跳转到主要内容

热门内容

今日:

  • 【数据管理架构】Medallion架构和数据网格
  • 【SAP Leonardo】什么是SAP Leonardo?SAP Leonardo的工作原理。
  • 【数据治理框架】数据治理框架-示例、模板、标准、最佳实践&如何创建数据治理框架?
  • 【网络架构】什么是应用交付控制器(ADC)?
  • 【数据架构】TOGAF建模:数据发布图表
  • 【GAN架构】GAN与transformer模型:比较架构和用途
  • 【前端架构】Angular vs React vs Vue:哪一个是2021年的最佳选择
  • 【数字化供应链】CPRF:协作规划、预测和补充计划:最新进展
  • 【架构框架】ArchiMate视图指南(1):ArchiMate视图及基本视图概览
  • 【安全工具】ModSecurity性能的建议

总体:

  • 【数据集成】用于数据集成的10个最佳开源ETL工具
  • 【管理】热尔韦原理综述
  • 【Java框架】2022 年 17 个流行的 Java 框架:优缺点等
  • 【开源许可】从开源到免费和开源,MinIO现在在GNU AGPLv3许可
  • 【SAP】如何开始使用Sap AFS和Sap FMS。
  • 【数据目录】OpenMetadata与DataHub:比较架构、功能、集成等
  • 【数据治理】开源数据治理-2023年需要考虑的7个最佳工具
  • 【开源合规】使用MySQL许可:开源许可与商业许可
  • 【微服务架构】微服务已死——迷你服务万岁
  • 【SAP GUI】什么是SAP GUI(图形用户界面)以及如何使用它

最近浏览:

  • 【Gen UI】生成式用户界面与结果导向设计的范式革命​
  • 【SCADA】监控和数据采集(SCADA)详述
  • 【安全工具】ModSecurity性能的建议
  • 【容器云】microk8s 介绍
  • 【架构框架】ArchiMate视图指南(1):ArchiMate视图及基本视图概览
  • [数据架构]ECM、DMS、DAM、CMS和FMS之间有什么区别?
  • 【数据治理框架】数据治理框架-示例、模板、标准、最佳实践&如何创建数据治理框架?
  • 【数据架构】TOGAF建模:数据发布图表
  • 【数据管理架构】Medallion架构和数据网格
  • 【前端架构】Angular vs React vs Vue:哪一个是2021年的最佳选择

热门内容

今日:

  • 【数据管理架构】Medallion架构和数据网格
  • 【隐私增强技术】隐私增强技术类型和使用案例
  • 【开源合规】开源软件许可证101:AGPL许可证
  • 【网络架构】什么是应用交付控制器(ADC)?
  • 【知识】DIKW(数据,信息,知识,智慧)金字塔
  • 【架构框架】ArchiMate视图指南(1):ArchiMate视图及基本视图概览
  • 【数据治理框架】数据治理框架-示例、模板、标准、最佳实践&如何创建数据治理框架?
  • 【开源许可】从开源到免费和开源,MinIO现在在GNU AGPLv3许可
  • 【供应链】什么是供应链控制塔?
  • 【GAN架构】GAN与transformer模型:比较架构和用途

总体:

  • 语言和框架
  • 【容器架构】Minikube vs.kind vs.k3s-我应该用哪一个?
  • 【数据集成】用于数据集成的10个最佳开源ETL工具
  • 【Java框架】2022 年 17 个流行的 Java 框架:优缺点等
  • 【技术选型】Keras、TensorFlow和PyTorch的区别
  • 【深度学习】45测试深度学习基础知识的数据科学家的问题(以及解决方案)
  • 【数据架构】什么是实体关系图(ERD)?
  • 【Rust架构】Rust web框架比较
  • 【知识】DIKW(数据,信息,知识,智慧)金字塔
  • 【技术选型】AMQP vs MQTT

最近浏览:

  • 【Gen UI】生成式用户界面与结果导向设计的范式革命​
  • 【生成人工智能】什么是生成人工智能?你需要知道的一切
  • 【SCADA】监控和数据采集(SCADA)详述
  • 【安全工具】ModSecurity性能的建议
  • 【开源许可】从开源到免费和开源,MinIO现在在GNU AGPLv3许可
  • 【容器云】microk8s 介绍
  • 【数据分析】基于仿真的优化
  • 【数据加密】什么是数据加密:类型、算法、技术和方法
  • 【知识】DIKW(数据,信息,知识,智慧)金字塔
  • 【数据架构】谁是数据架构师?角色、职责、技能等

