[SC-900] Short Note

Blog นี้เป็นสรุปใส่ Keyword จาก Exam SC-900: Microsoft Docs และ Resource ต่างๆที่เพื่อนๆ Share กันในกลุ่ม Microsoft Cloud Squad ครับ

Compliance management capabilities at Microsoft

  • Service Trust Portal (https://servicetrust.microsoft.com)
    • คู่มือที่บอกว่า MS มีเอกสารการ Audit หรือ Compliance Information
    • ถ้าอันไหนเหมาะกับองค์กร ก็ Save ลง My Library เวลามี Update ใหม่ เราจะได้ตัวล่าสุดไปด้วย
  • Microsoft’s privacy principles.
    • Control - นึกถึง PDPA ข้อมูลของเรา เราต้องมีสิทธิจัดการได้ Right to erasure / right to be forgotten/ Right to restrict of processing/ Right to rectify
    • Transparency - ชัดเจนตรวจสอบได้
    • Security - ป้องกันทุกมิติ อย่างกับบทโฆษณา Microsoft protects your data both at rest(ทั้ง Storage) and in transit(ช่วง Transfer).
    • Strong legal protections - พยายามทำตามกฏหมายนะ ชอบ Quote นี้นะ
      • We don’t give any government direct or unfettered access to customer data. We will not disclose data to a government or law enforcement agenc, except as you direct or where required by law.
    • No content-based targeting - ไม่เอาข้อมูลไปใช้เพื่อการตลาด
    • Benefits to you - Troubleshooting (ทั้งการหาสาเหตุ หรือ ในแง่การป้องกัน) / Feature improvement / Personalized customer experience

Security and compliance concepts

  • Describe the shared responsibility model เหมือนใน AZ-900 เลย ที่องค์กรต้องสนใจเพิ่ม
    • Information and data
    • Devices (mobile and PCs)
    • Accounts and identities
  • defense in depth - AZ-900 //แยก Layer การป้องกัน
  • Confidentiality, Integrity, Availability (CIA)
  • Describe the Zero Trust model
    • principle of “trust no one, verify everything.”
    • three principles
      • Verify explicitly - Always authenticate and authorize
      • Least privileged access - กำหนดสิทธิให้น้อยที่สุดดดดด
      • Assume breach - Segment access / encryption / analytics improve your security.
    • Six foundational pillars
      • Identities - มาจาก users, services, devices ที่ต้องมีการ authentication / least privilege
      • Devices - ใช้ขององค์กรเราไหม ต้องมีการตรวจสอบ App แปลกปลอม ?
      • Applications - Manage Permission / Access
      • Data - classified, labeled, and encrypted based on its attributes
      • Networks -segmented / end-to-end encryption
      • Infrastructure
  • Describe encryption and hashing
    • Symmetric encryption uses the same key
    • Asymmetric encryption Private / Public key
    • Encryption for data at rest (ตอนจัดเก็บ) / data in transit (Transfer) / data in use (ตอนใช้งาน บน RAM /CPU)
    • Hashing
      • Hashing uses an algorithm to convert text to a unique fixed-length
      • hash functions are deterministic ได้ output เหมือนเดิม แต่มีการแก้ไขโดยใส่ “salted” ทำให้ output แตกต่างกัน
        เช่นเรากำหนด Password "pingfaii" บนเว็บ A กับ B ที่ใช่ salted ไม่เหมือนกัน ตัว output ที่ได้จะแตกต่างกัน
  • Describe compliance concepts
    • Data residency - เก็บข้อมูลที่ไหน ตรวจสอบกฏหมายของ Region / Location นั้นๆด้วย
    • Data sovereignty - ถิ่นที่อยู่ของข้อมูล แม้ว่าจะเป็น Data เดียวกัน แต่กำหนดเก็บไว้ใน Storage ที่อยู่คนละ Region / Location มันต้องไปตรวจกฏหมายของ Region / Location นั้นๆด้วย
    • Data privacy - PDPA ในไทย ต้องจัดการข้อมูล personally identifiable information (PII)

