通过

Microsoft Defender

  • 项目

零信任

FastTrack 提供有关实施零信任安全原则的全面指导。 零信任模型假定存在漏洞,并会验证每个请求,就好像请求是源自不受控制的网络一样。 此方法可确保跨网络、应用程序和环境提供可靠的安全性。 FastTrack 通过专注于标识、设备、应用程序、数据、基础结构和网络来实现这一点。 借助 FastTrack,你可以自信地推进零信任安全之旅,并有效地保护数字资产。

借助 Microsoft Defender,可以通过提供扩展的检测和响应 (XDR) 功能来实现零信任原则。 这包括自动收集、关联和分析来自 Microsoft 365 环境(包括终结点、电子邮件、应用程序和标识)的信号、威胁和警报数据。 通过与 Microsoft Sentinel 集成,可以创建全面的 XDR 和安全信息与事件管理, (SIEM) 解决方案来增强组织的安全态势。

Microsoft Defender XDR

Microsoft Defender XDR是一个统一的入侵前和入侵后企业防御套件。 Defender XDR跨终结点、标识、电子邮件和应用本机协调检测、预防、调查和响应,以提供针对复杂攻击的集成保护。

FastTrack 提供远程指南:

  • 提供Microsoft Defender门户的概述。
    • 提供跨产品事件的概述,包括通过确保完整的攻击范围、受影响的资产和组合在一起的自动修正操作来专注于关键事件。
    • 演示Microsoft Defender XDR如何协调资产、用户、设备和邮箱的调查,这些资产、用户、设备和邮箱通过自动自我修复而遭到入侵。
    • 说明并提供客户如何主动搜寻跨多个数据集影响电子邮件、数据、设备和帐户的入侵尝试和违规活动的示例。
    • 向客户展示如何使用安全分数Microsoft整体查看和改进其安全状况。
  • 提供有关统一安全操作平台的教育和配置指南
    • 连接Sentinel工作区
    • 查看 Defender 门户中的以下功能。
      • 搜索
      • 威胁管理
      • 内容管理
      • 配置
  • 提供有关Defender XDR攻击中断功能的教育和配置指南。

注意

对于使用安全计算单元 (SCU) 预配的客户,FastTrack 提供了本主题所涵盖范围内Microsoft Defender体验中的嵌入式Microsoft Copilot演练。

超出范围

  • 部署指南或有关以下内容的教育:
    • 如何修正或解释各种警报类型和监视的活动。
    • 如何调查用户、计算机、横向移动路径或实体。
    • 自定义威胁搜寻。
  • 安全信息和事件管理 (SIEM) 或 API 集成。
  • 预览功能。

Microsoft高级部署指南

Microsoft为客户提供技术和指导,以协助部署Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。

对于非 IT 管理员,请参阅 Microsoft 365 安装程序

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps是一种多用途软件即服务 (SaaS) 安全解决方案。 它结合了 SaaS 安全态势管理、数据丢失防护、应用到应用保护和集成威胁防护,以确保应用的全面覆盖。 通过采用 SaaS 安全方法,可以轻松识别错误配置。 这可改善整体应用状况,实施策略以保护敏感数据,并保护应用到应用方案,以确保只有应用具有访问其他应用数据的可接受权限。 在本机集成到Microsoft Defender XDR时,像你这样的组织受益于使用 SaaS 的信号来主动搜寻其环境,并跨应用、设备、标识和电子邮件应对事件。

FastTrack 提供远程指南:

