試點並部署 Microsoft Defender 全面偵測回應

適用於：

Microsoft Defender XDR

這系列文章將引導你完整體驗在生產租戶中試點 Microsoft Defender 全面偵測回應元件的過程，讓你評估其功能與能力，並完成整個組織的部署。

XDR) 的延伸偵測與應變解決方案 (網路安全是一大進步，因為它將曾經被隔離系統的威脅資料整合起來，讓你能更快察覺模式並對疑似網路攻擊採取行動。

Microsoft Defender 全面偵測回應：

這是一款 XDR 解決方案，將身份、端點、電子郵件及雲端應用程式的網路攻擊資訊整合於一處。它利用人工智慧 (人工智慧) 與自動化，自動阻止某些類型的攻擊，並將受影響的資產修復至安全狀態。
這是一個雲端、統一、入侵前後的企業防禦套件。它協調身份、端點、電子郵件、雲端應用程式及其資料之間的預防、偵測、調查與回應。
透過提供威脅防護與偵測，有助於強化零信任架構。它有助於預防或減少外洩造成的商業損失。欲了解更多資訊，請參閱 Microsoft 零信任採用框架中的「實施威脅防護與 XDR 商業情境」。

Microsoft Defender 全面偵測回應元件與架構

此表列出 Microsoft Defender 全面偵測回應的元件。

元件	描述	相關資訊
適用於身分識別的 Microsoft Defender	利用您內部部署的 Active Directory Domain Services (AD DS) 與Active Directory 同盟服務 (AD FS) 的訊號，來識別、偵測並調查針對您組織的進階威脅、被入侵的身份，以及惡意內部人員行為。	什麼是適用於身分識別的 Microsoft Defender？
Exchange Online Protection	原生雲端 SMTP 中繼與過濾服務，協助保護您的組織免受垃圾郵件與惡意軟體侵害。	Exchange Online Protection (EOP) 概述 - Office 365
適用於 Office 365 的 Microsoft Defender	保護您的組織免受電子郵件、連結 (網址) 及協作工具所帶來的惡意威脅。	Microsoft Defender for Office 365 - Office 365
適用於端點的 Microsoft Defender	一個統一的平台，用於裝置保護、入侵後偵測、自動化調查及建議回應。	適用於端點的 Microsoft Defender - Windows 安全性
Microsoft Defender for Cloud Apps	一個全面的跨SaaS解決方案，為您的雲端應用帶來深度可視性、強力資料控管與強化的威脅防護。	什麼是 Defender for Cloud Apps？
Microsoft Entra ID Protection	評估數十億次登入嘗試的風險資料，並利用這些資料評估每次登入租戶的風險。這些資料會被 Microsoft Entra ID 用來允許或阻止帳號存取，視條件存取政策的設定而定。 Microsoft Entra ID 保護與 Microsoft Defender 全面偵測回應不同，並包含在 Microsoft Entra ID P2 授權中。	什麼是身份保護？

此插圖展示了 Microsoft Defender 全面偵測回應元件的架構與整合。

在此圖例中：

Microsoft Defender 全面偵測回應所有 Defender 元件的訊號，以跨域提供 XDR。這包括統一事件佇列、自動回應以阻止攻擊、對被入侵裝置的自我修復 (、使用者身份及信箱) 、跨威脅搜尋，以及威脅分析。
適用於 Office 365 的 Microsoft Defender 可保護組織防範由電子郵件訊息、連結 (URL) 及共同作業工具所造成的惡意威脅。它會將這些活動所產生的訊號分享給 Microsoft Defender 全面偵測回應。 Exchange Online Protection (EOP) 整合以提供端對端的電子郵件及附件保護。
適用於身分識別的 Microsoft Defender 從執行 AD FS 和 AD CS 的 AD DS 網域控制器與伺服器收集訊號。它利用這些訊號保護你的混合身份環境，包括防止駭客利用被入侵帳號在本地工作站間橫向移動。
適用於端點的 Microsoft Defender 會收集並保護由您組織管理的裝置的訊號。
Microsoft Defender for Cloud Apps 會收集貴組織使用雲端應用程式的訊號，並保護 IT 環境與這些應用程式之間的資料流動，包括授權與非授權的雲端應用程式。
Microsoft Entra ID Protection 評估數十億次登入嘗試的風險資料，並利用這些數據評估每次登入租戶的風險。這些資料會被 Microsoft Entra ID 用來根據你的條件存取政策的條件與限制，決定帳號存取的許可或阻止。 Microsoft Entra ID 保護與 Microsoft Defender 全面偵測回應不同，並包含在 Microsoft Entra ID P2 授權中。

