学习路径 1 - 实验室 1 - 练习 1 - 探索 Microsoft Defender XDR
实验室方案
你是一家公司的安全运营分析师,你所在公司正在实现 Microsoft Defender XDR。 首先,分配 Exchange Online Protection (EOP) 和 Microsoft Defender for Office 365 中使用的预设的安全策略。
注意: 我们提供 交互式实验室模拟 ,让你能以自己的节奏点击浏览实验室。 你可能会发现交互式模拟与托管实验室之间存在细微差异,但演示的核心概念和思想是相同的。
注意:WWL 租户 - 使用条款 如果在讲师引导式培训过程中向你提供租户,请注意,提供租户的目的是支持讲师引导式培训中的动手实验室 。 租户不应共享或用于动手实验室以外的用途。 本课程使用的租户为试用租户,课程结束后无法使用或访问,不符合扩展条件。 租户不得转换为付费订阅。 在本课程中获得的租户仍然是 Microsoft Corporation 的财产,我们保留随时获取访问权限和收回的权利。
任务 1:获取 Microsoft 365 凭据
启动实验室后,你可获得一个免费试用版租户,可在 Microsoft 虚拟实验室环境中访问。 系统自动向该租户分配一个唯一用户名和密码。 你必须检索此用户名和密码,以便在 Microsoft 虚拟实验室环境中登录 Azure 和 Microsoft 365。
由于学习合作伙伴可以通过多家授权实验室托管 (ALH) 提供商中的任何一家来提供本课程,因此检索与租户关联的租户 ID 所涉及的实际步骤可能因实验室托管提供商而异。 因此,讲师需要向你提供必要的指导,介绍如何检索课程的此类信息。 你应该记录以供稍后使用的信息包括:
- 租户后缀 ID。 此 ID 适用于将在所有实验室中用来登录 Microsoft 365 的 onmicrosoft.com 帐户。 其格式为 {username}@ZZZZZZ.onmicrosoft.com,其中 ZZZZZZ 是实验室托管提供者提供的唯一租户后缀 ID。 记录此 ZZZZZZ 值以供稍后使用。 当有任何实验室步骤指示你登录 Microsoft 365 门户时,都必须输入在此处获取的 ZZZZZZ 值。
- 租户密码。 这是由实验室托管提供者提供的管理员帐户的密码。
任务 2:应用 Microsoft Defender for Office 365 预设的安全策略
在此任务中,你将在 Microsoft 365 安全门户中为 Exchange Online Protection (EOP) 和 Microsoft Defender for Office 365 分配预设安全策略。
-
使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd。
-
启动 Microsoft Edge 浏览器。
-
在 Microsoft Edge 浏览器中,转到 Microsoft Defender XDR 门户 (https://security.microsoft.com)。
-
在“登录”对话框中,复制并粘贴实验室托管提供者为管理员用户名提供的租户电子邮件帐户,然后选择“下一步” 。
-
在“输入密码”对话框中,复制粘贴实验室托管提供者提供的管理员的租户密码,然后选择“登录” 。
注意: 如果收到消息“操作无法完成。 请稍后再试。 如果问题持续出现,请联系 Microsoft 支持部门。”, 单击“确定”即可继续。
-
如果显示,请关闭 Microsoft Defender XDR 快速导览弹出窗口。 提示**:在本实验室的后面部分,需要等到 Defender 工作区预配完成,在这段时间内,你可以浏览引导式教程,了解有关 Microsoft Defender XDR 的详细信息。
-
在导航菜单中的“电子邮件与协作”区域下,选择“策略与规则”。
-
在“策略与规则”仪表板上,选择“威胁策略”。
-
在“威胁策略”仪表板上,选择“预设安全策略”。
注意: 如果收到消息“客户端错误 - 收到 bip 规则时出错”,请选择“确定”以继续。 此错误是由于 Office 365 在默认情况下未启用租户的冻结状态。