  • 配置门户,包括:
    • 导入用户组。
    • 管理管理员访问权限和设置。
    • 确定部署范围以选择要监视或从监视中排除的特定用户组。
    • 如何设置 IP 范围和标记。
    • 使用徽标和自定义消息个性化最终用户体验。
  • 集成第一方服务,包括:
    • Microsoft Defender for Endpoint。
    • Microsoft Defender for Identity。
    • Microsoft Entra ID 保护。
    • Microsoft Purview 信息保护。
  • 使用设置云发现:
    • 终结点的Microsoft Defender。
    • Zscaler。
    • iboss。
  • 创建应用标记和类别。
  • 根据组织的优先级自定义应用风险分数。
  • 批准和取消批准应用。
  • 查看Defender for Cloud Apps和 Cloud Discovery 仪表板。
  • 启用应用治理。
    • 引导客户浏览概述页,并创建最多 5 (5 个) 应用治理策略。
  • 使用应用连接器连接特色应用。
  • 在 Microsoft Entra ID 和 Defender for Cloud Apps 门户中的条件访问中使用条件访问应用控制保护应用。
  • 为特色应用部署条件访问应用控制。
  • 查看针对可用应用的安全功能分数建议中的 SaaS 安全态势管理 (SSPM) 功能。
  • 使用活动和文件日志。
  • 管理 OAuth 应用。
  • 查看和配置策略模板。
  • 为顶级 SaaS 用例提供配置帮助 (包括创建或更新多达 6 个 (6 个) 策略) 。
  • 了解Microsoft Defender门户中的事件关联。

超出范围

  • 讨论Defender for Cloud Apps与其他 Cloud Access Security Broker (CASB) 或 SaaS 安全产品/服务进行比较。
  • 配置Defender for Cloud Apps以满足特定的合规性或法规要求。
  • 将服务部署到非生产测试环境。
  • 部署云应用发现作为概念证明。
  • 使用 Docker 或日志收集器为连续报表设置自动日志上传的基础结构、安装或部署。
  • 创建 Cloud Discovery 快照报表。
  • 使用块脚本阻止应用使用。
  • 将自定义应用添加到 Cloud Discovery。
  • 使用条件访问应用控制连接自定义应用。
  • 为任何应用载入和部署条件访问应用控制。
  • 与第三方标识提供者集成 (IdP) 和数据丢失防护 (DLP) 提供程序。
  • 有关高级搜寻的培训或指导。
  • 自动调查和修正,包括Microsoft Power Automate playbook。
  • SIEM 或 API 集成 (包括Microsoft Sentinel) 。

Microsoft高级部署指南

Microsoft为客户提供技术和指导,以协助部署Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。

对于非 IT 管理员,请参阅 Microsoft 365 安装程序

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint是一个平台,旨在帮助企业网络预防、检测、调查和响应高级威胁。

FastTrack 提供远程指南:

  • 评估操作系统版本和设备管理方法 (包括Microsoft Intune、Microsoft终结点Configuration Manager、组策略和第三方配置) 以及终结点安全软件的状态。
  • 使用 Microsoft Defender for Endpoint P1 和 P2 加入:
    • 本地脚本。
    • 组策略。
    • Intune。
    • Configuration Manager。
    • Defender for Endpoint 安全设置管理。
  • 为Microsoft流量通过代理和防火墙提供建议的配置指南,限制无法直接连接到 Internet 的设备的网络流量。
  • 通过说明如何使用受支持的管理方法之一 (EDR) 代理配置文件部署终结点检测和响应来启用 Defender for Endpoint 服务。
  • 以下方面的部署指南、配置帮助和教育:
    • 漏洞管理核心功能。
    • 攻击面减少功能,包括:
      • 攻击面减少规则。
      • 受控文件夹访问权限。
      • 可移动媒体设备的设备控制。
      • 网络保护。
    • 新一代保护。
    • 终结点检测和响应。
    • 自动调查和修复。
    • 设备的安全功能分数。
    • 使用 Intune Microsoft Defender SmartScreen 配置。
    • 设备发现。1
  • 查看模拟和教程 (,例如练习方案、虚假恶意软件和自动调查) 。
  • 报告和威胁分析功能概述。
  • 将Microsoft Defender for Office 365、Microsoft Defender for Identity和Defender for Cloud Apps与 Defender for Endpoint 集成。
  • 执行Microsoft Defender门户的演练。
  • 载入和配置以下操作系统:
    • Windows 10/11,包括Windows 365云电脑。
    • Windows Server 2012 R2。阿拉伯数字
    • Windows Server 2016。阿拉伯数字
    • Windows Server 2019.2
    • Windows Server 2022.2
    • Windows Server 2019 核心版。阿拉伯数字
    • 支持的 macOS 版本。
    • 支持的 Linux 服务器分发版。
    • 人造人。3
    • iOS。3

