器、应用、存储帐户等在 Azure、本地和其他云中运行的资源的安全状况的分数及建议。 Defender for Cloud 整合了之前的两个服务，即 Azure 安全中心和 Azure Defender。

3. Microsoft Defender for Office

   Defender for Office 365 保护组织免受电子邮件、链接 (URL) 和协作工具带来的恶意威胁。 它为电子邮件和协作提供保护。 根据许可证的不同，你可以添加泄露后调查、搜索和响应，以及自动化和模拟（用于培训）。 有关许可选项的详细信息，请参阅 Microsoft Defender for Office 365 安全概述。

4. Microsoft Defender for Identity

   Defender for Identity 是一个基于云的安全解决方案，可利用本地 Active Directory 信号识别、检测并调查针对组织的高级威胁、身份盗用和恶意内部操作。 它保护在本地运行的 Active Directory 域服务 (AD DS)。 尽管此服务在云上运行，但它仍可用于保护本地标识。 Defender for Identity 以前名为 Azure 高级威胁防护。 有关详细信息，请参阅什么是 Microsoft Defender for Identity？

   如果需要对 Microsoft Entra ID 提供的、在云中以原生方式运行的标识进行保护，请考虑使用 Microsoft Entra ID 标识保护。

5. Intune （以前是 Microsoft Endpoint Manager 的一部分）

Microsoft Intune 是一项基于云的服务，可帮助组织管理和保护其设备、应用和数据。 它使 IT 管理员能够控制公司设备（如笔记本电脑、智能手机和平板电脑）的使用方式，确保符合安全策略。 借助 Intune，可以使用条件访问和远程擦除等功能强制实施设备配置、部署软件、管理移动应用程序和保护公司数据。 它特别适用于启用安全远程工作、管理公司拥有的设备和个人 (BYOD) 设备，并在各种平台（如 Windows、iOS、Android 和 macOS）中确保数据安全。

Endpoint Manager 的另一项服务是 Configuration Manager，这是一种本地管理解决方案，可用于管理网络中直接连接或通过 Internet 连接的客户端和服务器计算机。 可以启用云功能，将 Configuration Manager 与 Intune、Microsoft Entra ID、Defender for Endpoint 及其他云服务集成。 使用它来部署应用、软件更新和操作系统。 还可以监视合规性、查询对象以及实时操作客户端等。 若要了解所有可用服务，请参阅 Microsoft Endpoint Manager 概述。

示例威胁的攻击顺序

图中列出的威胁遵循常见攻击顺序：

1. 攻击者发送一封附加恶意软件的钓鱼电子邮件。

2. 最终用户打开附加的恶意软件。

3. 恶意软件在后端安装，用户不会察觉。

4. 已安装的恶意软件会窃取某些用户的凭据。

5. 攻击者使用凭据来访问敏感帐户。

6. 如果凭据提供对具有提升权限的帐户的访问权限，攻击者会入侵其他系统。

此图还显示标记为 DEFENDER 的层，Microsoft Defender XDR 服务可以监视和缓解这些攻击。 此示例可以说明 Defender 是如何提供可与 Azure 安全服务配合使用的额外的安全层，从而为图中所示的资源提供额外的保护。 若要详细了解潜在攻击如何威胁 IT 环境，请参阅本系列中的第二篇文章将威胁映射到 IT 环境。 有关 Microsoft Defender XDR 的详细信息，请参阅 Microsoft Defender XDR。

访问和管理 Microsoft Defender XDR 安全服务

下图显示了当前可用的门户及其彼此之间的关系。 在本文更新时，其中一些门户可能已经被弃用。

Security.microsoft.com 是目前可用的最重要的门户，因为它带来了来自 Microsoft Defender for Office 365 (1)、Defender for Endpoint (2)、Defender for Office (3)、Defender for Identity (5)、Defender for Apps (4) 以及 Microsoft Sentinel 的功能。

