1、前言
在甲方企业工作时,最开始入职接触的就是微软 Microsoft 365 Defender (一套安全产品)的运营工作。目前这套微软的产品是行业内领先的”企业级信息安全解决方案“;把这套产品的理念、使用场景、功能特性、使用方法搞懂,对于建立规范、先进的安全运营理念,并延伸到个人将来的工作,是非常有好处的。
本系列文章参考 微软认证考试学习路径
2、内容规划
(一) Microsoft 365 Defender 产品介绍;
(二) Defender for Identity 事件调查及运营闭环操作;
(三) Defender for Endpoint 事件调查及运营闭环操作;
(四) Defender for Office 365 钓鱼邮件调查及Powershell Cmdlet 基本使用;
(五) Defender for Cloud Apps 事件调查及运营闭环操作;
(六) Microsoft Purview 内部安全事件调查及运营闭环操作;
(七) Azure AD 登录事件调查及运营闭环操作;
3、Microsoft 365 Defender 是什么,它是如何进行威胁防护的?
Tips:Microsoft 365 Defender 是一整套的安全解决方案。按照我个人的理解,其实这就是一个微软自己开发的原生XDR产品
从下图中,我们可以看到,这套解决方案的粗略架构以及各部分的功能,分为以下这几个部分:
- Defender for Office 365 : 此组件主要防御来自outlook邮件的威胁;
- Defender for Endpoint : 此组件主要防御员工办公终端上的威胁;
- Defender for Identity : 此组件主要防御企业组织AD域环境中的各类攻击(内网渗透阶段)、以及AD域身份凭证的安全威胁事件;
- Defender for Cloud Apps :本质上是一个CASB(云访问代理),用来防御用户在使用互联网上各类Saas服务时所面临的安全威胁;
- Microsoft Purview : 此组件主要用来实现组织内部数据分类、数据防泄漏、内部合规、事件调查取证,方向上更加偏重于防范内部信息安全风险,所以在图中也显示为 INSIDER RISKS。
另: Microsoft Sentinel 就是微软的SIEM,可以收集上述所有组件的日志,此产品在本系列文章中不做过多说明,因为本人在实际工作场景中,更多的是使用自建的 ElasticSearch 作为 SIEM 技术底座,没有使用微软的这个产品。