1 仅支持设备发现的某些方面。 有关详细信息,请参阅以下 范围外 部分。

2 Windows Server 2012 R2 和 2016 支持仅限于加入和配置统一代理。

3 有关详细信息,请参阅以下范围 部分,了解移动威胁防御详细信息。

超出范围

  • 预览版功能的载入和启用指南。
  • 排查参与期间遇到的问题 (包括无法载入) 的设备。 FastTrack 指导客户Microsoft 支持部门寻求帮助。
  • 支持Microsoft Defender 商业版。
  • 使用 Azure Arc 载入 Defender for Endpoint。
  • 以下 Defender for Endpoint 代理的载入或配置:
    • Windows Server 2008。
    • Defender for Endpoint 不支持 Linux 分发版。
    • 使用自定义内核的 Linux 实例。
    • 适用于 Linux 的 Windows 子系统 (WSL) 。
    • 虚拟桌面基础结构 (VDI) (持久性或非持久性) ,包括 Azure 虚拟桌面和第三方 VDI 解决方案。
  • 服务器载入和配置。
    • 为脱机通信配置代理服务器。
    • 在下层Configuration Manager实例和版本上配置Configuration Manager部署包。
    • 服务器不是由 Configuration Manager 或 Defender for Endpoint 安全设置管理管理的。
    • 将 Defender for Endpoint 与 Microsoft Defender for Servers (Microsoft Defender for Cloud) 集成。
  • Linux 服务器载入和配置。
    • 任何非Microsoft系统管理工具或产品的规范性协助 (包括开发与其关联的配置文件) ,包括:
      • 厨师
      • 木偶。
      • Ansible。
      • Saltstack。
    • FastTrack 尽可能向客户推荐适用的技术指南。
  • macOS 载入和配置。
    • 基于 JAMF 的部署。
    • 其他移动设备管理 (MDM) 基于产品的部署。
    • 手动部署。
  • android 和 iOS) (移动威胁防御加入和配置。
    • 非托管自带设备 (BYOD) 或其他企业移动管理系统管理的设备。
    • 设置应用保护策略 (,例如移动应用管理 (MAM) ) 。
    • Android 设备管理员注册的设备。
    • 帮助多个 VPN 配置文件共存。
    • 将设备载入到Intune。 有关载入帮助的详细信息,请参阅Microsoft Intune
  • 配置以下攻击面减少功能:
    • 基于硬件的应用程序和浏览器隔离 (包括应用程序防护) 。
    • 应用程序控制,包括 AppLocker 和 Windows Defender 应用程序控制。
    • 以下设备控制功能:
      • 设备安装限制。
      • 数据保护。
      • 存储。
      • Windows Portable Devices (WPD) 可移动存储访问。
      • 连接。
      • 蓝牙。
      • 直接内存访问 (DMA) 防护。
    • Exploit Protection。
    • 网络和终结点防火墙。
  • 配置或管理帐户保护功能,例如:
    • Credential Guard。
    • 本地用户组成员身份。
  • BitLocker 的配置或管理。