Azure

- identity concepts

  • Define authentication and authorization
    • authentication - เราเป็นใคร (who they say they are)
    • authorization - เราทำอะไรได้บ้าง (level of access or the permissions an authenticated person)
  • Define Identity as the primary security perimeter
    • Identity as the primary security perimeter เพราะ หลายระบบย้ายไป Cloud / เอา Device ตัวเองมาทำงาน / IoT เป็นต้น
    • Four pillars of an identity infrastructure
      • Administration - จัดการ identity
      • Authentication
      • Authorization
      • Auditing - ตรวจสอบ tracking who does what, when, where, and how
  • Describe the role of the identity provider
    • identity provider มาช่วยทำ Modern authentication ได้แก่ administrator / authentication / authorization / auditing / monitoring และช่วยลด Attack Surface
    • การทำงาน เมื่อผ่าน authentication ตัว identity provider ให้ security token เพื่อเอาไปใช้งานต่อ
    • รองรับ Single sign-on
    • ตัวอย่าง identity provider เช่น Azure Active Directory /Facebook / Google
    • แต่ถ้า Cross ระหว่าง identity provider จะเรียกว่า federation
  • Describe the concept of directory services and Active Directory
    • Active Directory Domain Services (AD DS). stores information about members of the domain, including devices and users, verifies their credentials, and defines their access rights.
    • Azure Active Directory - identity and access management solutions across cloud and on-premise [Identity as a Service (IDaaS)] ทำ single sign-on (SSO) และ จัดการได้
  • Describe the concept of Federation -
    • shared access ระหว่าง identity provider จากรูป IdP-A กับ B ทำ Trust ซึ่งเจ้า trust ไม่จำเป็นต้องเป็น bidirectional. จากรูปจะเป็น A Trust B พอ B ยืนยันตัวตนเข้ามาก็จะสามารถใช้ resource ของ A ได้เลย