首页
x

Main navigation

  • 主页
  • 数字化 +
    • 数字业务自动化
    • 数字化方案
    • 数字化转型战略
    • 数字化转型治理
    • 数字化运营
    • 数字化客户
      • 客户
    • 数字化研发
      • 研发
    • 数字化制造
    • 数字化生产
    • 数字化供应链
    • 数字化销售
    • 数字化服务
    • 数字化营销
      • 营销
    • 数字化财务
    • 人力资源
    • 数字化法务
  • 企业架构 +
    • 企业安全架构
    • 企业架构框架
    • 方案架构
  • 企业业务架构
  • 企业技术架构
  • 企业应用架构
  • 企业数据架构
  • 数据应用架构 +
    • 主数据架构
    • 大数据架构
    • 数据仓库架构
    • 数据保护
    • 数据库架构
    • 数据建模
    • 数据枢纽架构
    • 数据湖架构
    • 数据编制架构
    • 数据网格架构
    • 数据虚拟化架构
  • 集成架构 +
  • 架构质量 +
  • 软件架构 +
  • 大数据架构 +
    • Hadoop 生态
    • Saprk生态
    • 大数据战略
  • 数据和分析 +
    • 机器学习
    • 数据分析
    • 数据可视化
    • 数据工程
    • 数据战略
    • 数据挖掘
    • 数据科学
    • 商务智能
  • 数据库架构 +
    • MySql架构
    • PostgreSql架构
    • 云数据库
    • 内存数据库
    • 列式数据库
    • 图形数据库
    • 搜索引擎
    • 文档数据库
  • 数据治理
  • 数据管理 +
    • 数据仓库
    • 数据湖
  • 企业合规管理
  • 企业治理 +
  • 企业风险管理
  • 隐私保护
  • 智能转型 +
  • 云计算 +
    • AWS 平台
    • SaaS云
    • Salesforce
    • 云原生
    • 云架构
    • 云治理
    • 云转型战略
    • 容器云
    • 微软云
    • 私有云
  • 人工智能 +
  • 生成式人工智能 +
    • 多模态模型
    • 大视觉模型
    • 大语言模型
    • 大音频模型
  • 万物互联 +
    • 工业控制系统
    • 工业物联网
    • 物联网(IoT)安全
    • 物联网(IoT)架构
    • 物联网战略
    • 边缘计算
  • 元宇宙
  • 区块链 +
  • 安全 +
    • 云安全
    • 安全工具
    • 安全战略
    • 安全运营
    • 应用安全
    • 数据安全
    • 终端安全
    • 网络安全
    • 隐私保护
  • 基础设施 +
  • 软件开发 +
    • 开发管理
    • 需求分析
    • 低代码开发
  • 软件测试 +
  • 软件设计
  • DevOps +
  • 敏捷
  • 项目 +
  • 平台和工具 +
    • DevOps工具
    • 云计算平台
    • 企业事件枢纽
    • 其他工具
    • 分布式平台
    • 大数据平台
    • 应用中间件
    • 开发工具
    • 数据工具
    • 集成平台
  • 语言和框架 +
    • Go语言
    • Javascript开发
    • Java开发
    • Python开发
    • Rust语言
    • TypeScript开发
    • 前端技术和框架
    • 算法和数据结构
  • 硬件和设备 +
  • 产品 +
    • 产品管理
    • 产品设计
  • 技术 +
    • 技术趋势
    • 技术选型
  • 用户体验 +
  • IT管理 +
  • 商业 +
    • 商业模型
    • 商业管理
    • 商业结构
    • 商业计划
    • 商务沟通
    • 创业
      • 创业管理
    • 国际商务
    • 经济
  • 战略 +
  • 管理 +
  • 解决方案
  • 关注
  • 社区
  • 职业
  • 职业和职位 +
  • 咨询服务
  • 微软专栏

【Azure云】Azure威胁评估-使用Microsoft Defender XDR安全服务构建第二层防御

  1. 首页 ⟶
  2. 【Azure云】Azure威胁评估-使用Microsoft Defender XDR安全服务构建第二层防御
Chinese, Simplified
SEO Title
Azure threats assessment - Build the second layer of defense with Microsoft Defender XDR Security services

category

  • 云计算

组织通常使用混合环境,资源在Azure和内部部署上运行。大多数Azure资源,如虚拟机(VM)、Azure应用程序和Microsoft Entra ID,都可以受到在Azure上运行的安全服务的保护。