值得一提的是，Microsoft Sentinel 的一些功能仍然只能在 Azure 门户 (portal.azure.com) 上运行。

最后，endpoint.microsoft.com 主要为 Intune 和 Configuration Manager 提供功能，但也为 Endpoint Manager 的其他服务提供功能。 由于 security.microsoft.com 和 endpoint.microsoft.com 为终结点提供安全保护，因此它们之间有许多交互 (9)，为终结点提供良好的安全态势。

组件

本文中的示例体系结构使用以下 Azure 组件：

• Microsoft Entra ID 是 Microsoft 推出的基于云的标识和访问管理服务。 Microsoft Entra ID 可帮助用户访问外部和内部资源。 在此体系结构中，Microsoft Entra ID 对访问 Microsoft 365、Azure 和软件即服务（SaaS）应用程序的用户进行身份验证。 它充当威胁检测和响应的标识基础。

• Azure 虚拟网络 是 Azure 中的网络服务，可在 Azure 资源、Internet 和本地网络之间实现安全通信。 在此体系结构中，它提供专用网络基础结构，支持Microsoft Defender XDR 保护的工作负载的安全连接和分段。

• Azure 负载均衡器 是传输控制协议（TCP）和用户数据报协议（UDP）流量的高性能第 4 层负载均衡服务。 在此体系结构中，它通过跨 VM 和容器分配流量来确保 Azure 中运行的服务的高可用性和可伸缩性。

• Azure 虚拟机 是一种基础结构即服务（IaaS）产品，提供可缩放的计算资源。 在此体系结构中，VM 托管Microsoft Defender for Endpoint 监视和保护作为 Microsoft Defender XDR 解决方案的一部分的工作负荷。

• Azure Kubernetes 服务（AKS） 是用于部署和管理容器化应用程序的托管 Kubernetes 服务。 在此体系结构中，AKS 运行容器化工作负载，这些工作负载集成到 Microsoft Defender XDR 威胁检测和响应框架中。

• Azure 虚拟桌面 是桌面和应用虚拟化服务，提供对云托管桌面的安全远程访问。 在此体系结构中，它支持远程用户。 Defender for Endpoint 监视虚拟桌面以检测和响应终结点威胁。

• Azure 应用服务的 Web 应用功能托管 Web 应用程序、REST API 和移动后端。 可以使用所选语言进行开发。 在基于 Windows 和 Linux 的环境中，应用程序都可以轻松地运行和缩放。 在此体系结构中，Web 应用托管通过集成安全功能保护并监视威胁的基于 HTTP 的应用程序。

• Azure 存储 是云中各种数据对象的可缩放且安全的存储服务，包括对象、blob、文件、磁盘、队列和表存储。 Azure 存储会加密写入 Azure 存储帐户的所有数据。 它提供对数据访问的精细控制。 在此体系结构中，它存储应用程序和系统数据，并由 Defender for Cloud 保护，以确保数据完整性和访问控制。

• Azure SQL 数据库 是一个托管关系数据库引擎，可自动修补、备份和监视。 在此体系结构中，它存储结构化数据，并受益于内置安全功能，这些功能与 Defender XDR 威胁防护功能的Microsoft一致。

作者

本文由 Microsoft 维护， 它最初是由以下贡献者撰写的。

主要作者：

• Rudnei Oliveira | 高级客户工程师

其他参与者：

• Gary Moore | 程序员/作家
• Andrew Nathan | 高级客户工程经理

后续步骤

• 通过 Microsoft 365 抵御威胁
• 使用 Microsoft Defender XDR 检测和响应网络攻击
• Microsoft Defender XDR 入门
• 在 Microsoft 365 中实现威胁情报
• 通过 Microsoft 365 管理安全性
• 使用 Microsoft Defender for Office 365 防范恶意威胁
• 使用 Microsoft Defender for Cloud for Identity 保护本地标识

相关资源

有关此参考体系结构的更多详细信息，请参阅本系列的其他文章：

• 第 1 部分：将威胁映射到 IT 环境
• 第 2 部分：使用 Azure 安全服务构建第一层防御
• 第 4 部分：azure 与 Microsoft Defender XDR 安全服务之间的 集成