- Services and identity types of Azure AD

  • Azure AD identity types
    • user - ผู้ใช้ในระบบ ที่องค์กรมี
      NOTE แต่ถ้าเป็น B2B / B2C  จะมีแบบ External Identities เพิ่มขึ้นมา เอา User ของอีกองค์กรมาจัดการในลักษณะ Guest ได้
      • B2B collaboration allows you to share your apps and resources with external users.
      • B2C is an identity management solution for consumer and customer facing apps.
    • Service principal
    • Managed identity - เหมือนการทำ Consent ให้ Resource ทำอะไรกับอะไรได้ มี 2 แบบ
      • System-assigned - ผูกกับ resource ถ้าถูกลบจะโดนไปด้วย
      • User-assigned - ใช้ได้กับหลาย resource
    • Device - อาจจะใช้ Microsoft Intune มาจัดการ
      • Azure AD registered devices จับจาก HW รองรับ BYOD ด้วย (personally owned - เอาอุปกรณ์มาเอง)
      • Azure AD joined - devices exist only in the cloud พวก Azure Resource ต่างๆ
      • Hybrid Azure AD joined devices
      • NOTE: MS Intune Manage Device กำหนด Conditional Access Policy ได้นะ
  • Concept of hybrid identity
    • Azure AD Password hash synchronization. - Sync Password has่h ระหว่าง Azure AD กับ AD DS
    • Azure AD Pass-through authentication - ให้ On-Premise ตรวจสอบสิทธิ //Simple password validation for Azure AD authentication services by using a software agent that runs on one or more on-premises servers
    • Federated authentication - ใข้กรณีที่ Azure AD ไม่รองรับ เช่น MFA โดย smart cards
  • Authentication methods available in Azure AD
    • Passwords - ตั้งให้มันดี อย่างไปตั้ง 12345 ตัว Azure AD มีตัวช่วยนะ
    • Phone - SMS-based authentication อารมณ์กับ OTP ของ App Banking และมีอีกแบบ Voice call verification (MFA)
    • OATH - Software OATH tokens / OATH TOTP hardware tokens
    • Passwordless
      • Windows Hello
      • FIDO2 - Fast Identity Online (FIDO) ใช้ของยืนยันตัวตน เช่น USB Security Key
      • Microsoft Authenticator app
  • Multi-factor authentication (MFA) in Azure AD เอา 1 ใน 3 อย่างมา Combine รวมกัน เพื่อ Authentication
    1. Something you know – เช่น password or PIN 
    2. + Something you have – trusted device that's not easily duplicated, like a phone or hardware key or
    3. + Something you are – biometrics like a fingerprint / face scan.
  • แต่งานทุกงานอยู่กับ Admin หมด มันจะไ่ม่ไหว อย่างเช่น การ Reset Password Azure AD มี self-service password reset (SSPR) โดย Authentication Method ที่รองรับ Mobile app notification / Mobile app code / Email / Mobile phone / Office phone / Security questions
  • Azure AD Password Protection
    • Global banned password list - บอกไปเลยว่าคำไหนห้ามตั้ง เช่น 12345 / qwerty
    • Custom banned password lists - อะไรที่เป็นคำ Common เช่น ชื่อ Brand Name / Default ขององค์กร
    • ป้องกัน Password Spraying
    • Hybrid security - ใช้ร่วมกับ On-Premise
Azure AD Conditional Access
  • Conditional Access in Azure AD - เอาไว้ป้องกันกรณีที่มีการ Authenticate จาก Signal แปลกๆ เช่น IP มาจาก ตปท หรือ ใช้ Device อื่น เข้ามา Login เป็นต้น และมีวิธีการจัดการ Access (controls) เพิ่มเติม
    • Grant - ยอมใช้เข้ามา
    • Block -
    • Required - ต้องทำอะไรบางอย่างก่อนเข้าใช้ เช่น ทำ MFA อีกรอบเป็นต้น
  • Azure AD roles and role-based access control
    • Roles
      • Built-in roles เช่น Global administrator (ใหญ่สุด) / User administrator / Billing administrator (จัดการ subscriptions)
      • Custom roles
        Note ตอน Grant ต้องเน้นหลัก least privilege
    • Categories of Azure AD roles
      • Azure AD-specific roles - manage resources within Azure AD only
      • Service-specific roles - ดูบาง Feature เช่นใน Office365 จะมี SharePoint Administrator
      • Cross-service roles
    • Difference between Azure AD RBAC and Azure RBAC
      • Azure AD RBAC จัดการได้เฉพาะ Azure AD resources เช่น users, groups
      • Azure RBAC จัดการ Azure resources เช่น VM / Storage

- Identity protection and governance capabilities of Azure AD

  • identity governance in Azure AD ช่วยตอบคำถามเหล่านี้ได้
    • Which users should have access to which resources?
    • What are those users doing with that access?
    • Are there effective organizational controls for managing access?
    • Can auditors verify that the controls are working?
  • โดยการจะตอบคำถามได้ต้องรู้ ดังนี้
    • Identity lifecycle -มองเหมือน HR รับพนักงานใหมเข้ามา คือ no access(ยังไม่เข้าทำงาน), join (เริ่มทำงาน), move(เปลี่ยนตำแหน่ง), และ leave (ลาออก)
      Microsoft Identity Manager เป็น Tool สำหรับ HR
    • Access lifecycle - การ join / move ที่มีการเปลี่ยนสิทธิ โดยทำ Group + RBAC มา และมี Dynamic Group - create attribute-based rules ช่วยให้งาน Automate มากขึ้น
    • Privileged access lifecycle - Monitoring privileged access is a key part of identity governance เพื่อกันเอาไปใช้ผิด ตัว Azure AD Privileged Identity Management (PIM) provides extra controls tailored to securing access rights
  • Entitlement management (การจัดการสิทธิ) มี Workflow ต่างๆรองรับ เพื่อช่วยให้การทำ identity governance สะดวกขึ้น (เขียนไปเหมือนเขียนโฆษณา 55) เช่น
    • Request Approve / Reject
    • access assignments, reviews, expiration
    • Azure AD terms of use ใส่ PDF ขององค์กรบอกข้อกำหนดเลย หรือ พวก legal disclaimers
  • Azure Privileged Identity Management (PIM) - เป็นช่วยที่ช่วยทำ identity governance รองรับการทำ Entitlement management และการ Audit
  • Azure Privileged Access Management (PAM) -
    • a solution restrict privileged access in Azure AD
    • PAM adds auditing, alerts, and reports of privileged access requests
    • Use Case: control the use of administrator accounts with standing access to sensitive data
  • Azure Identity Protection - เป็นเครื่องมือที่มาช่วยป้องกัน Identity เราจาก identity-based risks เช่น IP แปลก / Location แปลก / Password spray / Azure AD threat intelligence เป็นต้น รวมถึงแจ้งเตือน เช่น Identity เราไปโผล่ที่ dark web และก็ข้อมูลในนี้ยังสามารถออก Report ในระบบ risky users, risky sign-ins, and risk detections. รวมถึงเอาข้อมูลไปทำ Analysis ผ่าน Third Party Tools ได้ต่อ
  • อื่นๆ
    • access review - evaluate group membership and atomically remove user ที่ไม่จำเป็นต้องเป็นสมาชิกในกลุ่มนั้น
    • password protection - prevent (ป้องกัน) user ให้กรอก password ไม่ดี เช่น คำที่ common / top ten password
    • Role Application Administrator - role ใน Azure AD ที่ทำให้ User สามารถทำ Application Registration ได้