组织通常还订阅Microsoft 365,为用户提供Word、Excel、PowerPoint和Exchange等在线应用程序。Microsoft 365还提供安全服务,您可以使用这些服务为一些最常用的Azure资源构建额外的安全层。

要考虑使用Microsoft 365的安全服务,了解一些术语并理解Microsoft 365服务的结构是很有帮助的。这五篇文章中的第四篇可以帮助您做到这一点。本文以前几篇文章中涵盖的主题为基础,特别是:

  • 将威胁映射到您的IT环境
  • 使用Azure安全服务构建第一层防御


Microsoft 365和Office 365是基于云的服务,旨在帮助您满足组织对强大安全性、可靠性和用户生产力的需求。Microsoft 365包括Power Automate、Forms、Stream、Sway和Office 365等服务。Office 365包括众所周知的生产力应用程序套件。有关这两项服务的订阅选项的详细信息,请参阅Microsoft 365和Office 365计划选项。

根据您为Microsoft 365获得的许可证,您还可以获得Microsoft 365的安全服务。这些安全服务被称为Microsoft Defender XDR,它提供多种服务:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Defender for Cloud Apps


下图说明了Microsoft 365提供的解决方案和主要服务之间的关系,但并未列出所有服务。

作为Microsoft 365一部分的服务和产品的图表。


潜在用例


人们有时会对微软365安全服务及其在IT网络安全中的作用感到困惑。主要原因是名称彼此相似,包括一些在Azure上运行的安全服务,如Microsoft云卫士(以前称为Azure安全中心)和云应用程序卫士(以前也称为Microsoft云应用程序安全)。

但混淆的不仅仅是术语。有些服务提供类似的保护,但针对不同的资源,如身份卫士和Azure身份保护。这两种服务都为身份服务提供保护,但身份卫士保护本地身份(通过Active Directory域服务,基于Kerberos身份验证),而Azure身份保护保护云中身份(通过Microsoft Entra ID,基于OAuth身份验证)。

这些示例表明,如果您了解Microsoft 365安全服务的工作方式以及与Azure安全服务相比的差异,您就能够以有效的方式规划您在Microsoft云中的安全战略,并仍然为您的IT环境提供良好的安全态势。这就是本文的目的。

下图展示了一个真实的用例,您可以在其中考虑使用Microsoft Defender XDR安全服务。该图显示了需要保护的资源。在环境中运行的服务显示在顶部。一些潜在的威胁显示在底部。Microsoft Defender XDR服务处于中间位置,保护组织的资源免受潜在威胁。

显示威胁、攻击顺序、目标资源以及可以提供保护的Microsoft Defender XDR服务的图表。


架构


下图显示了一个标记为DEFENDER的层,该层表示Microsoft DEFENDER XDR安全服务。将这些服务添加到您的IT环境中可以帮助您为环境建立更好的防御。Defender层中的服务可以与Azure安全服务一起使用。

服务、威胁和安全服务的示意图,您可以配置这些服务、威胁或安全服务来保护IT环境中的资源。

Diagram of services, threats, and the security services that you can configure to provide protection to the resources in your I T environment.

Download a Visio file of this architecture.

 

流


Microsoft Defender for Endpoint

Defender for Endpoint可保护企业中的端点,旨在帮助网络预防、检测、调查和响应高级威胁。它为在Azure和本地运行的虚拟机创建了一层保护层。有关它可以保护的内容的详细信息,请参阅Microsoft Defender For Endpoint。

用于云应用程序的Microsoft Defender

Defender for Cloud Apps原名Microsoft Cloud Application Security,是一款支持多种部署模式的云访问安全代理(CASB)。这些模式包括日志收集、API连接器和反向代理。它提供了丰富的可见性、对数据传输的控制和复杂的分析,以识别和打击所有Microsoft和第三方云服务中的网络威胁。它为云应用程序,甚至为一些在本地运行的应用程序提供保护和风险缓解。它还为访问这些应用程序的用户提供了一个保护层。有关详细信息,请参阅Microsoft Defender For Cloud Apps概述。

重要的是不要将Defender for Cloud Apps与Microsoft Defender for Cloud混淆,后者提供在Azure、内部部署和其他云中运行的服务器、应用程序、存储帐户和其他资源的安全态势的建议和分数。Defender for Cloud整合了以前的两个服务,Azure安全中心和Azure Defender。

Microsoft Defender for Office 365

Defender for Office 365可保护您的组织免受电子邮件、链接(URL)和协作工具带来的恶意威胁。它为电子邮件和协作提供保护。根据许可证的不同,您可以添加违规后调查、搜寻和响应,以及自动化和模拟(用于培训)。有关许可选项的详细信息,请参阅Microsoft Defender For Office 365安全概述。

Microsoft Defender for Identity

Defender for Identity是一种基于云的安全解决方案,它使用您的本地Active Directory信号来识别、检测和调查针对您的组织的高级威胁、泄露的身份和恶意内部操作。它保护在本地运行的Active Directory域服务(AD DS)。即使该服务在云上运行,它也能在本地保护身份。Defender for Identity以前名为Azure Advanced Threat Protection。有关详细信息,请参阅什么是Microsoft Defender For Identity?