注意

有关 Windows 11 的 BitLocker 帮助的信息,请参阅 Windows 11

  • 配置或管理网络设备发现。
  • 配置或管理以下设备发现功能:
    • 载入不在 FastTrack (范围内的非托管设备,例如 Linux) 。
    • 配置或修正物联网 (IoT) 设备,包括通过 Defender for IoT 对 IoT 设备的漏洞评估。
    • 与第三方工具集成。
    • 设备发现的排除项。
    • 初步网络帮助。
    • 排查网络问题。
  • 攻击模拟 (包括渗透测试) 。
  • 注册或配置 Microsoft 威胁专家。
  • API 或 SIEM 连接的配置或培训指南。
  • 有关高级搜寻的培训或指导。
  • 有关使用或创建 Kusto 查询的培训或指导。
  • 有关使用 组策略 对象 (GPO) 、Windows 安全中心 或 Microsoft Edge 的 Defender SmartScreen 配置的培训或指南。
  • Defender 漏洞管理加载项。
  • Defender 漏洞管理独立。

请联系 Microsoft合作伙伴 获取这些服务的帮助。

Microsoft高级部署指南

Microsoft为客户提供技术和指导,以协助部署Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。

对于非 IT 管理员,请参阅 Microsoft 365 安装程序

Microsoft Defender for Identity

Microsoft Defender for Identity是基于云的安全解决方案。 它使用本地 Active Directory 信号来确定、检测和调查针对组织的高级威胁、被盗用的标识和内部人员恶意操作。

FastTrack 提供远程指南:

  • 运行大小调整工具进行资源容量规划。
  • 创建 Defender for Identity 实例。
  • 跨 Active Directory 域服务 (AD DS) 、Active Directory 联合身份验证服务 (AD FS) 和 Active Directory 证书服务配置 Windows 事件集合, (AD CS) 。
  • 使用角色组管理管理员访问权限。
  • 在 Active Directory 域控制器上为单林和多个林环境下载、部署和配置传感器。
  • 在 Active Directory 中创建和配置目录服务帐户或管理操作帐户,包括组托管服务帐户 (gMSA) 。
  • 在 AD FS 服务器上下载、部署和配置传感器。
  • 门户配置,包括:
    • 标记敏感帐户、设备或组。
    • Email运行状况问题和安全警报通知。
    • 警报排除。
    • 计划的报表。
  • 提供有关以下方面的部署指南、配置帮助和教育:
    • 安全分数中的标识安全态势评估报告Microsoft。
    • 用户调查优先级分数和用户调查排名报告。
    • 非活动用户报告。
    • 已泄露帐户上的修正选项。
  • 促进从高级威胁分析 (ATA) 迁移到 Defender for Identity ((如果适用) )。

超出范围

  • 部署 Defender for Identity 作为概念证明。
  • 部署或执行以下 Defender for Identity 传感器活动:
    • 手动容量规划。
    • 部署独立传感器。
    • 以预览) 部署统一传感器 (。
    • 使用网络接口卡 (NIC) 组合适配器部署传感器。
    • 通过第三方工具部署传感器。
    • 通过 Web 代理连接连接到 Defender for Identity 云服务。
  • 创建和配置 AD FS 数据库的权限。
  • 创建和管理蜜标帐户或设备。
  • (NNR) 启用网络名称解析。
  • 启用和配置已删除对象容器。
  • 部署指南或有关以下内容的教育:
    • 修正或解释各种警报类型和监视的活动。
    • 调查用户、计算机、横向移动路径或实体。
    • 威胁或高级搜寻。
    • 事件响应。
  • 为 Defender for Identity 提供安全警报实验室教程。
  • 通过指定的传感器向 syslog 服务器发送安全警报,在 Defender for Identity 检测到可疑活动时提供通知。
  • 配置 Defender for Identity 以使用安全帐户管理器远程 (SAMR) 协议来执行查询,以标识特定计算机上的本地管理员。
  • 配置 VPN 解决方案,以将 VPN 连接中的信息添加到用户的配置文件页。
  • SIEM 或 API 集成 (包括Microsoft Sentinel) 。