- Basic security capabilities in Azure

  • Azure DDoS Protection - ป้องกันการโจมตี DDoS
  • Azure Firewall - ต่างกับ NSG ตรงรอบรับ Level 3-7 และ มี HA / protect resource เช่น Azure Virtual Network / MS SharePoint Online site
  • Web Application Firewall (WAF) provides centralized protection of your web applications from common exploits and vulnerabilities. 
  • network segmentation - Zero Trust model > defense in depth strategy โดยใช้ตัว Azure Virtual Network
  • Network Security groups - provide distributed network layer traffic filtering to limit traffic to resources within virtual networks in each subscription
  • Azure Bastion and JIT Access
    • Bastion - Deploy per virtual network แทนที่จะ remote desktop/ ssh เข้าไป VM ตรงมี Jump Host ให้เข้างานผ่าน Web Browser ครับ ที่นี้ Attacker ไม่รู้ IP / Port ของเราแล้วครับ
    • Just-in-time (JIT) access allows lock down of the inbound traffic to your VMs
  • Azure encrypts data
    • Azure Storage Service Encryption
    • Azure Disk Encryption ของ VM
    • Transparent data encryption (TDE) - protect Azure SQL Database and Azure Data Warehouse
  • Azure Key Vault - Secret Management

- Security management capabilities of Azure

  • Cloud security posture management (CSPM) - tools designed to improve your cloud security management
    • Zero Trust-based access control: Considers the active threat level during access control decisions.
    • Real-time risk scoring
    • Threat and vulnerability management (TVM): Establishes a holistic view of the organization's attack surface and risk and integrates it into operations and engineering decision-making.
    • Discover risks: To understand the data exposure of enterprise intellectual property, on sanctioned and unsanctioned cloud services.
    • Technical policy: Apply guardrails to audit and enforce the organization's standards and policies to technical systems.
    • Threat modeling systems and architectures: Used alongside other specific applications.
  • Microsoft Defender for Cloud (Continuously assess / Secure - ตรวจสอบ (Harden) Resource + Service / Defend - ป้องกัน )
    • strengthen your cloud security posture and have a secure score in comparison to industry standards.
    • Tool ที่ Implement ตามแนวคิด CSPM และเพิ่ม Cloud workload protection (CWP)
    • Plan มีแบบ Free และ enhanced security features เสียเงิน โดยตัวเสียเงิน มันจะมีตาม Service Azure เช่น SQL / App Server / Kubernetes เป็นต้น ถ้าอยากดูทุกอย่างผ่านตรง(findings directly) จาก Microsoft Defender for Cloud จะเสียเงินด้วยนะ
  • Azure Security Benchmark(ASB) and security baselines for Azure
    • Improve Security best practices ขององค์กร โดยใช้ Security baselines จากคำแนะนำ (guidance) ของ Azure Security Benchmark เพื่อมา Improve ตามในแต่ละ Service ของ Azure
    • Assert แล้ว secure score มีค่าน้อย (low) ถ้าจะปรับทำตาม Remediate security recommendations.
  • อื่นๆ
    • NOTE: Secure Score คือ tools in the Microsoft Defender / Microsoft 365 Defender portal and is a representation of a company's security posture.

