本文介绍了Microsoft安全服务及其如何协同工作,以跨 技术支柱(包括标识、设备、应用程序、数据、AI 和基础结构)提供保护。
新式企业安全性从基于外围的保护转移到标识驱动的云集成模型。 组织必须在混合和多云环境中保护用户、设备、应用程序和数据,同时持续适应不断演变的威胁。
Microsoft提供了一组集成的基于云的服务,它们协同工作,共享信号、应用一致的策略、强制实施控制以及在整个环境中协调检测和响应。
安全性成果
集成Microsoft安全性提供以下结果:
- 统一信号可见性:在标识、设备、应用程序、数据和基础结构之间持续收集和集中遥测,并转换为集中式可操作信号。
- 标识驱动的决策:访问和执行决策基于标识、设备状态、风险信号和会话上下文。
- 一致性实施:零信任控制措施在访问时和使用过程中统一应用于终端、云服务和应用程序。
- 集成检测和响应:信号和警报跨域关联,以检测和响应作为统一操作的威胁。
- 持续验证和改进:检测和风险信号反馈到策略决策中,以随着时间的推移加强保护。
核心安全服务
核心安全服务涵盖多个技术支柱,每个支柱都跨平台提供信号、上下文和强制实施。
|
支柱 主要服务 |
Protection | 主门户 |
|---|---|---|
|
身份验证和访问 Microsoft Entra Microsoft Defender for Identity。 |
Microsoft Entra控制用户、工作负载和应用程序的访问。 它会评估标识、设备和会话信号,以做出访问决策。 Defender for Identity 监控混合身份基础结构,用于检测攻击。 |
Microsoft Entra 管理中心 Microsoft Defender 门户 |
|
设备/终结点 Microsoft Defender for Endpoint (微软终端防护) Microsoft Intune |
Defender for Endpoint 收集终结点遥测数据并检测威胁。 Microsoft Intune评估设备符合性并强制实施策略。 |
Microsoft Defender 门户 Microsoft Intune 管理中心 |
|
电子邮件和协作 适用于 Office 365 的 Defender |
保护Exchange和协作服务(Microsoft Teams、SharePoint、OneDrive)免受恶意软件、恶意链接/附件和业务电子邮件泄露的影响。 | Microsoft Defender 门户 |
|
数据 Microsoft Purview |
跨终结点和云服务强制实施数据保护和数据丢失防护(DLP)策略。 | Microsoft Purview 门户 |
|
基础结构/云工作负载 Microsoft Defender for Cloud |
改进安全态势,并跨云和混合工作负荷提供威胁检测。 |
Microsoft Azure 门户 Microsoft Defender 门户 |
|
Networks Azure 网络服务 |
分段和保护网络。 | Microsoft Azure 门户 |
|
SaaS/云应用 微软云应用防护 (Microsoft Defender for Cloud Apps) |
提供云应用使用情况的可见性,并监视用户活动以检测风险行为。 | Microsoft Defender 门户 |
|
状况/风险 Microsoft 安全风险管理 |
识别、确定优先级并降低身份、设备、云资源和应用程序中的暴露风险。 | Microsoft Defender 门户 |
|
威胁检测/响应 Microsoft Defender XDR |
关联 Defender 各项服务中的信号,并生成用于调查和响应的统一事件。 | Microsoft Defender 门户 |
|
安全操作 Microsoft Sentinel |
聚合来自Microsoft和第三方源的遥测数据,以便集中分析、调查和响应。 |
Microsoft Azure 门户 Microsoft Defender 门户 |
|
开发人员/应用安全性 Defender for DevOps(Defender for Cloud 中) GitHub Advanced Security |
保护代码、依赖项和生成管道,并跨 DevOps 工作流强制实施安全治理。 |
Microsoft Defender 门户 GitHub接口 |
网络保护服务
下表总结了Azure网络功能,以及它们如何直接与其他安全服务集成。 服务在 Microsoft Azure 门户 中配置。
| 服务 | Protection | 集成 |
|---|---|---|
| Azure 防火墙 | 强制实施 IP、端口和应用程序规则来控制子网、Internet 和本地网络之间的入站和出站流量。 使用Microsoft威胁情报来阻止已知的恶意流量。 | Defender for Cloud评估配置状况。 诊断日志引入到Azure Monitor/Log Analytics中,并通过Microsoft Sentinel进行分析,以便进行检测和关联。 |
| Azure DDoS 防护 | 缓解流量型、协议和应用层攻击。 保护虚拟网络(VNet)中面向 Internet 的资源免受大规模洪水攻击。 | 指标和攻击遥测数据引入到Azure Monitor/Log Analytics中,可在Microsoft Sentinel中进行分析。 Defender for Cloud提供姿势建议。 |
| Azure VNet | 为Azure资源提供网络隔离、分段和专用 IP 寻址。 启用服务之间的受控连接。 | Defender for Cloud 评估配置状态,包括诸如公共访问路径之类的暴露情况。 |