源环境预期

  • 符合 Defender for Identity 先决条件。
  • 已部署 Active Directory、AD FS 和 AD CS。
  • 要安装 Defender for Identity 传感器的 Active Directory 域控制器与 Defender for Identity 云服务建立 Internet 连接。
    • 防火墙和代理必须打开才能与 Defender for Identity 云服务通信 (*.atp.azure.com 端口 443 必须打开) 。
  • 在以下服务器之一上运行的域控制器:
    • Windows Server 2016。
    • Windows Server 2019 KB4487044 (OS 内部版本 17763.316 或更高版本) 。
    • Windows Server 2022 年。
  • Microsoft .NET Framework 4.7 或更高版本。
  • 至少需要 6 (6) GB 的磁盘空间,建议使用 10 GB。
  • 域控制器上安装两个 (2 个) 核心和六个 (6) GB RAM。

Microsoft高级部署指南

Microsoft为客户提供技术和指导,以协助部署Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。

对于非 IT 管理员,请参阅 Microsoft 365 安装程序

Microsoft Defender for Office 365

Microsoft Defender for Office 365保护组织免受电子邮件、链接 (URL) 、附件和协作工具(如 Microsoft Teams、SharePoint 和 Outlook)构成的恶意威胁。 借助威胁和工具(如威胁资源管理器)的实时视图,可以搜寻并始终领先于潜在威胁。 使用攻击模拟训练在组织中运行真实的攻击方案。 这些模拟攻击可以帮助你在真正的攻击影响你的利润之前识别和查找易受攻击的用户。

FastTrack 提供远程指南:

  • 查看配置分析器和/或Defender for Office 365建议的配置分析器 (ORCA) 。
  • 设置评估模式。
  • 启用预设策略、安全链接 (包括安全文档) 、安全附件、反恶意软件、防钓鱼、反垃圾邮件、反欺骗、模拟和隔离策略。
  • 提供优先级帐户和用户标记的概述。
  • 定义垃圾邮件和批量用户体验。
  • 启用 Teams 保护。
  • 配置用户报告的消息设置。
  • 为连接配置增强筛选。
  • 使用攻击模拟训练并配置高级传递策略
  • 概述租户允许/阻止列表 (TABL) 、提交、电子邮件实体页、报告、市场活动、威胁资源管理器和威胁分析。
  • 提供欺骗智能、模拟保护和邮箱智能的概述。
  • 概述零时自动清除 (ZAP) 自动调查和响应 (AIR) 。
  • 了解Microsoft Defender门户中的事件关联。
  • 了解修改消息和外部标记的功能的影响。
  • 按照Microsoft最佳做法指南从第三方提供商转换,但创建当前设置的清单除外。
  • 提供邮件流分析的概述。
  • 将邮件交换 (MX) 记录。

超出范围

  • 讨论Defender for Office 365与其他安全产品/服务进行比较。
  • 部署Defender for Office 365作为概念证明。
  • 有关高级搜寻的培训或指导。
  • 与 Microsoft Power Automate playbook 集成。
  • MICROSOFT SENTINEL) 以外的 SIEM 或 API 集成 (。

源环境预期

除了 FastTrack 核心载入之外,还必须配置Exchange Online

Microsoft高级部署指南

Microsoft为客户提供技术和指导,以协助部署Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。

对于非 IT 管理员,请参阅 Microsoft 365 安装程序

Microsoft Defender for Cloud

Microsoft Defender for Cloud 是一个云原生应用程序保护平台, (CNAPP) ,它由旨在保护基于云的应用程序免受各种网络威胁和漏洞的安全措施和做法组成。

