Microsoft安全服务

本文介绍了Microsoft安全服务及其如何协同工作,以跨 技术支柱(包括标识、设备、应用程序、数据、AI 和基础结构)提供保护。

新式企业安全性从基于外围的保护转移到标识驱动的云集成模型。 组织必须在混合和多云环境中保护用户、设备、应用程序和数据,同时持续适应不断演变的威胁。

Microsoft提供了一组集成的基于云的服务,它们协同工作,共享信号、应用一致的策略、强制实施控制以及在整个环境中协调检测和响应。

安全性成果

集成Microsoft安全性提供以下结果:

  • 统一信号可见性:在标识、设备、应用程序、数据和基础结构之间持续收集和集中遥测,并转换为集中式可操作信号。
  • 标识驱动的决策:访问和执行决策基于标识、设备状态、风险信号和会话上下文。
  • 一致性实施:零信任控制措施在访问时和使用过程中统一应用于终端、云服务和应用程序。
  • 集成检测和响应:信号和警报跨域关联,以检测和响应作为统一操作的威胁。
  • 持续验证和改进:检测和风险信号反馈到策略决策中,以随着时间的推移加强保护。

核心安全服务

核心安全服务涵盖多个技术支柱,每个支柱都跨平台提供信号、上下文和强制实施。

支柱
主要服务
Protection 主门户
身份验证和访问

Microsoft Entra

Microsoft Defender for Identity。
Microsoft Entra控制用户、工作负载和应用程序的访问。 它会评估标识、设备和会话信号,以做出访问决策。

Defender for Identity 监控混合身份基础结构,用于检测攻击。
Microsoft Entra 管理中心

Microsoft Defender 门户
设备/终结点

Microsoft Defender for Endpoint (微软终端防护)

Microsoft Intune
Defender for Endpoint 收集终结点遥测数据并检测威胁。
Microsoft Intune评估设备符合性并强制实施策略。
Microsoft Defender 门户

Microsoft Intune 管理中心
电子邮件和协作

适用于 Office 365 的 Defender
保护Exchange和协作服务(Microsoft Teams、SharePoint、OneDrive)免受恶意软件、恶意链接/附件和业务电子邮件泄露的影响。 Microsoft Defender 门户
数据

Microsoft Purview
跨终结点和云服务强制实施数据保护和数据丢失防护(DLP)策略。 Microsoft Purview 门户
基础结构/云工作负载

Microsoft Defender for Cloud
改进安全态势,并跨云和混合工作负荷提供威胁检测。 Microsoft Azure 门户
Microsoft Defender 门户
Networks

Azure 网络服务
分段和保护网络。 Microsoft Azure 门户
SaaS/云应用

微软云应用防护 (Microsoft Defender for Cloud Apps)
提供云应用使用情况的可见性,并监视用户活动以检测风险行为。 Microsoft Defender 门户
状况/风险

Microsoft 安全风险管理
识别、确定优先级并降低身份、设备、云资源和应用程序中的暴露风险。 Microsoft Defender 门户
威胁检测/响应

Microsoft Defender XDR
关联 Defender 各项服务中的信号,并生成用于调查和响应的统一事件。 Microsoft Defender 门户
安全操作

Microsoft Sentinel
聚合来自Microsoft和第三方源的遥测数据,以便集中分析、调查和响应。 Microsoft Azure 门户
Microsoft Defender 门户
开发人员/应用安全性

Defender for DevOps(Defender for Cloud 中)
GitHub Advanced Security
保护代码、依赖项和生成管道,并跨 DevOps 工作流强制实施安全治理。 Microsoft Defender 门户
GitHub接口

网络保护服务

下表总结了Azure网络功能,以及它们如何直接与其他安全服务集成。 服务在 Microsoft Azure 门户 中配置。

服务 Protection 集成
Azure 防火墙 强制实施 IP、端口和应用程序规则来控制子网、Internet 和本地网络之间的入站和出站流量。 使用Microsoft威胁情报来阻止已知的恶意流量。 Defender for Cloud评估配置状况。

诊断日志引入到Azure Monitor/Log Analytics中,并通过Microsoft Sentinel进行分析,以便进行检测和关联。
Azure DDoS 防护 缓解流量型、协议和应用层攻击。 保护虚拟网络(VNet)中面向 Internet 的资源免受大规模洪水攻击。 指标和攻击遥测数据引入到Azure Monitor/Log Analytics中,可在Microsoft Sentinel中进行分析。

