经管之家App
让优质教育人人可得
立即打开
SC-900 是微软推出的一项基础性认证,全称为 Microsoft Security, Compliance, and Identity Fundamentals。该认证主要面向希望掌握微软云平台在安全防护、数据合规以及身份验证机制方面基础知识的IT初学者、学生及技术人员。通过考试后,考生将能够理解 Azure Active Directory、Microsoft Defender 和 Microsoft 365 合规中心等核心服务的基本功能及其应用场景。
| 知识领域 | 占比 |
|---|---|
| 安全概念 | 30-35% |
| 身份与访问管理 | 25-30% |
| 合规性与数据保护 | 20-25% |
| 威胁防护与安全运营 | 15-20% |
推荐使用 Microsoft Learn 平台上的“SC-900: Microsoft Security, Compliance, and Identity Fundamentals”学习路径进行系统化学习。结合理论与实践操作,有助于加深对知识点的理解。
建议在 Azure 门户中动手实验关键安全功能,例如创建条件访问策略以控制用户行为:
全部版块
我的主页
收藏
# 示例:使用 PowerShell 查看当前租户的条件访问策略
Connect-MgGraph -Scopes "Policy.Read.All"
Get-MgIdentityConditionalAccessPolicy | Select-Object DisplayName, State上述命令连接 Microsoft Graph 并列出所有现有的条件访问策略,帮助理解实际配置逻辑。
微软的安全架构基于云原生设计,整合了如 Azure Active Directory、Microsoft Defender、Entra ID 和特权身份管理(PIM)等组件,构建起统一的身份、设备和威胁防御体系。其核心理念遵循“永不信任,始终验证”的零信任原则。
{
"displayName": "Require MFA for Admin Access",
"conditions": {
"users": { "includeRoles": ["GlobalAdministrator"] },
"applications": { "includeApplications": ["all"] },
"clientAppTypes": ["browser"]
},
"grantControls": {
"operator": "AND",
"builtInControls": ["mfa"]
}
}以上JSON代码定义了一条条件访问策略:当全局管理员通过浏览器访问任意应用时,系统将强制要求进行多因素认证。其中:
conditions用于设定触发条件,
grantControls则用于定义授权控制措施,确保高风险操作受到严格管控。
Azure Active Directory(Azure AD)是微软提供的云端身份与访问管理服务,具备用户认证、单点登录(SSO)、多因素认证(MFA)以及与各类SaaS应用集成的能力。
可通过 PowerShell 批量创建用户并分配相应角色:
New-AzADUser -DisplayName "Alice Chen" -UserPrincipalName "alice@contoso.com" `
-MailNickname "alice" -Password $securePassword此命令用于新建标准用户账户,
-UserPrincipalName必须保证全局唯一性,
-Password还需满足 Azure 的密码复杂度要求。创建完成后,可通过 Azure 门户或 Graph API 分配 RBAC 角色,实现精细化的资源访问控制。
利用条件访问策略,可强制特定用户组在访问 Office 365 时启用 MFA,从而提升整体安全性。策略支持根据 IP 地址位置、设备健康状态及登录风险等级动态调整访问控制规则。
在 Azure 门户中,进入“安全” > “多重身份验证”即可为用户启用 MFA。也可通过 PowerShell 进行批量设置:
Set-MsolUser -UserPrincipalName user@contoso.com -StrongAuthenticationRequirements @()该命令为指定用户激活 MFA 要求,依赖于 MSOnline 模块。执行前需先运行以下命令完成身份认证:
Connect-MsolService构建基于风险的访问控制策略时,应明确以下关键要素:
| 场景 | 预期行为 |
|---|---|
| 从可信IP地址登录 | 跳过MFA验证流程 |
| 检测到高风险登录尝试 | 强制要求MFA,甚至可能阻止访问 |
合规中心作为数据治理的核心平台,提供统一的策略管理、审计日志记录与风险告警功能。其主要能力包括敏感信息识别、数据分类分级、策略自动化响应等。
可通过自定义规则实现对结构化数据的自动标记处理:
{
"ruleName": "PII_Detect_SSN",
"pattern": "^\\d{3}-\\d{2}-\\d{4}$", // 匹配美国社安号格式
"sensitivityLevel": "L3",
"action": "encrypt_at_rest"
}该规则采用正则表达式匹配 SSN 字段,并触发静态加密动作,确保符合 GDPR 与 CCPA 等法规要求。
| 数据类型 | 发现数量 | 所属系统 | 合规状态 |
|---|---|---|---|
| 身份证号 | 1,248 | CRM | 已加密 |
| 银行卡号 | 632 | 支付网关 | 未脱敏 |