| 网络安全组 (NSG) | 使用允许/拒绝规则筛选子网和网络接口级别的流量。 将非所需流量限制为资源。 | 可以在 Microsoft Sentinel 中分析 NSG 流日志(通过 Azure Monitor),以实现流量可视化和检测。 Defender for Cloud 评估 NSG 规则的配置。 |
| Azure Web 应用程序防火墙 (WAF) | 使用 OWASP 规则集保护 HTTP/HTTPS 应用程序。 帮助防止常见的 Web 攻击,例如 SQL 注入和跨站点脚本(XSS)。 | WAF 日志引入到 Azure Monitor/Log Analytics 中,并通过Microsoft Sentinel进行分析。 Defender for Cloud 会评估 WAF 配置态势。 |
| Azure Front Door | 为具有路由、加速和边缘安全功能的 Web 应用程序提供全局入口点。 与 WAF 集成,以便进行应用程序保护。 | 诊断日志(Front Door/WAF)将引入到Log Analytics并通过Microsoft Sentinel进行分析。 Defender for Cloud评估配置状况。 |
| Azure 应用程序网关 | 通过内置的 Web 应用程序防火墙功能提供区域负载均衡,以保护和路由应用程序流量。 | 访问日志和 WAF 日志将引入Log Analytics并通过Microsoft Sentinel进行分析。 Defender for Cloud评估配置状况和曝光设置。 |
| Azure VPN 网关 | 在本地环境和 Azure VNet 之间提供加密的 IPsec/IKE 连接。 保护通过公用网络传输的数据。 | 连接日志和隧道日志引入Log Analytics,可在Microsoft Sentinel中进行分析。 Defender for Cloud评估配置状况,包括加密设置。 |
| Azure ExpressRoute | 通过Microsoft主干提供本地环境和Azure之间的专用专用连接,避免使用公共 Internet。 | 操作遥测(如 BGP、线路状态)可通过Azure Monitor提供,可在Microsoft Sentinel中进行分析。 Defender for Cloud 评估高级别配置态势。 |
| Azure Bastion | 通过浏览器提供对虚拟机的安全 RDP 和 SSH 访问,无需公开公共 IP。 | 诊断日志引入到Log Analytics中,并通过Microsoft Sentinel进行分析。 Defender for Cloud 会评估精简版 VM,但不会直接评估 Azure Bastion 配置。 |
| Azure 专用链接 | 通过使用专用 IP 地址,为 Azure PaaS 服务和客户服务提供专用连接,从而避免公网暴露。 | 服务级别日志(针对通过 专用链接 访问的服务,例如 Storage、SQL 和 密钥保管库)会被引入到 Log Analytics 中,并由 Microsoft Sentinel 进行分析。 Defender for Cloud评估专用链接是否用于减少曝光。 |
| Azure 网络观察程序 | 提供跨Azure资源的网络诊断、监视和流级可见性。 | NSG 流日志和诊断引入到Log Analytics中,可在Microsoft Sentinel中进行分析。 Defender for Cloud 会评估 NSG 设置等基础资源配置状态,而不是直接评估网络观察程序。 |
安全工作流
安全服务作为连续管道运行。 信号会持续收集、评估、强制执行,并用于驱动检测和响应。
| Pipeline | Action | 密钥活动 |
|---|---|---|
| 阶段 1:信号收集 | 安全服务跨标识、设备、应用程序和基础结构生成遥测数据。 | - Defender for Endpoint 收集设备遥测数据。 - Microsoft Intune 评估设备合规性。 - Defender for Identity 监控本地环境中的身份活动。 - Defender for Cloud Apps 监控 SaaS 活动。 - Defender for Cloud监视基础结构/工作负荷配置和活动。 |
| 阶段 2:策略决策 | 评估信号以确定访问条件和控制操作。 | Microsoft Entra 条件访问评估标识风险、设备信任、位置和会话上下文。 |
| 阶段 3:控制强制实施 | 安全控制跨标识、设备、会话、数据和网络层应用。 | 强制执行点包括: - 条件访问(MFA/限制) - Intune (设备合规性) -Defender for Cloud Apps(会话控制) - Microsoft Purview (DLP) - Azure网络(连接限制)。 |
| 阶段 4:检测和响应 | 信号和警报与检测、调查和修正威胁相关。 | Microsoft Defender XDR将所有Defender产品中的信号关联到统一事件中。 Microsoft Sentinel 可在整个环境中集中管理日志、事件、威胁搜寻以及安全编排、自动化和响应 (SOAR),包括第三方数据源。 |
| 反馈循环 | 检测结果反馈到策略决策中,以持续改进保护。 | 风险和威胁信号可通知实时策略更新,实现自适应和自动保护。 |
安全服务集成
Microsoft 安全服务通过多个协同运行、构成统一管道的流程实现集成,形成持续的防护体系。
- 信号(遥测) 跨标识、设备、应用程序和其他资源捕获活动。
