首先要声明的是我之前并没有使用过微软的安全产品。因最近工作需要,对微软安全产品进行学习,因此文章部分可能存在谬误。至于每个产品的使用请参考具体文档。
微软安全能力主要有安全产品、安全解决方案和安全服务三部分。这里仅介绍安全产品部分。一共是6个产品线,实际可以分为三大块。Defender和Sentinel构建了端和云以及云上应用的威胁检测及响应。Entra和Intune分别负责设备管理用户准入等身份管理和访问相关。Purview和Priva主要关注在合规和隐私方面,其中数据防泄漏和信息保护也都纳入了这两个产品之中。
上面说了微软的安全产品线,其实主要还是在围绕安全和合规两方面去建设的。下面分别简单介绍一下。
安全能力上来说,除了资产纳管和身份管理之外,在云,端上都覆盖了检测和响应能力,运营侧也支持SIEM,SOAR,漏洞管理这些能力。整体来说是以采集数据-云端检测-下发响应的一种流程,当然也有部分检测能力是在端上。采集数据和检测绝大部分是依赖Defender系列的产品,例如Defender for Endpoint。微软的产品和微软自家的结合是天然亲和的,但在Mac平台以及Linux平台上的表现就不尽如意,如果再为端上引入其他工具,Defender甚至会发生相应的冲突,例如Defender的进程会和某UEM的核心进程冲突。同时在整合上面,可能是由于自己的生态过于完整,对行业的一些解决方案整合度并不够友好,例如Intune官方文档上仅支持Jamf Pro的。微软的安全管理后台主要有以下几块:
安全中心(威胁分析,搜寻/Advanced Hunting,事件和警报)
资产(设备,身份)
终端(漏洞管理,威胁模拟评估/Evaluation&Tutorial,三方能力整合)
邮件及协作(威胁调查及跟踪,钓鱼攻击模拟)
云应用(发现应用,应用治理,活动记录)
值得一提的有两部分,一是威胁模拟评估和钓鱼攻击模拟(我在此处将其归为一类),一是Advanced Hunting(这个中文译成搜寻真的是不够形象,下面缩写为AH)。钓鱼模拟能够很快的对选定用户组投放payload,并可以针对中招群体提供安全培训。AH默认支持警报、应用和标识、设备、威胁和漏洞管理进行搜索。内置了一定的Schema,Functions。例如对Device上的一些网络,文件,进程等Event进行查询,Email的Url,Attachment等。不过有时候感觉更像是一个高级版本的入侵检测工具。没有真正的Hunting功能。
总体来说是一个基于数据驱动的产品,能够很好的展示资产信息,漏洞信息,目前的威胁状况。对于安装Defender而言,Windows好处是不需要额外动作,不过一些高级功能或者license仍需要手动激活。而对于其他平台可能没有那么顺滑。
合规是什么?简单的来说就是提供你的安全能力给到第三方,去满足第三方的需求。这也意味着合规要在安全建立起来之后才行。在使用微软的合规功能时,部分需要先进行端上安全产品的部署,即Defender for XXX。同样的也不能仅靠合规驱动安全,合规驱动安全带来的只是过检和较低级别的防护(参考买设备过检不插电行为)。所以当初有一阵在看到朋友圈大力吹捧搞合规怎么样,这下做安全有希望了,早知道转合规了诸如此类的言论时让人觉得缺乏思考。微软针对合规基本归类在Purview管理后台之下,其中包含了以下几大块:
隐私(其实是在Priv产品线)
信息保护和治理(数据生命周期管理,数据防泄漏,信息保护,记录管理)
内部风险管理(通讯合规,信息隔离,内部风险管理)
审计
发现和响应(eDiscovery,数据主体请求,审计)
不用纠结于微软的这个功能模块划分是否合理。先来简单介绍一下信息隔离和通讯合规,信息隔离(Information Barrier)提供了一种方式用于限制不同区段(Segment)的用户禁止使用Teams,Sharepoint,Onedirver这些工具进行检索和沟通。一般用于地理区域的隔离(基于某些政策法规)。通讯合规(Communication Compliance)较为容易理解,比如不允许在聊天室内发送NSFW,性骚扰信息等。而在信息保护模块,又分为对数据分类、打标签以及数据防泄漏。Purview内置有308个默认的Sensitive Info Type。同时也支持机器学习的方式自动发现新的敏感数据。但针对中国大陆地区,仅提供居住证号码(China Resident Identity Card (PRC) Number)一种,也就意味着当你创建了一个PII-护照的数据标签,以便当在邮件,聊天,文档中发现时启动相应的控制措施时,这个标签列表(目前一共有268个)里面包含了39个国家的护照类型,但独独没有国内的。类似的还有很多,当然PII信息中有部分是类似的,或许可以通过在原有Sensitive Info Type上进行修改得来。除此之外通用性的检测规则不允许基于此进行修改,例如通用的All Credential Types或者Access Key之类。而且策略生效基本上要在半小时以上,事件数据的检索不是实时的,部分需要一天以上。这也是让人无法接受的。针对数据防泄漏这一块的检测,不再是基于不同的端和软件,更多的是基于一个账号(身份),无论在任何地方,都可以完成对企业账号下的办公套件完成DLP功能。在此之外还有一个好处是可以通过连接器(connectors)完成其他数据源的集成,从而实现DLP。而针对标记出来的敏感数据,考虑到对个人数据的隐私保护,还可以通过设置具体的角色去查看,设置某些提示告诉你怎么怎么样。当然这些权限可能也需要30分钟以上才生效,有的功能生效呢甚至需要24h以上。
微软的安全产品布局很广,大而全(但是命名乱七八糟,改来改去),对Windows平台和Office系列产品有着天然优势,企业能够快速应用起来,同时运营也相对简单。一方面在安全服务化这一块树立了标杆,另一方面,定制化能力较低,没有什么“高级”模式,例如只能通过开关项去配置规则,没有支持模版语言的编辑。在实际工作中,如果有一定的场景复杂度,其安全产品就无法实现或者需要加钱定制。另外由于微软自己的生态构建较为完整,也导致了微软更喜欢推广全部采用自家的解决方案完成整体的防护, 但在安全设计上而言,可能更好的方式去综合各领域内的最优解,整合到一起。当然也正因为微软自己的生态完善,导致其对行业内其他解决方案的整合程度较低。同时作为国际化的一个企业,一些安全能力对中国的本土化支持并不友好,当然这也并不仅是企业的问题。除此之外过于细化的权限,以及动辄报错的界面,都让人觉得在扩张之余留下了一地狼藉。对于价格,基本是劝退级别,没钱别来。对于实施,好像是外包厂商。
另外最近对了解业务需求的感触越来越深了,无论工具的能力有多么完善,总有不确定的需求。这就需要工程师一次又一次的去和真正的用户沟通,反复确认,也比较消磨精力。