安全评分通过多个维度的行为指标量化系统的整体风险水平,例如异常登录、访问频率突增、权限变更等。每个指标被赋予不同权重,最终加权计算得出综合评分。
| 指标 | 权重 | 说明 |
|---|---|---|
| 异常登录尝试 | 30% | 监测非正常时间段或地理位置的登录行为 |
当系统检测到来自非常用地域或设备的登录行为时,这类活动将被标记为高风险操作。此类异常访问可能预示着账户劫持或凭证泄露风险。
短时间内频繁访问核心数据资源的行为也会触发安全评分机制。该指标占整体风险评估权重的25%,用于识别潜在的数据扫描或窃取企图。
权限提升记录是另一关键监测维度,占比20%。系统会重点监控非授权角色的权限变更行为,例如普通用户突然获得管理员权限等越权升级事件。
// 判断是否触发阻断
if securityScore > 85 {
triggerBlockAction() // 阻断访问
logAlert("HIGH_RISK_ACCESS")
} else if securityScore > 60 {
requireMFA() // 要求二次验证
}终端合规状态占评分模型的15%,主要判断设备是否安装了指定的安全软件,确保接入系统的终端符合组织安全策略要求。
网络流量异常则占10%,关注是否存在突发性的大量外联请求,这可能是恶意软件回连C2服务器或数据外泄的表现。
实时威胁防护机制基于上述多维评分进行响应。一旦综合安全评分超过预设阈值,系统将自动激活相应的防护策略。该机制融合静态规则与动态学习能力,实现精准、自适应的威胁应对。评分越高,触发的防御等级也越强,形成闭环式主动防护体系。
Azure安全中心作为Azure平台的核心安全治理组件,提供统一的安全态势管理与威胁防御能力。启用“标准模式”后,可对计算资源、网络配置及存储服务实施持续性监控。
部署流程简要如下:
针对系统生成的安全建议,应优先处理影响度较高的项目以快速降低攻击面。例如下图所示场景:
{
"recommended": true,
"impact": "High",
"description": "Enable disk encryption on Windows VMs",
"remediationSteps": "Use Azure Disk Encryption with Key Vault"
}该建议提示需为Windows虚拟机启用磁盘加密功能,并通过Azure Key Vault集中管理加密密钥,从而保障静态数据的机密性。
Azure安全中心支持对虚拟机和容器环境实施统一安全管理。通过自动部署代理和执行安全建议,可有效加固系统配置,防范常见漏洞。
关键防护措施包括:
{
"defenderForContainers": {
"enabled": true,
"logAnalyticsWorkspaceId": "/subscriptions/xxx/resourceGroups/rg1/providers/Microsoft.OperationalInsights/workspaces/ws1"
}
}如上图所示,配置内容涵盖容器镜像扫描与运行时威胁检测功能。结合Azure Monitor收集的日志信息,可对异常进程启动、提权操作等行为实现实时告警。
同时需要指定日志存储所用的工作区,确保所有审计数据集中留存,便于后续追溯分析。
logAnalyticsWorkspaceIdMicrosoft Defender for Cloud Apps 可帮助组织全面掌握其所使用的云服务情况,自动发现未经授权的影子IT应用,并根据使用行为进行风险分类。
通过与Azure AD深度集成,系统能实时追踪用户对Office 365、AWS、Google Workspace等主流平台的访问活动。
管理员可基于以下维度定义自适应访问策略:
例如,可设置策略阻止从未注册设备下载敏感文件:
{
"name": "BlockDownloadFromUnmanagedDevice",
"severity": "high",
"condition": {
"userRiskLevel": "medium",
"deviceCompliance": false,
"action": "download"
},
"action": "block"
}当系统识别到中高风险用户从非合规设备尝试执行下载动作时,策略将立即触发阻断行为,并结合条件访问机制实现动态控制。
此外,该解决方案还具备以下能力:
Microsoft Defender XDR(扩展检测与响应)基于云原生安全架构构建,整合来自终端、邮件、身份系统及应用程序的多源安全数据,实现跨域威胁检测与联动响应。
其核心架构包含以下组件:
各防护节点通过代理将日志加密上传至Azure安全中心,构建统一的时间线视图,支撑跨系统关联分析。
{
"TenantId": "abc123",
"DeviceName": "WS-001",
"AlertSeverity": "High",
"IncidentUrl": "https://security.microsoft.com/incident/1001"
}该JSON结构展示了一个典型的告警事件实例,包含租户ID、设备名称及严重性等级等字段,用于事件聚合与上下文关联。
事件响应流程分为四个阶段:
Microsoft Sentinel 是一个云端安全信息与事件管理(SIEM)平台,可通过内置连接器从多种来源采集日志,包括Azure资源、本地系统以及第三方服务(如Office 365、AWS、防火墙设备等)。
配置数据连接后,相关安全日志将自动导入Log Analytics工作区,实现集中化存储与高效查询分析。
为增强威胁发现能力,用户可使用Kusto查询语言(KQL)编写自定义检测规则。例如,以下查询用于识别暴力破解攻击的典型特征:
SecurityEvent
| where EventID == 4624 // 成功登录