启用 Defender for Cloud 后,会自动访问Microsoft Defender XDR。 FastTrack 通过 Defender for Cloud Foundational CSPM (云安全态势管理) (一项免费的新功能)帮助改善安全态势,从而增强了 Defender XDR 与 Defender for Cloud 之间的集成。 FastTrack 还可以通过在 Azure 和本地运行的 Windows 设备上部署Microsoft Defender来扩展对云工作负载 Microsoft的保护。 Defender for Servers 与 Microsoft Defender for Endpoint 集成, (EDR) 和其他威胁防护功能提供终结点检测和响应。

FastTrack 提供远程指南:

  • 提供 Defender for Cloud 的概述,包括:
    • 确定部署前最佳做法的范围。
      • 确保基本环境设置和知识到位。
      • 在 Azure 环境中定义并实现管理组层次结构。
    • 验证角色和权限。
      • 创建一个中心团队,负责在 Azure 环境中跟踪和强制执行安全性。
      • 为中央安全团队分配必要的基于角色的访问控制 (RBAC) 权限。
    • 提供策略管理。
      • 分配和自定义 Defender for Cloud 默认策略。
      • 为符合性仪表板选择标准。
      • 默认情况下,使用 Azure 策略确保资源安全。
    • 为 Azure 载入 Defender for Cloud 功能。
      • 启用所有Microsoft Defender计划。
      • 配置安全联系人和电子邮件设置。
      • 部署所需的代理
    • 将 Defender for Cloud 数据导出到Microsoft Sentinel。
  • 部署基础 CSPM,包括:
    • 在 Azure 和本地运行的 Windows 服务器。
    • 安全性建议。
    • 资产清单。
    • Microsoft安全功能分数。
    • 数据可视化和报告。
    • 数据导出。
    • 工作流自动化。
    • 修正工具。
    • Microsoft MCSB) (云安全基准。
  • 部署 Defender for Servers P1,包括:
    • 配置在 Azure 和本地运行的 Windows 服务器。
    • 预配 Defender for Servers。
    • 加入 Azure Arc。
    • 预配和集成 Defender for Endpoint。
    • 配置统一视图。
    • 配置 OS 级基于代理的威胁检测。

超出范围

  • 详细的定价信息。 有关详细信息,请联系你的帐户团队。
  • 在 Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中运行的 Linux 服务器上部署功能。
  • 载入 Defender for Cloud,包括:
    • 管理。
      • 查看在 Defender for Servers P2 启用后引入到 Microsoft Sentinel的其他 Defender for Cloud 数据。
      • 准备和部署逻辑应用。
      • 部署工作流自动化。
      • 导出数据以用于其他报告。
      • 将 Defender for Cloud 数据导出到其他安全信息和事件管理 (SIEM) 或信息技术服务管理 (ITSM) 解决方案。
      • 设置警报抑制规则。
    • 策略管理。
      • 通过 Azure 蓝图 (预览版) 确保资源安全,该版本将于 2026 年 7 月 11 日弃用。
      • 分配自定义策略。
  • 部署 Defender for Cloud Foundational CSPM,包括:
    • 部署无代理扫描功能。
    • 管理治理。
    • 部署基于风险的建议仪表板。
    • 查看攻击路径分析。
    • 部署 Azure DevOps 安全功能。
    • 部署数据感知安全态势。
  • 部署 Defender for Server P2,包括:
    • 配置在 Azure 和本地运行的 Windows 服务器。
    • 为 Defender for Cloud Foundational CSPM 和 Defender for Servers 部署无代理扫描。
    • 通过 Defender for Endpoint 传感器启用文件完整性监视 (FIM) 。
    • 自定义和优化 FIM。
    • 配置实时虚拟机访问。
    • 管理 Azure Arc 设备的Azure 更新管理器修正。
    • 使用 Azure Monitor 代理管理免费数据引入 (AMA) 引入日志。
    • 部署Microsoft Defender 漏洞管理加载项。
    • 配置安全策略和法规合规性。
    • 管理 docker 主机强化。
    • 部署网络映射。
  • 部署以下任一Microsoft Defender工作负载:
    • 存储Microsoft Defender。
    • 资源管理器的Microsoft Defender。
    • 密钥保管库的Microsoft Defender。
    • App 服务的Microsoft Defender。
    • API 的Microsoft Defender。
    • 用于容器的Microsoft Defender。
    • Microsoft Defender 外部攻击面管理 (Defender EASM) 。
    • 数据库Microsoft Defender。
    • Azure SQL数据库的Microsoft Defender。
    • 设备上 SQL Server 的Microsoft Defender。
    • 开源关系数据库Microsoft Defender (包括 Postgre SQL、MySQL 和 MariaDB) 。
    • 适用于 Azure Cosmos DB 的Microsoft Defender
  • 部署以下任何已弃用Microsoft Defender工作负载:
    • DNS 的Microsoft Defender。
    • 适用于 Kubernetes 的Microsoft Defender。
    • 容器注册表的Microsoft Defender。

