M365基礎知識 Part 5–偵測、防禦與回應

XDR(Extended Detection and Response)解決方案旨在提供全面、簡化且高效的方法來保護組織免受APT。

Microsoft Defender XDR 提供統一的入侵前和入侵後企業防禦套件，它原生上就能協調跨端點、身分、電子郵件和應用程式的偵測、預防、調查和回應，以提供針對複雜攻擊的整合保護。

在本文中，我們將介紹:

• Microsoft Defender XDR service
• Microsoft Defender XDR 如何提供針對複雜攻擊的整合保護
• Microsoft Defender portal

Microsoft Defender XDR service

Microsoft Defender XDR 是一套企業防禦解決方案，可防禦複雜的網路攻擊。 Microsoft Defender XDR 允許管理員評估來自端點、應用程式、電子郵件和身分的威脅訊號，以確定攻擊的範圍和影響。它可以更深入地了解威脅如何發生以及哪些系統受到影響。然後，Microsoft Defender XDR 可以採取自​​動回應來防止或阻止攻擊。

Microsoft Defender XDR 套件包括：

• Microsoft Defender for Endpoint — 這是一個端點平台，用於preventative protectio、post-breach detection、automated investigation與response。
• Defender Vulnerability Management — 這能提供持續的資產可見度、基於風險的智慧評估和內建修復工具，可協助組織的安全性和 IT 團隊確定優先順序並解決整個組織中的關鍵漏洞和錯誤配置。
• Microsoft Defender for Office 365 —這可保護組織免受電子郵件、網路連結 (URL) 和協作工具所構成的惡意威脅。
• Microsoft Defender for Identity — 這使用 Active Directory 訊號來識別、偵測和調查針對組織的進階威脅、被偷取的身分和惡意內部操作
• Microsoft Defender for Cloud Apps — 這是一個cloud access security broker，可為雲端應用程式帶來深入的可見性、強大的資料控制和增強的威脅防護。

Microsoft Defender XDR 現在也與 Microsoft Copilot for Security 整合。Microsoft Defender XDR 解決方案套件顯示的資訊和洞察集中在 Microsoft Defender portal中，該入口網站提供All in one安全操作平台。Microsoft Defender 入口網站現在包含其他 Microsoft 安全產品（包括 Microsoft Sentinel 和 Microsoft Defender for Cloud）。

使用者還可以從 Microsoft Defender XDR 入口網站存取 Microsoft Threat Intelligence解決方案。 Microsoft Defender TI 聚合並豐富關鍵威脅訊息，以協助安全分析師分類、事件回應、威脅搜尋和漏洞管理工作流程。

Microsoft Defender for Office 365

Microsoft Defender for Office 365 提供針對威脅的防護，例如透過電子郵件連結 (URL)、附件或 SharePoint、Teams 和 Outlook 這些工具會釣魚網站和惡意軟體。 Defender for Office 365 提供威脅的即時視圖。它還提供調查、搜尋和補救功能，幫助安全團隊識別、確定優先順序、調查和回應威脅。

Microsoft Defender for Office 365 有兩個等級，分別為 Microsoft Defender for Office 365 plan 1 和plan 2。提供的功能有:

• 預防和偵測威脅
• 調查威脅
• 應對威脅

預防和偵測

• anti-malware、anti-spam與anti-phishing的政策
• Outbound spam filtering
• 連線過濾(Connection filtering)，用IP的方式來識別來源的email server是不是壞人
• 有問題email的隔離策略
• Microsoft 會對Email的內容、URL與附件進行分析
• 安全附件(Safe attachments)可針對惡意軟體提供額外的保護。 Microsoft 365 中常見的病毒偵測引擎掃描檔案後，安全附件會在虛擬環境中開啟檔案以查看發生的情況（該流程稱為引爆detonation）
• 攻擊模擬訓練，允許管理員在組織中運行真實的攻擊場景
• 與SIEM整合