| join (
SecurityEvent
| where EventID == 4625 // 失败登录
| summarize FailedAttempts = count() by Account, Computer
| where FailedAttempts >= 5
) on Account
| project TimeGenerated, Account, Computer, FailedAttempts, Activity该查询逻辑首先筛选出成功登录事件,再与同一账户近期发生过5次以上失败登录的记录进行关联匹配,从而提高检测准确性。
此外,Sentinel支持通过Playbook实现自动化响应。当检测到可疑警报时,可自动执行诸如隔离主机、终止会话或发送通知等操作,显著缩短平均修复时间(MTTR)。
现代安全运营平台必须支持多源威胁情报接入,常见的来源包括MISP、AlienVault OTX以及各类商业情报API。
通过标准化协议(如STIX/TAXII)摄入结构化情报数据,有助于实现情报的自动化解析、可信度评估与实时应用。
在威胁情报基础上,设计合理的自动化响应Playbook至关重要。Playbook可根据不同类型的威胁事件编排响应动作,实现从检测到处置的全流程自动化,提升整体安全运营效率。
在安全编排与自动化响应(SOAR)系统中,Playbook用于规范从威胁检测到处置动作的完整闭环流程。以下是一个基于YAML格式的典型配置示例:
playbook:
name: "Block-Malicious-IP"
triggers:
- type: "new_ioc"
ioc_type: "ipv4"
actions:
- action: "firewall.block"
target: "fw-cluster-east"
params:
ip: "{{ event.ioc_value }}"
duration: "24h"
该Playbook通过监听新出现的IOC(失陷指标)事件触发响应机制,当检测到IPv4类型的恶意IP时,自动调用防火墙模块进行封禁操作。其中,{{ event.ioc_value }} 实现动态参数注入,将实际检测到的威胁IP传入执行动作,并设定封锁有效期为24小时,避免长期误封带来的业务影响。
duration每次响应动作完成后,系统会自动生成详细的执行日志,并启动后续验证任务以确认策略已成功生效。例如,检查防火墙规则是否正确部署、目标IP是否处于阻断状态等。这一过程确保了安全事件处理的可追溯性和有效性,构建起完整的运营闭环。
Kusto查询语言(KQL)作为Azure Data Explorer的核心查询工具,被广泛应用于Microsoft Sentinel等日志分析平台。其采用管道式语法结构,各查询步骤通过竖线符号(|)依次传递处理结果。
|SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4625
| project TimeGenerated, Computer, User, IPAddress以下查询语句用于从安全日志中提取过去7天内发生的登录失败记录(EventID 4625):
SecurityEvent | where TimeGenerated > ago(7d) and EventID == 4625 | project TimeGenerated, Account, Computer, SourceNetworkAddress
SecurityEvent其中,where 子句实现数据过滤,project 指定输出字段,提升查询效率与可读性。
whereproject针对潜在的凭证攻击,可通过聚合多个失败登录尝试来识别异常模式。如下KQL查询统计每个用户在每台主机上的失败次数:
SecurityEvent | where EventID == 4625 | summarize FailCount = count() by Account, Computer | where FailCount >= 5
summarizeSecurityEvent
| where EventID == 4625
| summarize FailedAttempts = count() by User, Computer
| where FailedAttempts > 5该分析方法有助于快速定位高风险账户和受攻击主机,为后续自动化响应或人工调查提供数据支持。
建议使用轻量级工具如Notion或Todoist制定并跟踪学习计划。将整体复习内容拆解为具体可执行的小型任务,例如“掌握TCP三次握手流程”或“完成两道LeetCode树遍历中等难度题目”。
| 时间段 | 复习重点 | 推荐练习方式 |
|---|---|---|
| 第1-20天 | 基础概念强化 | 刷《剑指Offer》+ 整理错题本 |
| 第21-45天 | 系统设计与算法能力提升 | 攻克LeetCode高频题 + 设计TinyURL系统 |
| 第46-60天 | 综合能力冲刺 | 限时模拟考试 + 口述解题思路并录音回放 |
以下为常考的并发控制实现代码,需达到熟练默写水平:
package main
import (
"fmt"
"sync"
)
func main() {
var wg sync.WaitGroup
for i := 0; i < 5; i++ {
wg.Add(1)
go func(id int) {
defer wg.Done()
fmt.Printf("Worker %d starting\n", id)
}(i)
}
wg.Wait()
fmt.Println("All workers done.")
}保持良好的身心状态对应试至关重要。建议:
扫码加好友,拉您进群