注意: 如果你收到消息“客户端错误 - 检索预设的安全策略时发生错误。请稍后重试。” , 选择“确定”继续。 使用 Ctrl+F5 刷新浏览器。
-
在“了解预设安全策略”弹出页上,选择“关闭”。
-
在“标准保护”下,选择“管理保护设置”。 提示:如果看到此选项灰显,请使用 Ctrl+F5 刷新浏览器。
-
在“应用 Exchange Online Protection”部分中,选择“特定收件人”,然后在“域”下开始编写租户的域名,选择它,然后选择“下一步”。
提示**:租户的域名与管理员帐户的名称相同,可能与 WWLx######.onmicrosoft.com 类似。 请注意,此配置适用于防垃圾邮件、出站垃圾邮件筛选器、防恶意软件和防钓鱼的策略。
-
在“应用 Defender for Office 365 保护”部分,应用与上一步相同的配置,然后选择“下一步”。 请注意,此配置适用于防钓鱼、安全附件、安全链接的策略。
-
在“模拟保护”部分,选择“下一步”四次(4 次)继续。
-
在“策略模式”部分,确保选中“完成后启用策略”单选按钮,然后选择“下一步” 。
-
阅读“查看并确认更改”下的内容,选择“确认”以应用更改,然后选择“完成”以完成 。
注意: 如果你收到信息“URI ‘https://outlook.office365.com/psws/service.svc/AntiPhishPolicy ‘ 对 PUT 操作无效。对于 PUT 操作,URI 必须指向单个资源。” , 只需选择“确定”,然后选择“取消”以返回到主页 。 你将看到“标准保护已启用”选项启用。
-
在“严格保护”下,选择“管理保护设置”。 提示:在“电子邮件与协作 - 策略与规则 - 威胁策略 - 预设安全策略”下找到“严格保护”。
-
在“应用 Exchange Online Protection”中,选择“特定收件人”,然后在“组”下开始写入“领导力”,选择它,然后选择”下一步”。 请注意,此配置适用于防垃圾邮件、出站垃圾邮件筛选器、防恶意软件和防钓鱼的策略。
-
在“应用 Defender for Office 365 保护”部分,应用与上一步相同的配置,然后选择“下一步”。 请注意,此配置适用于防钓鱼、安全附件、安全链接的策略。
-
在“模拟保护”部分,选择“下一步”四次(4 次)继续。
-
在“策略模式”部分,确保选中“完成后启用策略”单选按钮,然后选择“下一步” 。
-
阅读“查看并确认更改”下的内容,选择“确认”以应用更改,然后选择“完成”以完成 。
注意: 如果你收到信息“URI ‘https://outlook.office365.com/psws/service.svc/AntiPhishPolicy ‘ 对 PUT 操作无效。对于 PUT 操作,URI 必须指向单个资源。” , 只需选择“确定”,然后选择“取消”以返回到主页 。 你将看到“严格保护已启用”选项启用。
任务 3:准备 Microsoft Defender XDR 工作区
-
在 Microsoft Defender 门户的左侧导航菜单中,选择“主页”****。
注意:可能需要一直滚动到菜单顶部。
-
向下滚动菜单项到“资产”并选择“设备”****。
-
应会启动部署 Defender XDR 工作区的过程,并在页面顶部显示简要消息“正在加载和初始化”,然后将显示一张咖啡杯的图像和一条消息:“请稍等!我们正在为你的数据准备新的空间并将它们连接起来”。 这大约需要 5 分钟才能完成。 使页面保持打开状态并确保它已完成,因为下一个实验室需要它。
注意: 忽略显示“无法检索某些数据”的弹出错误消息。 如果没有出现消息“请稍候! 我们正在为你的数据准备新空间并连接它们”,或者虽然“设置”>“Microsoft Defender XDR”>“帐户”页已打开,但你看到消息“无法加载数据存储位置。 请稍后重试,从“常规”菜单中选择“警报服务设置”。
-
新工作区初始化成功完成后,在“主页”** 门户页上,将显示“在一个位置获取 SIEM 和 XDR”** 横幅。 在“设置”** 中,现已打开帐户、电子邮件通知、预览功能**、警报服务设置、权限和角色和流式处理 API Microsoft Defender XDR 常规设置。