Defender for Cloud提供姿势建议。
Azure VNet 为Azure资源提供网络隔离、分段和专用 IP 寻址。 启用服务之间的受控连接。 Defender for Cloud 评估配置状态,包括诸如公共访问路径之类的暴露情况。
网络安全组 (NSG) 使用允许/拒绝规则筛选子网和网络接口级别的流量。 将非所需流量限制为资源。 可以在 Microsoft Sentinel 中分析 NSG 流日志(通过 Azure Monitor),以实现流量可视化和检测。

Defender for Cloud 评估 NSG 规则的配置。
Azure Web 应用程序防火墙 (WAF) 使用 OWASP 规则集保护 HTTP/HTTPS 应用程序。 帮助防止常见的 Web 攻击,例如 SQL 注入和跨站点脚本(XSS)。 WAF 日志引入到 Azure Monitor/Log Analytics 中,并通过Microsoft Sentinel进行分析。

Defender for Cloud 会评估 WAF 配置态势。
Azure Front Door 为具有路由、加速和边缘安全功能的 Web 应用程序提供全局入口点。 与 WAF 集成,以便进行应用程序保护。 诊断日志(Front Door/WAF)将引入到Log Analytics并通过Microsoft Sentinel进行分析。

Defender for Cloud评估配置状况。
Azure 应用程序网关 通过内置的 Web 应用程序防火墙功能提供区域负载均衡,以保护和路由应用程序流量。 访问日志和 WAF 日志将引入Log Analytics并通过Microsoft Sentinel进行分析。

Defender for Cloud评估配置状况和曝光设置。
Azure VPN 网关 在本地环境和 Azure VNet 之间提供加密的 IPsec/IKE 连接。 保护通过公用网络传输的数据。 连接日志和隧道日志引入Log Analytics,可在Microsoft Sentinel中进行分析。

Defender for Cloud评估配置状况,包括加密设置。
Azure ExpressRoute 通过Microsoft主干提供本地环境和Azure之间的专用专用连接,避免使用公共 Internet。 操作遥测(如 BGP、线路状态)可通过Azure Monitor提供,可在Microsoft Sentinel中进行分析。

Defender for Cloud 评估高级别配置态势。
Azure Bastion 通过浏览器提供对虚拟机的安全 RDP 和 SSH 访问,无需公开公共 IP。 诊断日志引入到Log Analytics中,并通过Microsoft Sentinel进行分析。

Defender for Cloud 会评估精简版 VM,但不会直接评估 Azure Bastion 配置。
Azure 专用链接 通过使用专用 IP 地址,为 Azure PaaS 服务和客户服务提供专用连接,从而避免公网暴露。 服务级别日志(针对通过 专用链接 访问的服务,例如 Storage、SQL 和 密钥保管库)会被引入到 Log Analytics 中,并由 Microsoft Sentinel 进行分析。

Defender for Cloud评估专用链接是否用于减少曝光。
Azure 网络观察程序 提供跨Azure资源的网络诊断、监视和流级可见性。 NSG 流日志和诊断引入到Log Analytics中,可在Microsoft Sentinel中进行分析。

Defender for Cloud 会评估 NSG 设置等基础资源配置状态,而不是直接评估网络观察程序。

安全工作流

安全服务作为连续管道运行。 信号会持续收集、评估、强制执行,并用于驱动检测和响应。

Pipeline Action 密钥活动
阶段 1:信号收集 安全服务跨标识、设备、应用程序和基础结构生成遥测数据。 - Defender for Endpoint 收集设备遥测数据。
- Microsoft Intune 评估设备合规性。
- Defender for Identity 监控本地环境中的身份活动。
- Defender for Cloud Apps 监控 SaaS 活动。
- Defender for Cloud监视基础结构/工作负荷配置和活动。
阶段 2:策略决策 评估信号以确定访问条件和控制操作。 Microsoft Entra 条件访问评估标识风险、设备信任、位置和会话上下文。
阶段 3:控制强制实施 安全控制跨标识、设备、会话、数据和网络层应用。 强制执行点包括:
- 条件访问(MFA/限制)
- Intune (设备合规性)
-Defender for Cloud Apps(会话控制)
- Microsoft Purview (DLP)
- Azure网络(连接限制)。
阶段 4:检测和响应 信号和警报与检测、调查和修正威胁相关。 Microsoft Defender XDR将所有Defender产品中的信号关联到统一事件中。

Microsoft Sentinel 可在整个环境中集中管理日志、事件、威胁搜寻以及安全编排、自动化和响应 (SOAR),包括第三方数据源。
反馈循环 检测结果反馈到策略决策中,以持续改进保护。 风险和威胁信号可通知实时策略更新,实现自适应和自动保护。