- Security capabilities of Microsoft Sentinel (เดิม Azure Sentinel)

  • SIEM & SOAR
    • security information and event management (SIEM) - Tool ที่รวม Event ต่างๆเข้ามา เพื่อมาวิเคราะห์หาความสัมพันธ์ (correlations) / ความผิดปกติ (anomalies) และ แจ้งเตือน สร้าง Incident ได้
    • security orchestration automated response (SOAR) - A SOAR system takes alerts อาจจะรับมาจาก SIEM และ Trigger Automate Response ที่เตรียมไว้
  • Microsoft Sentinel (ชื่อเดิม Azure Sentinel) - Tool ที่ Implement ตามแนวคิด SIEM & SOAR และช่วยให้งานของทีม Security Operations Center (SOC) สะดวกขึ้น
    • Collect - เก็บข้อมูล
    • Detect - ถ้าเจอระบบสร้าง Mark เป็น Incident ไว้ให้ โดยมี Workbook (Report Template) หลายแบบให้ตรวจดู
    • Investigate - มี AI ช่วยอยู่แล้ว แต่ถ้าเขียน Python เป็นเอา Jupyter notebooks มา Custom Model ของเราได้
    • Response - Handle Incident
      ราคา Capacity Reservations (Fixed Costs based on tier) / Pay-As-You-Go นับจำนวนข้อมูล GB ที่ส่งไปให้ Analysis
      Note blog นี้อธิบายได้ดีเลยครับ ลองอ่านเพิ่มกันได้ครับ

- Describe resource governance capabilities in Azure

  • Azure Resource Lock - ป้องกันการ Delete หรือ Edit Resource
  • Azure Blueprints -
  • Azure Policy
    • ensure that the resource state is compliant to your organization’s business rules
    • วาง Policy เพื่อให้มั่นใจว่า Resource ตรงตามข้อกำหนดขององค์กร เช่น ต้องการให้ VM สร้าได้ที่ Region
    • Azure Blueprints สร้าง แล้วให้ Azure Policy ตรงสอบ
  • Microsoft Purview (Azure Pureview) - บริการด้านจัดระเบียบและควบคุมข้อมูลในองค์กร (data governance) ไม่ว่าจะอยู่บนคลาวด์หรืออยู่ในเครื่องแบบ on-premise ก็ตาม
    • Data Map - capture metadata about enterprise data, to identify and classify sensitive data
    • Data Catalog
    • Data Insights - bird’s eye view where sensitive data is, and how it moves.

Microsoft 365

- Microsoft 365 Defender services

  • ดูแล Security ตาม Domain ที่เกี่ยวสนใจ จากเดิมที่มองเป็น Silo แล้วมันจะ Tracking ยาก โดย Domain ที่สนใจ endpoints, identities, email และ applications.
  • ภาพรวมคล้ายๆกับ Microsoft Sentinel
  • ราคามี Plan 1 (ตรวจ Attachment / Link / Anti-phishing แบบ Real-Time) / Plan 2 มี Tools เสริมมา เช่น Automated Investigation and Response (AIR) / Attack Simulator เป็น้น

- Compliance management capabilities in Microsoft 365

  • Compliance Manager - Controls that both your organization and Microsoft share responsibility for implementing.
  • Compliance Manager is an end-to-end solution, in the Microsoft Purview compliance portal, to enable admins to manage and track compliance activities. Compliance score is a calculation of the overall compliance posture across the organization.