- 上下文(标识、设备状况和数据分类) 丰富了信号,以提高准确性和决策能力。
- 策略 根据评估的条件定义允许或阻止的访问。
- 操作 通过自动化控制和响应强制执行决策。
随着信号在平台中移动,它们被扩充、根据策略进行评估,并采取行动,从而创建一个持续的保护和响应周期。
服务集成方式
下表总结了安全服务如何使用每个输出中的信号和上下文,以及它们输出和操作的内容。
| 服务 | 消耗 | 输出 |
|---|---|---|
| Microsoft Entra ID |
信号:身份验证活动(登录、风险事件)。 来自 Microsoft Intune 的设备合规性状态。 上下文:Defender for Endpoint 中用于访问决策的设备上下文。 来自 Defender for Cloud Apps 的用于访问决策的会话上下文。 |
操作:条件访问决策(允许、阻止、限制、需要控制)。 |
| Microsoft Intune |
信号:托管设备清单、运行状况、符合性状态。 Context:源自 Microsoft Entra ID 的身份关联。 |
输出:Microsoft Entra ID 的设备合规性态势。 将设备审核日志发送到 Microsoft Sentinel |
| Microsoft Purview |
Signals:跨 Microsoft 365、SaaS 应用和本地系统的企业数据。 上下文:数据分类(敏感度标签、内容检查、用户活动)。 |
输出:向 Defender XDR 输出内部风险和数据丢失防护 (DLP) 警报。 将合规性和审核日志发送到 Microsoft Sentinel。 操作:跨终结点 (Defender for Endpoint) 和会话 (Defender for Cloud Apps) 的 DLP 强制执行。 |
| 终端防护软件 |
信号:终结点遥测(进程、文件、网络活动)。 Context:Microsoft Entra ID(身份上下文)。 Microsoft Intune(设备态势)。 Microsoft Purview(DLP 策略)。 |
输出:发送到 Defender XDR 和 Microsoft Sentinel 的终结点警报和遥测数据。 操作:终端强制措施(设备隔离、阻断、修复)。 |
| Defender for Identity | Signals:Active Directory标识信号。 | 输出:将身份威胁警报发送到 Defender XDR 和 Microsoft Sentinel。 |
| Defender for Cloud Apps |
信号:SaaS 应用活动(云使用情况)。 来自 Defender for Endpoint 的网络和影子 IT 遥测数据。 Context:来自Microsoft Entra ID的会话和身份验证上下文。 来自Microsoft Purview的 DLP 策略。 |
输出:将云应用警报输出到 Defender XDR 和 Microsoft Sentinel。 操作:会话强制实施(阻止、监视、限制访问)。 |
| Defender for Cloud |
Signals:来自Azure的资源操作信息。 来自 Defender for Endpoint 的服务器/工作负载遥测数据。 上下文:资源配置和状况。 |
输出:发送到 Defender XDR 和 Microsoft Sentinel 的安全警报和安全态势洞察。 |
| Microsoft安全暴露管理 |
Signals:来自 Defender for Endpoint 的设备风险评分。 来自 Defender for Cloud 的云资源清单、安全态势、暴露情况和攻击面发现结果。 来自 Microsoft Entra 的身份清单和风险信号。 来自Defender for Cloud Apps的 SaaS 应用清单、风险和使用情况上下文。 上下文:统一的暴露和风险关联。 |
输出:发送到 Microsoft XDR 和 Microsoft Sentinel 的暴露见解和风险相关性。 |
| Defender XDR | Signals:来自 Defender for Endpoint(设备)、Defender for Identity(标识信号)、Defender for Office 365(电子邮件和协作)以及 Defender for Cloud Apps(SaaS/应用活动)的警报。 来自Microsoft Purview(DLP、内部风险、数据分类)、Microsoft Entra ID 保护(标识风险信号)和Defender for Cloud(工作负荷/云状况)的额外信号。 |
输出:向 Microsoft Sentinel 输出关联的警报和事件。 操作:自动跨域响应。 |
| Microsoft Sentinel | Signals:来自Defender XDR、Microsoft Purview、云服务和其他第一方/第三方源的警报、日志、遥测数据。 |
输出:分析、调查和事件。 操作:使用剧本实现自动响应。 |
| 智能 Microsoft Security Copilot 副驾驶® |
信号:来自 Microsoft Sentinel 和 Defender XDR 的事件和警报。 Context:Microsoft Purview 中的敏感数据和内部人员风险相关信息。 Microsoft 安全 风险暴露管理中的风险暴露上下文。 |
输出:调查摘要、建议、AI 驱动的见解。 Actions:通过Microsoft Sentinel和Defender XDR工作流路由的引导响应操作。 |