調查

• 由具有適當權限的使用者（例如管理員、內部風險團隊、合規和法律調查人員）搜尋稽核日誌，以提供對組織活動的可見性
• 內容追蹤功能。當email在組織中傳遞時，內容追蹤會對其進行追蹤。我們可以確定email服務是否已接收、拒絕、延遲或傳送訊息。它還顯示在郵件達到最終狀態之前對郵件採取了哪些操作。
• 報告(Reports)可協助我們了解email安全功能如何保護組織
• Explorer（也稱為威脅瀏覽器）或即時偵測工具，可協助SecOps團隊調查和回應威脅。Explore可讓管理員查看 Microsoft 365 安全功能偵測到的惡意軟體、啟動自動調查和回應流程、調查惡意電子郵件等
• 與SIEM整合。 URL 追蹤可讓管理員調查網域，以查看企業網路中的裝置和伺服器是否一直在與已知的惡意網域進行通訊。
• 威脅追蹤器(Threat trackers)是建立並儲存的查詢，用於自動或手動尋找組織中的網路安全威脅。 這些活動具有識別和分類協同網路釣魚和惡意軟體電子郵件攻擊的功能
• 活動(campaigns)功能可以更快、更全面地了解電子郵件攻擊的整體情況

回應

• ZAP(Zero-hour auto purge)，可追溯”偵測並消除”已傳送至 Exchange Online 信箱的惡意網路釣魚、垃圾郵件或惡意軟體郵件。
• AIR(Automated investigation and response)功能，包括回應現行存在的眾所周知的威脅的自動調查流程
• 與SIEM整合可實現自動回應

Microsoft Defender portal

Microsoft Defender for Office 365 可透過 Microsoft Defender 網站登入。 Defender 網站是監控和管理 Microsoft 身分、資料、裝置、應用程式和基礎架構安全性。

Microsoft Defender for Office 365 功能可在 Microsoft Defender 入口網站左側導覽面板的電子郵件和協作節點下找到。

• Investigations — 使用自動調查和回應來查看、管理和修復威脅
• Explorer— 調查、尋找和修復電子郵件和文件中的威脅
• Review — 管理隔離的項目和受限的寄件者
• Campaigns — 分析針對組織的環境的協調攻擊
• Threat tracker— 使用widgets和自訂搜尋監控威脅趨勢
• Exchange message trace — 分析 Exchange admin center中的訊息流
• Attack simulation training — 使用模擬攻擊和訓練來存取和建立使用者復原能力
• Policies & rules — 設定電子郵件和其他 Microsoft 365 工作區的安全性原則

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint 是一個平台，旨在幫助企業網路保護筆記型電腦、手機、平板電腦、PC、存取點、路由器和防火牆等端點。它透過預防、偵測、調查和回應深度威脅來實現這一目標。 Microsoft Defender for Endpoint 將內建技術嵌入 Windows 10 及之後版本以及 Microsoft 雲端服務。該技術包括：

• 嵌入 Windows 10 及之後版本中的端點行為感測器收集並處理來自作業系統的訊號
• 雲端安全分析可將行為訊號轉化為對進階威脅的洞察、偵測和建議回應
• 威脅情資使 Defender for Endpoint 能夠識別攻擊者工具、技術和程序，並在收集的感測器資料中觀察到這些內容時產生告警

Microsoft Defender for Endpoint包含以下功能:

• Core Defender Vulnerability Management：
  使用基於風險的方法的內建主要漏洞管理功能探索、評估、確定優先順序並修復端點漏洞和錯誤配置。
• Attack surface reduction：
  減少攻擊面的功能集提供了技術堆疊中的第一層防禦。透過確保正確設定配置設定並套用漏洞緩解技術，這些功能可以抵禦攻擊和漏洞。這組功能還包括網路保護和 Web 保護，可控制對惡意 IP 位址、網域和 URL 的存取。
• Next generation protection：這只要在捕獲所有類型的新興威脅。除了 Microsoft Defender Antivirus之外，還包括以下功能：
  — 基於行為的啟發式即時防毒保護。
  — 雲端提供的保護，包括近乎即時的偵測和阻斷新的和正在出現的威脅。
  — 專用保護和產品更新，其中包括與保持 Microsoft Defender 防毒軟體保持最新狀態相關的更新。
• Endpoint detection and response：
  提供近乎即時且可操作的APT偵測。安全分析師可以確定告警的優先順序、查看漏洞的全部範圍，並採取回應措施來修復威脅。
• AIR(Automated investigation and remediation)：
  使用各種檢查演算法來自動調查，並基於安全分析師使用的流程。 AIR 功能旨在檢查告警並立即採取行動解決違規問題。 AIR 功能可大幅減少告警量，使資安維運專注於更複雜的威脅和其他高價值計劃。
• Microsoft Secure Score for Devices：
  Microsoft 裝置安全評分可協助組織動態評估企業網路的安全狀態、識別未受保護的系統並採取建議的操作來提高組織的整體安全性。
• Microsoft Threat Experts：
  這是一項託管威脅搜尋服務，可提供主動搜尋、優先順序以及其他脈絡和洞察，進一步使SOC能夠快速、準確地識別和回應威脅。
• Management and APIs：
  Defender for Endpoint 提供 API 模型，旨在透過基於標準 Microsoft Entra ID 的身份驗證和授權模型來公開實體和功能。

Microsoft Defender portal

在此網站中，有關Endpoint的功能有:

• Vulnerability management:
  管理設備上的漏洞和其他風險來源。從這裡可以查看漏洞管理儀表板、建議、補救措施、弱點等。
• Partners and APIs:
  從這裡可以選擇連接的應用程式和 API explorer。
  — Connected applications-此頁面提供有關連接到組織中 Microsoft Defender for Endpoint 的 Microsoft Entra 應用程式（與 Microsoft Entra ID 預先整合的 SaaS 應用程式）的資訊。
  — API Explorer — Defender for Endpoint 透過一組程式設計 API 公開其大部分資料和操作。這些 API 可讓我們自動化工作流程並基於 Defender for Endpoint 功能進行創新。 Microsoft Defender for Endpoint API Explorer 是一款可協助以互動方式探索各種 Defender for Endpoint API 的工具。可以使用 API explorer透過執行範例查詢或建立和測試自己的 API 查詢來測試 Microsoft Defender for Endpoint 功能。
• Configuration management — 定義端點策略並追蹤部署。

Microsoft Defender for Cloud Apps

雲端應用程式在現今的工作環境中無所不在。保護 SaaS 應用程式及其儲存的重要資料對組織來說是一項重大挑戰。雲端應用程式使用量的增加，加上員工在公司網路保護範圍之外存取公司資源，也產生了新的攻擊媒介。為了有效地應對這些攻擊，資安團隊需要一種方法來保護雲端應用程式中的資料，而這個已經超出CASBs(cloud access security brokers)的保護範圍。

Microsoft Defender for Cloud Apps 針對上述的問題提供以下功能：

• 基本的 (CASB) 功能。 CASB會是一個守門人(gatekeeper)，在使用者與其使用的雲端資源之間的中間人進行即時存取。 CASB的些功能包括：
  — 探索雲端應用程式使用情況和shadow IT、
  — 防範來自雲端中任何位置的應用程式的威脅、資訊保護和合規性
• SaaS SSPM(Security Posture Management) 功能，使資安團隊能夠改善組織的安全態勢(Security Posture)
• 進階威脅防護(Advanced threat protection)，作為 Microsoft XDR解決方案的一部分，可在進階攻擊的full kill chain中實現觀測資料和可見性的關聯
• App與app之間的保護，將核心威脅場景擴展到具有關鍵資料和資源的權限和特權的支援 OAuth 的應用程式。

探索雲端應用程式

Defender for Cloud Apps 能呈現使用雲端應用程式為組織環境帶來的風險的全貌，並讓組織可以控制使用的內容和時間。

• Identity：
  Defender for Cloud Apps使用基於網路流量評估跟很多的應用程式清單的資料來識別整個組織中的使用者存取那些應用程式
• Assess：
  評估發現的應用程式可以有 90 多個風險指標，使組織可以對發現的應用程式進行排序並評估組織的安全性和合規性狀況
• Manage：
  設定全天候監控應用程式的政策。例如，如果發生異常行為，例如使用量異常激增，系統會自動向資安團隊發出告警並引導採取行動