- Information protection and governance capabilities of Microsoft 365

  • ก่อนจะมาใช้ Microsoft Purview (ชื่อเดิม Microsoft 365 compliance) เราต้องมาเข้าใจ lifecycle ของข้อมูล เพื่อมาจัดการได้ โดยมี Step ดังนี้
>> know your data
  • เข้าใจถึง data landscape และจัดความสำคัญของ Data ได้ โดยมี Tool
  • classifying - เอา data มาทำ Label Content ว่าเป็น Sensitivity labels โดยมี classifiers 3 แบบ
    • manual classifiers - ทำมือ
    • automated pattern recognition โดยใช้ sensitive information types จะเป็นข้อมูลสำคัญที่มี Pattern เฉพาะ เช่น ID Card / Credit card numbers
    • trainable classifiers (ใช้ AI มาช่วย โดยมี Pre-trained classifiers กับ Custom trainable classifiers)
  • Understand and explore the data
    • activity explorer - monitor สิ่งที่เกี่ยวขึ้นกับ Label Content โดยถ้าเข้าใจ Action ที่ทำกับ data ได้ เช่น Copy File จากไหนไปไหน / จัดการ Label เป็นต้น เราสามารถไปกำหนด  data loss prevention policies ยกอย่างเช่น มีแก้ labeled Highly Confidential ลงมาเป็น Public ตรงนี้ Admin สามารถมาาจัดการได้
    • content explorer - ดูข้อมูลสรุปเป็น Label แล้ว เนื่องจากเห็นภาพรวมทั้งหมด การกำหนดสิทธิต้องระวัง โดย user จะต้องอยู่ใน role
      • Content explorer list viewer.
      • Content explorer content viewer.
>> protect your data
  • ทำได้โดย encryption, access restrictions, visual markings.
  • Sensitivity labels - help ensure that emails / document can only be decrypted only by users authorized by the label's encryption settings.
>> prevent data loss
  • ป้องกันข้อมูลสุญหาย อาจะไม่ได้ถูกลบไปนะ แบบว่าถูก Copy ออกไป โดยไม่ได้รับอนุญาต เป็นต้น
  • Admin สามารถสร้าง Rule มาตรวจ
  • รวมถึงถ้ามีการทำตรงเงื่อนไข อาจจะต้องมีการ justification (ชี้แจงเหตุผล เพื่อ Approve) ด้วย
  • Tools (data loss prevention)
    • data loss prevention (DLP) policies - ดู OneDrive for Business / SharePoint Online/ Microsoft Teams / Exchange Online
    • และ endpoint data loss prevention ดู Device ที่ลง OS Windows 10, Windows 11, and macOS
>> govern your data
  • จัดการข้อมูล โดยมี
  • retention policies & retention labels
    • retention policies
      • ดูภาพรวมระดับ site level หรือ mailbox level
      • retention settings don't travel with the content in its new location.
    • retention labels
      • เจาะรายอัน โดยเรียกว่า item level เช่น folder, document, หรือ email. โดยที่ 1 item มีได้ 1 retention label
      • applied automatically if it matches defined conditions.
      • retention labels travel with the content if it’s moved to a different location within your Microsoft 365 tenant.
  • และ records management เป็น Tool ที่มาจัดการ data โดยทำได้ ดังนี้
    • Labeling content as a record มันเป็น Type อีกแบบนึงในการจัดการ Item Level โดยมี 2 แบบย่อย
    • Establishing retention and deletion policies within the record label.
    • Configure retention and deletion settings with retention labels. 
    • Migrate and manage your retention requirements with file plan.
    • Triggering event-based retention.
    • Reviewing and validating disposition.
    • Proof of records deletion.
    • Exporting information about disposed items.