如果您需要保护由Microsoft Entra ID提供并在云上本地运行的身份,请考虑Microsoft Entra IDProtection。

Microsoft Endpoint Manager

Endpoint Manager为云服务、本地服务和Microsoft Intune提供服务,允许您控制Android、Android Enterprise、iOS、iPadOS、macOS、Windows 10和Windows 11设备上的功能和设置。它与其他服务集成,包括:

  • Microsoft Entra ID.
  • Mobile threat defenders.
  • Administrative (ADMX) templates.
  • Win32 apps.
  • Custom line-of-business apps.


Endpoint Manager的另一项服务是Configuration Manager,这是一种本地管理解决方案,允许您管理网络上直接或通过互联网连接的客户端和服务器计算机。您可以启用云功能,将Configuration Manager与Intune、Microsoft Entra ID、Defender for Endpoint和其他云服务集成。使用它可以部署应用程序、软件更新和操作系统。您还可以监视法规遵从性、查询对象、实时处理客户端等等。要了解所有可用的服务,请参阅Microsoft Endpoint Manager概述。

示例威胁的攻击顺序


图中命名的威胁遵循常见的攻击顺序:

  1. 攻击者发送带有恶意软件的钓鱼电子邮件。
  2. 最终用户打开附加的恶意软件。
  3. 恶意软件在用户没有注意到的情况下安装在后端。
  4. 安装的恶意软件窃取了一些用户的凭据。
  5. 攻击者使用凭据访问敏感帐户。
  6. 如果凭据提供对具有提升权限的帐户的访问权限,则攻击者会危害其他系统。

该图还显示了标记为DEFENDER的层中,Microsoft DEFENDER XDR服务可以监视和减轻这些攻击。这是一个Defender如何提供额外的安全层的示例,该安全层与Azure安全服务协同工作,以提供对图中所示资源的额外保护。有关潜在攻击如何威胁IT环境的更多信息,请参阅本系列的第二篇文章,将威胁映射到您的IT环境。有关Microsoft Defender XDR的详细信息,请参阅Microsoft Defender XDR。

访问和管理Microsoft Defender XDR安全服务


目前,您可能需要使用多个门户来管理Microsoft Defender XDR服务。然而,微软正在尽可能集中功能。下图显示了当前可用的门户以及它们之间的关系。

显示门户与服务的当前关系的图表。

Security.microsoft.com是目前最重要的门户网站,因为它提供了microsoft Defender for Office 365(1)和Defender for Endpoint(2)的功能。然而,截至2022年3月,您仍然可以访问protection.office.com以获取有关office 365(3)的安全功能。对于Endpoint的Defender,如果您尝试访问旧门户securitycenter.windows.com,则会重定向到security.microsoft.com上的新门户(7)。

portal.cloudappsecurity.com的主要用途是管理(4)云应用程序的Defender。它允许您管理云应用程序和一些本地运行的应用程序,管理未经授权的应用程序(影子It),并审查身份保护的用户信号。您还可以使用此门户管理(5)内部身份保护中的许多信号和功能,这使您可以在(4)云应用卫士门户上整合(6)portal.atp.azure.com中的许多功能。但是,如果需要,您仍然可以访问(6)portal.atp.azure.com。

最后,endpoint.microsoft.com主要为Intune和Configuration Manager提供功能,也为endpoint Manager中的其他服务提供功能。由于security.microsoft.com和endpoint.microsoftcom为端点提供安全保护,它们之间有许多交互(9),为端点提供了良好的安全态势。

组件


本文中的示例体系结构使用以下Azure组件:

  1. Microsoft Entra ID是一种基于云的身份和访问管理服务。Microsoft Entra ID可帮助您的用户访问外部资源,如Microsoft 365、Azure门户和数千个其他SaaS应用程序。它还可以帮助他们访问内部资源,如企业内部网上的应用程序。
  2. Azure虚拟网络是Azure中私有网络的基本构建块。虚拟网络使许多类型的Azure资源能够安全地相互通信、互联网和本地网络。虚拟网络提供了一个虚拟网络,该网络受益于Azure的基础设施,如规模、可用性和隔离。
  3. Azure负载平衡器是一种高性能、低延迟的第4层负载平衡服务(入站和出站),适用于所有UDP和TCP协议。它的构建旨在每秒处理数百万个请求,同时确保您的解决方案具有高可用性。Azure负载平衡器是区域冗余的,可确保跨可用性区域的高可用性。
  4. 虚拟机是Azure提供的几种按需、可扩展的计算资源之一。Azure虚拟机(VM)为您提供了虚拟化的灵活性,而无需购买和维护运行它的物理硬件。
  5. Azure Kubernetes服务(AKS)是一种完全托管的Kubernets服务,用于部署和管理容器化应用程序。AKS提供无服务器Kubernetes、持续集成/持续交付(CI/CD)以及企业级安全和治理。
  6. Azure虚拟桌面是一种在云上运行的桌面和应用程序虚拟化服务,为远程用户提供桌面。
  7. Web应用程序是一种基于HTTP的服务,用于托管Web应用程序、REST API和移动后端。您可以使用自己喜欢的语言进行开发,应用程序可以在基于Windows和Linux的环境中轻松运行和扩展。
  8. Azure存储是云中各种数据对象的高可用性、大规模可扩展性、持久性和安全存储,包括对象、blob、文件、磁盘、队列和表存储。写入Azure存储帐户的所有数据都由该服务加密。Azure存储为您提供了对谁有权访问您的数据的细粒度控制。
  9. Azure SQL数据库是一个完全管理的PaaS数据库引擎,它处理大多数数据库管理功能,如升级、修补、备份和监控。它在没有用户参与的情况下提供这些功能。SQL数据库提供了一系列内置的安全和法规遵从性功能,以帮助您的应用程序满足安全和法规要求。


Next steps

  • Defend against threats with Microsoft 365
  • Detect and respond to cyber attacks with Microsoft Defender XDR
  • Get started with Microsoft Defender XDR
  • Implement threat intelligence in Microsoft 365
  • Manage security with Microsoft 365
  • Protect against malicious threats with Microsoft Defender for Office 365
  • Protect on-premises identities with Microsoft Defender for Cloud for Identity

Related resources

For more details about this reference architecture, see the other articles in this series:

  • Part 1: Use Azure monitoring to integrate security components
  • Part 2: Map threats to your IT environment
  • Part 3: Build the first layer of defense with Azure Security services
  • Part 5: Integration between Azure and Microsoft Defender XDR security services
 
 

本文地址
https://architect.pub
  • 登录 发表评论
  • 5 次浏览
发布日期
星期六, June 8, 2024 - 21:50
最后修改
星期六, June 8, 2024 - 21:50

Tags

  • Azure安全
  • Azure架构
  • Azure
  • 云计算
  • 云计算安全
Article
Read more

最新内容

  • 【DeepSeek】如何为自定义数据集微调DeepSeek-R1(一步一步)
    3 days 9 hours ago
  • 【UI开发】为AI应用程序构建UI的3个最佳Python框架
    1 week 4 days ago
  • 【前端开发】🚀🔥 改变编码方式的10个前端开发AI助手
    1 week 5 days ago
  • 【前端开发】生成式AI革新前端开发:传统开发模式的颠覆
    1 week 5 days ago
  • 【CNN架构】解释不同类型的CNN架构:示例
    1 week 5 days ago
  • 【信息设计】设计模式指南:学习指南
    1 week 5 days ago
  • 【设计思维】什么是设计思维?
    1 week 5 days ago
  • 【Gen UI】生成式用户界面与结果导向设计的范式革命​
    1 month ago
  • 测试Bolt.new:开发者亲测AI应用构建工具​
    1 month ago
  • 生成式用户界面(Gen UI)是什么?它重要吗?
    1 month ago

网站备案号:京ICP备2022026098号-2

友情链接

  • CPO宝典
  • 全球IT瞭望
  • 开发者开聊
  • 智能化转型智库
  • 架构师研究会

知识星球

知识星球:首席架构师圈

 

抖音直播

抖音:cea_cio(超级架构师)
干货直播,干货分享

 

微信小号

超级架构师
超级架构师小号:加群,私聊

 

微信公众号

超级架构师公众号

 

QQ群:超级架构师

QQ Group

Tags

Tags

  • Azure安全
  • Azure架构
  • Azure
  • 云计算
  • 云计算安全
© 2025 架构师研究会, All rights reserved.
↑