Defender for Cloud Apps 可以連結到雲端應用程式來掃描包含敏感資料的文件，發現哪些資料儲存在何處以及誰在存取這些資料。為了保護這些資料，組織可以實施以下控制措施：

• 套用敏感度標籤(sensitivity label)
• 封鎖下載到非組織所控制的裝置
• 刪除機密文件的外部協作者

Defender for Cloud Apps 與 Microsoft Purview 的整合也使資安團隊能夠在其資訊保護政策中使用開箱即用的資料分類類型，並透過DLP功能控制敏感資訊。

雲端的SSPM

優化組織的資安態勢狀況很重要，但資安團隊面臨著需要自行研究每個應用程式最佳實踐的挑戰(不過如果公司大人夠多可能是另一回事)。 Defender for Cloud Apps 透過尋找錯誤配置(misconfigurations)並建議具體操作來強化每個使用到的應用程式的安全狀況。微軟使用CIS(Center for Internet Security)標準，並遵循特定應用程式供應商設定的最佳實踐。

Defender for Cloud Apps 會自動在 Microsoft Secure Score中為任何支援和使用的應用程式提供 SSPM 資訊。

進階威脅保護

雲端應用程式現今仍是駭客試圖竊取企業資料的目標。複雜的攻擊通常是跨模式的。攻擊通常從電子郵件作為最常見的入口點開始，然後橫向移動來入侵端點和身份(Identity)，最終取得對應用程式內資料的存取權。

Defender for Cloud Apps 提供內建的AAC(adaptive access control)，提供UEBA(user and entity behavior analysis)，並協助組織減輕這些類型的攻擊。

Defender for Cloud Apps 也直接整合到 Microsoft Defender XDR 中，關聯來自 Microsoft Defender XDR的資料，並提供事故層級偵測(incident-level detection)、調查和回應功能。將雲端安全性整合到 Microsoft 的 XDR中，可為 SOC 團隊提供full kill chain visibility，並提高資安維運的效能與效率。

雲端應用程式的治理

OAuth 是一種基於Token的身份驗證和授權的開放標準，允許第三方服務使用使用者的帳號資訊，而無需暴露使用者的密碼。使用 OAuth 的應用程式通常擁有使用者存取其他應用程式中的資料的權限，這使得 OAuth 應用程式容易受到入侵。

Defender for Cloud Apps 縮小了 OAuth 應用程式安全性的差距，幫助組織透過應用程式治理來保護應用程式間資料交換。借助 Defender for Cloud Apps，資安團隊可以監視未使用的應用程式並監控當前和過期的憑證，以管理組織中使用的應用程式並保持應用程式的乾淨度。

Microsoft Defender portal

Microsoft Defender for Cloud Apps 在Microsoft Defender portal呈現的功能如下。

• Cloud discovery— 識別環境中的雲端應用程式使用情況
• Cloud app catalog— 有關已知雲端應用程式的分類及各項資訊
• App governance — 深入了解並控制與 Microsoft Entra ID、Google 和 Salesforce 整合的 OAuth 應用程式
• Activity log — 查看涉及連接的應用程式的所有活動
• Governance log — 檢視為保護雲端應用程式而採取的操作
• Policies — 配置雲端應用程式的安全性政策

Microsoft Defender for Identity

Microsoft Defender for Identity 是一種基於雲端的安全解決方案，就是Windows AD的進化版，並使用AD裡的資料來偵測威脅（例如權限升級或高風險橫向移動），並回報容易被利用的身份問題。

從較高層次來看，Microsoft Defender for Identity 的作業方式如下：

Microsoft Defender for Identity 使用安裝在地端身分基礎架構伺服器（執行AD Federated Services與AD Certificate Services的domain controller和伺服器）上的軟體為基礎的感測器。