- Insider risk management solution

  • internal risks from employees:
    • Leaks of sensitive data and data spillage
    • Confidentiality violations
    • Intellectual property (IP) theft
    • Fraud
    • Insider trading
    • Regulatory compliance violations
  • Insider risk management Transparency / Configurable / Integrated / Actionable เดี๋ยวมีภาพ Flow มาอธิบายต่อ
Insider risk management workflow
  • Insider risk management workflow
    • Policy
    • Alerts - อะไรที่แหก Policy ที่ตั้งไว้
    • Triage(คัดกรอง) - ตาม Alert status Needs review 
    • Investigate - มี Case dashboard มาจัดการ Alert ที่เกิดขึ้น
    • Action - resolve the case หรือ escalating to another reviewer หรือ collaborate กับ risk stakeholders
communication compliance
  • communication compliance
    • minimize communication risks by enabling organizations to detect, capture, and take remediation actions for inappropriate messages << อันนี้ยังสงสัยเหมือนกัน แอบอ่านข้อความ หรือป่าว ?
    • Communication Compliance Flow คล้ายๆกับ Insider risk management workflow:
      • Configure
      • Investigate - matching your communication compliance policies
      • Remediate
      • Monitor
  • information barriers
    • ป้องกันการสื่อสาร ซึ่งกันและกันในรูปแบบ two-way restrictions. ยกตัวอย่างเช่น แผนก Marketing ไม่มีสิทธิสื่อสารกับ Develop ตรงเป็นต้น อันเคสที่ผมเจอกับตัวมา เวลาประชุม MS Team กับลูกค้า ฝั่งลูกค้าเค้าจะ chat คุยกับได้ แต่ฝั่งเราจะไม่เห็นอะไรเลย
    • แต่ Support one-way restrictions เช่น Marketing คุยกับลูกค้าได้ แต่ลูกค้าคุยกับ Marketing ไม่ได้ อันนี้ทำไม่ได้

- eDiscovery and audit capabilities of Microsoft 365

  • eDiscovery solutions
    • process of identifying and delivering electronic information that can be used as evidence in legal cases.
    • มองว่า ทำ Full Text Search จาก Source หลายๆแหล่งได้ ได้แก่ Exchange Online, OneDrive for Business, SharePoint Online, Microsoft Teams, Microsoft 365 Groups, and Yammer teams
      • Core eDiscovery workflow > create eDiscovery Hold > Search for Content > Export Result
      • Advance eDiscovery workflow ใช้สำหรับตรวจเคส โดยมี Flow รองรับคนนอก (Custodian) ด้วย
        1. Add custodians to a case
        2. search custodial sources for relevant data
        3. add data to a review set,
        4. review and analyze data, then finally export,
        5. and download the case data
    • Role eDiscovery Manager role group. สามารถ
      • create and manage eDiscovery cases.
      • add and remove members
      • place an eDiscovery hold on users
      • create and edit searches, and export content from an eDiscovery case.
    • Feature ของแต่ละ Edition
  • audit solutions in Microsoft Pureview
    • help organizations effectively respond to security events, forensic investigations, internal investigations, and compliance obligations
    • Microsoft Pureview จะมีการเก็บข้อมูล และ Pre Process จนได้ unified audit log ของแต่ละ Event โดยสามารถ searchable ได้
    • ถ้าแต่ Search ต้องตรวจด้วย Role View-Only Audit Logs / Audit Logs role ของ Exchange Online 
    • ตัว Audit Logs เก็บไว้ 10 ปี
    • Feature ของแต่ละ Edition

อื่นๆ

  • Compliance Score - measures an organization progress in completing action to reduce risk (data protect / regulatory standard)
  • MS Defender for End Point - Network Protection
  • MS Defender for Office 365 - Scan Email attachments and Fwd ถ้าไม่มีไฟล์อันตราย
  • Customer Lockbox - that Microsoft can't access your content to do service operations without your explicit approval.  (MS Engineer Team ไม่สามารถเข้าไปยุ่งกับ Data ของลูกค้าได้)

ติวเข้ม

  • อันนี้ผมดูแล้ว ดีมากครับ สรุปครบชัดดีครับ
  • ตัวนี้ ผมไม่ได้ดูก่อนสอบนะครับ เห็นแชร์กันในกลุ่มครับ

Knowledge Check

Blog อื่นๆที่เกี่ยวกับการสอบ Cert MS Azure

Reference

Discover more from naiwaen@DebuggingSoft

Subscribe to get the latest posts to your email.

Tags

Related Posts