Microsoft Defender 全面偵測回應元件與 SIEM 整合

您可以將Microsoft Defender 全面偵測回應元件整合於 Microsoft Sentinel 或 SIEM) 服務 (通用的安全資訊與事件管理，以實現對連接應用程式的警示與活動的集中監控。

Microsoft Sentinel 是一款雲端原生解決方案，提供 SIEM 及安全協調、自動化及回應 SOAR) 能力 (。 Microsoft Sentinel 與 Microsoft Defender 全面偵測回應元件共同提供全面解決方案，協助組織防禦現代攻擊。

Microsoft Sentinel 包含 Microsoft Defender 元件的連接器。這不僅讓您能更深入了解雲端應用程式，還能透過先進的分析來識別並對抗網路威脅，並控制資料的傳輸方式。欲了解更多資訊，請參閱Microsoft Defender 全面偵測回應與Microsoft Sentinel整合概述及Microsoft Sentinel與Microsoft Defender 全面偵測回應整合步驟。

欲了解更多關於 Microsoft Sentinel (的 SOAR 資訊，包括 Microsoft Sentinel GitHub Repository) 中的 playbook 連結，請參見 Microsoft Sentinel 中的 Playbooks 自動化威脅回應。

關於與第三方 SIEM 系統整合的資訊，請參見通用 SIEM 整合。

Microsoft Defender 全面偵測回應與網路安全攻擊範例

這張圖展示了常見的網路攻擊，以及 Microsoft Defender 全面偵測回應的元件，這些元件能協助偵測和修復。

網路攻擊始於一封釣魚郵件，該郵件寄到您組織中一位員工的收件匣，該員工無意中打開了該郵件附件。此附件會安裝惡意軟體，進而引發一連串攻擊，最終導致敏感資料被竊取。

在此圖例中：

Exchange Online Protection 作為 Office 365 Microsoft Defender的一部分，可以偵測釣魚郵件，並使用郵件流規則 (也稱為傳輸規則) ，確保郵件永遠不會進入使用者的收件匣。
Defender for Office 365 會使用安全附件來測試附件，判斷其有害性，因此收到的郵件要麼用戶無法採取行動，要麼政策阻止郵件送達。
Defender for Endpoint 能偵測可能被你組織管理的裝置利用的裝置與網路漏洞。
Defender for Identity 會注意到本地用戶帳號的突然變更，例如權限提升或高風險橫向移動。它也會報告容易被利用的身份問題，例如不受限制的 Kerberos 委派，供資安團隊修正。
Microsoft Defender for Cloud Apps 偵測異常行為，如無法旅行、憑證存取，以及異常下載、檔案分享或郵件轉寄活動，並回報給資安團隊。

Microsoft Defender 全面偵測回應的試點與部署流程

Microsoft 建議依照以下順序啟用 Microsoft 365 Defender 的元件。

階段	連結
答：開始試播集	開始試播集
B. 試點並部署 Microsoft Defender 全面偵測回應元件	- 試點並部署 Defender for Identity - 試點並部署 Defender for Office 365 - 試點並部署 Defender for Endpoint - 試點並部署 Microsoft Defender for Cloud Apps
C. 調查和回應威脅	實務事件調查與應變