Defender for Identity 感測器直接從伺服器存取所需的事件日誌。感測器解析日誌和網路流量後，Defender for Identity 只將解析後的資訊傳送至 Defender for Identity cloud service。 Defender for Identity cloud service使用取得的資料來驅動IDTR(dentity threat detection and response)。 Microsoft Defender for Identity 可協助資安人員管理混合環境，其功能包括：

• 透過主動評估identity posture來防止惡意行動
• 使用即時分析和數據智慧檢測威脅
• 使用清晰、可操作的事件資訊調查可疑活動
• 針對有問題的IDentity的自動回應功能來回應攻擊

服務的配置以及 Microsoft Defender for Identity 服務產生的資料和洞察透過 Microsoft Defender 網站可以檢視，該網站為資安團隊提供了調查和回應攻擊的單一平台操作。

Defender for Identity 為組織提供身分安全狀況的清晰視圖，協助組織在安全問題被攻擊者利用之前識別並解決這些問題。例如，Microsoft Defender for Identity 持續監視組織的環境，以識別具有暴露安全風險的風險最高的橫向移動路徑的敏感帳號，並報告這些帳號以協助組織管理環境。 Microsoft Secure Score 提供的 Defender for Identity 安全性評估可提供額外的洞察來改善組織的安全性和政策。

Defender for Identity 監控並分析整個網路中的使用者活動和訊息，包括權限和群組成員身份，為每個使用者建立behavioral baseline。 Defender for Identity 然後透過自適應內建智慧識別異常情況。它可以洞察可疑活動和事件，揭示組織面臨的進階威脅、有問題使用者和內部威脅。 Defender for Identity 在整個cyberattack kill-chain的源頭辨識這些進階威脅：

• 偵察(Reconnaissance) — 識別有問題使用者和攻擊者獲取資訊的企圖
• 憑證外洩 (Compromised credentials)— 識別使用暴力攻擊、失敗的身份驗證、使用者群組成員身分變更和其他方法來洩露使用者憑證的攻擊嘗試
• 橫向移動(Lateral movements) — 偵測網路內部橫向移動的嘗試，以進一步控制有問題使用者
• 網域支配 (Domain dominance)— 如果威脅者透過 domain controller上的遠端代碼執行或其他方法取得對 AD的控制（稱為網域支配），則檢視攻擊者行為

告警與使用者活動的調查

Defender for Identity 主要在減少垃圾告警訊息，使用簡單、即時的組織攻擊時間軸中只提供相關、重要的安全警報。

使用 Defender for Identity attack timeline view和智慧分析的智慧來專注於重要的事情。此外，資安團隊還可以使用 Defender for Identity 快速調查威脅，並深入了解整個組織內的使用者、裝置和網路資源。

Microsoft Defender for Identity 可保護組織免受身分外洩、進階威脅和惡意內部行為的影響。

修正行動

Microsoft Defender for Identity 支援直接對地端身分執行修正操作。範例包括：

• 在 AD中停用有問題使用者：這將暫時阻止有問題的使用者帳號登入地端網路。這可以幫助防止受感染的使用者橫向移動並試圖竊取資料或進一步危害網路
• Reset user password — 這將提示使用者在下次登入時變更密碼，確保帳戶無法用於進一步的模擬嘗試

根據組織的 Microsoft Entra ID roles，資安團隊可能會看到其他 Microsoft Entra ID 操作，例如要求使用者再次登入並確認使用者已受到威脅。

Microsoft Defender portal

Microsoft Defender for Identity在Microsoft Defender portal的功能如下:

• Microsoft Defender for Identity 儀表板提供有關ITDR的重要洞察和即時資料
• Health Issues page列出了 Defender for Identity 部署和感測器目前的所有運行狀況問題，提醒資安團隊 Defender for Identity 部署中的任何問題
• Tools page列出了可協助管理 Microsoft Defender for Identity 環境的其他資訊。範例包含一個readiness script，我們可以執行該腳本來確定所有Microsoft Defender for Identity 先決條件是否都已到位；一個PowerShell 模組，其中包含一系列功能，旨在幫助組織配置和驗證Microsoft Defender for Identity 的工作環境等。