注意

如果需要有关 Defender for Cloud 远程指南的进一步帮助,请与你的帐户团队联系。

Microsoft Sentinel

Microsoft Sentinel 是一种可缩放的云原生解决方案, (SIEM) 和安全业务流程、自动化和响应 (SOAR) 提供安全信息和事件管理。 它在整个企业中提供智能安全分析和威胁情报。 借助 Microsoft Sentinel,你可以获得用于攻击检测、威胁可见性、主动搜寻和威胁响应的单一解决方案。

Microsoft Sentinel提供了整个企业的视图,缓解了日益复杂的攻击、不断增加的警报量和较长的解决时间框架的压力。

FastTrack 提供远程指南:

  • 概述Microsoft Sentinel部署的先决条件。
  • 提供概念工作区体系结构最佳做法和注意事项,包括多租户方案。*
  • 帮助确定数据连接器的优先级,以优化Microsoft Sentinel配置,包括:
    • 说明数据转换和集合自定义以帮助优化。*
  • 规划角色和权限。
  • 根据计划配置执行成本预期分析。*
  • 启用Microsoft Sentinel服务。
  • 讨论和配置数据保留。
  • 配置数据连接器,包括:
    • 设置Microsoft数据连接器。
    • 演示如何配置第三方数据连接器。*
    • 探索引入成本预期。*
  • 配置分析规则,包括:
    • 内置分析规则。
    • 查询初学者包。
    • 针对零信任和内部威胁的其他规则。
    • 用户实体行为分析规则。
    • Apache Log4J 增强功能。
  • 提供以下内容的概述:
    • 安全运营中心 (SOC) 优化。
    • 练习 册。
    • 监视列表。
    • 用户和实体行为分析 (UEBA) 。
    • 逻辑应用 playbook。
    • 事件响应功能*、模拟和教程 (,例如实践方案、虚假恶意软件和自动调查) 。

*受限制支持。

超出范围

  • 攻击模拟 (包括渗透测试) 。
  • 威胁和威胁搜寻的诊断。
  • 创建和配置 Log Analytics 工作区。
  • 排查参与期间遇到的问题 (包括网络问题)
  • 配置第三方连接器或自定义连接器。
  • 数据转换的配置。
  • 从 Microsoft Monitoring Agent (MMA) 迁移到 Azure Monitor 代理 (AMA) 。
  • 围绕第三方 SIEM 和 SOAR 解决方案展开对话。
  • 协助第三方 SIEM 和 SOAR 配置。
  • 从第三方 SIEM 和 SOAR 解决方案迁移。
  • 高级 SIEM 信息模型 (ASIM) 分析程序。
  • Jupyter Notebooks。
  • Azure Synapse和 Azure Data Lake 解决方案。
  • 预览功能。
  • 通过 AMA (CEF) 和 Syslog 筛选引入的常见事件格式。

Microsoft高级部署指南

Microsoft为客户提供技术和指导,以协助部署Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。

对于非 IT 管理员,请参阅 Microsoft 365 安装程序