Microsoft 为外部攻击和内部风险中出现的各种攻击技术提供端到端的集成可见性

外部威胁——攻击者很灵活，可以在攻击链序列中使用各种攻击技术来达到他们的最终目标（最常见的是窃取数据，但勒索软件和其他勒索攻击者正变得越来越普遍）。

Microsoft 提供了一套集成的扩展检测和响应 (XDR) 和 SIEM/SOAR 功能，可覆盖常见的攻击链。这些 XDR 功能提供高级威胁检测，重点关注高质量警报（误报率低，也就是误报）以及自动调查和响应功能。这些工具旨在协同工作，其中包括：

• Microsoft Defender for Office 365 (MDO) 为电子邮件、SharePoint、OneDrive、Teams 和其他 Office 365 功能提供保护;

• Microsoft Defender for Endpoint (MDE) 提供了端点检测和响应 (EDR) 功能，涵盖生产力工作站、服务器、移动设备等;

• Microsoft Defender for IoT 为物联网设备的资产发现和威胁管理以及对运营技术 (OT) 资源的攻击（这可能导致工厂生产、发电、医疗设备功能等物理过程中断）提供保障;

• Microsoft Defender for Cloud 为服务器 VM 和 SQL 服务器、容器等提供了额外的功能;

• Azure AD 身份保护和 Microsoft Defender for Identity (MDI) 共同涵盖攻击的身份阶段，为基于云的 Azure Active Directory 和基于 Windows Server Active Directory 和 Active Directory 联合服务的本地身份基础设施提供威胁检测 (ADFS);

• Microsoft Defender for Cloud Apps (MDCA) 从攻击检测和数据泄露的角度为软件即服务 (SaaS) 应用提供了覆盖;

• Microsoft Sentinel 提供这些工具的统一可见性，以及来自其他安全工具、业务线应用程序、网络设备等的事件日志和警报。

集成示例——这说明了这些工具如何协同工作以确保组织安全并减少分析师的重复性任务数量：

1. Attack - 用户从他们的公司设备检查个人网络邮件并打开带有恶意软件的附件（旨在逃避传统的 AV 签名）。

2. Detection - MDE 检测到这种异常行为并自动对其进行调查，创建自动序列来修复威胁，并提示分析师批准清理（也可以自动批准）。

3. Intelligence Sharing - MDE向微软威胁情报系统提供关于这种新恶意软件的信息，触发其他微软安全功能（MDE、MDO、MDCA、MDI等）在客户之间搜索类似的恶意软件并从邮箱、设备中清除 、云服务等。

4. Damage Containment——在分析师批准修复之前，Azure AD 条件访问会阻止从此设备访问企业应用程序。一旦 MDE 传达此设备的“全部清除”，Azure AD 就会恢复用户访问权限。

5. 其他补救措施 - 还触发 Microsoft Sentinel 工作流来修改 Palo Alto 防火墙，以阻止攻击者的命令和控制 (C2) 服务器的 IP 地址。

组织还面临内部风险，即有权访问敏感资源的受信任的内部人员可能会出于各种原因选择滥用该访问权限。

• Microsoft 365 中的Microsoft Insider 风险管理使您能够检测、调查和处理组织中的恶意和无意活动，从而帮助最大限度地降低内部风险。