安全服务集成

Microsoft 安全服务通过多个协同运行、构成统一管道的流程实现集成,形成持续的防护体系。

  • 信号(遥测) 跨标识、设备、应用程序和其他资源捕获活动。
  • 上下文(标识、设备状况和数据分类) 丰富了信号,以提高准确性和决策能力。
  • 策略 根据评估的条件定义允许或阻止的访问。
  • 操作 通过自动化控制和响应强制执行决策。

随着信号在平台中移动,它们被扩充、根据策略进行评估,并采取行动,从而创建一个持续的保护和响应周期。

服务集成方式

下表总结了安全服务如何使用每个输出中的信号和上下文,以及它们输出和操作的内容。

服务 消耗 输出
Microsoft Entra ID 信号:身份验证活动(登录、风险事件)。 来自 Microsoft Intune 的设备合规性状态。

上下文:Defender for Endpoint 中用于访问决策的设备上下文。 来自 Defender for Cloud Apps 的用于访问决策的会话上下文。
操作:条件访问决策(允许、阻止、限制、需要控制)。
Microsoft Intune 信号:托管设备清单、运行状况、符合性状态。

Context:源自 Microsoft Entra ID 的身份关联。
输出:Microsoft Entra ID 的设备合规性态势。 将设备审核日志发送到 Microsoft Sentinel
Microsoft Purview Signals:跨 Microsoft 365、SaaS 应用和本地系统的企业数据。

上下文:数据分类(敏感度标签、内容检查、用户活动)。
输出:向 Defender XDR 输出内部风险和数据丢失防护 (DLP) 警报。 将合规性和审核日志发送到 Microsoft Sentinel。

操作:跨终结点 (Defender for Endpoint) 和会话 (Defender for Cloud Apps) 的 DLP 强制执行。
终端防护软件 信号:终结点遥测(进程、文件、网络活动)。

Context:Microsoft Entra ID(身份上下文)。 Microsoft Intune(设备态势)。 Microsoft Purview(DLP 策略)。
输出:发送到 Defender XDR 和 Microsoft Sentinel 的终结点警报和遥测数据。

操作:终端强制措施(设备隔离、阻断、修复)。
Defender for Identity Signals:Active Directory标识信号。 输出:将身份威胁警报发送到 Defender XDR 和 Microsoft Sentinel。
Defender for Cloud Apps 信号:SaaS 应用活动(云使用情况)。 来自 Defender for Endpoint 的网络和影子 IT 遥测数据。

Context:来自Microsoft Entra ID的会话和身份验证上下文。 来自Microsoft Purview的 DLP 策略。
输出:将云应用警报输出到 Defender XDR 和 Microsoft Sentinel。

操作:会话强制实施(阻止、监视、限制访问)。
Defender for Cloud Signals:来自Azure的资源操作信息。 来自 Defender for Endpoint 的服务器/工作负载遥测数据。

上下文:资源配置和状况。
输出:发送到 Defender XDR 和 Microsoft Sentinel 的安全警报和安全态势洞察。
Microsoft安全暴露管理 Signals:来自 Defender for Endpoint 的设备风险评分。 来自 Defender for Cloud 的云资源清单、安全态势、暴露情况和攻击面发现结果。 来自 Microsoft Entra 的身份清单和风险信号。 来自Defender for Cloud Apps的 SaaS 应用清单、风险和使用情况上下文。

上下文:统一的暴露和风险关联。
输出:发送到 Microsoft XDR 和 Microsoft Sentinel 的暴露见解和风险相关性。
Defender XDR Signals:来自 Defender for Endpoint(设备)、Defender for Identity(标识信号)、Defender for Office 365(电子邮件和协作)以及 Defender for Cloud Apps(SaaS/应用活动)的警报。 来自Microsoft Purview(DLP、内部风险、数据分类)、Microsoft Entra ID 保护(标识风险信号)和Defender for Cloud(工作负荷/云状况)的额外信号。 输出:向 Microsoft Sentinel 输出关联的警报和事件。

操作:自动跨域响应。
Microsoft Sentinel Signals:来自Defender XDR、Microsoft Purview、云服务和其他第一方/第三方源的警报、日志、遥测数据。 输出:分析、调查和事件。

操作:使用剧本实现自动响应。
智能 Microsoft Security Copilot 副驾驶® 信号:来自 Microsoft Sentinel 和 Defender XDR 的事件和警报。

Context:Microsoft Purview 中的敏感数据和内部人员风险相关信息。 Microsoft 安全 风险暴露管理中的风险暴露上下文。
输出:调查摘要、建议、AI 驱动的见解。

Actions:通过Microsoft Sentinel和Defender XDR工作流路由的引导响应操作。

后续步骤